看来,针对 Windows Server 的 Hardening 的 CIS 基准测试超过 700 页,如果服务器数量众多,手动执行是一个挑战。
我想知道,如何真正自动化 Windows 的整个过程,也许是通过某种配置工具或不同的方式?
我们尝试采用现成的 AMI 方式,但挑战是很多事情似乎不起作用,我们甚至无法追踪导致中断的 CIS 规则,因为规则太多。
任何建议将不胜感激!
【问题讨论】:
您可以测试HardeningKitty,这是一个 Powershell 脚本。 作为商业解决方案,我建议CHEF
HardeningKitty 是一个开源 Powershell 脚本,它使用 CIS 和其他安全清单作为 csv 数据库,并审核您的 windows 10 和 windows 服务器安全设置。除了 Audit 之外,它还可以在您的机器上进行 Hardening。
HardeningKitty 在三种模式下工作:审核、HailMary 和配置。
在你使用它之前,以管理员身份运行powershell,然后你必须将./Invoke作为一个模块导入并在Powershell上激活未签名脚本的执行。
> Set-ExecutionPolicy RemoteSigned
> Import-Module .\Invoke-HardeningKitty.ps1
之后使用以下命令进行 Audition:
> Invoke-HardeningKitty -Mode Audit -FileFindingList .\lists\finding_list_cis_microsoft_windows_server_2012_r2_2.4.0_machine.csv
您可以使用 HardeningKitty\lists 目录中的 csv 文件更改安全清单。
【讨论】: