我正在尝试将 Amazon 的 Windows 2016 STIG AMI 与 Packer 结合使用。我能够通过将 LocalAccountTokenFilterPolicy 设置为 1(禁用)来使 WinRM 成功运行,但只要我重新启动,它就会恢复为 1(启用)。我认为我正在更改的注册表项是 MS 安全策略 ADMX 模板的派生源吗?是否有其他位置或设置告诉组策略禁用此策略?
我正在查看此处发布的相同错误。我尝试使用 Procmon 来监视注册表项,但似乎找不到 Windows 在哪里获取注册表项的真正所需值。
答案1
组策略设置将始终覆盖注册表项值,无论它们是通过本地策略还是域策略应用的。在这种情况下,Windows 2016 STIG AMI 最有可能使用来自 Windows Server 2016 安全基线的补充 ADMX 文件(可作为 Microsoft 安全合规性工具包的一部分下载)。
要检查这一点,请运行gpedit.msc并导航到以下策略设置:
计算机配置 > 管理模板 > MS 安全指南:对网络登录的本地帐户应用 UAC 限制
在当前版本的 SCT 中,该组设置来自SecGuide.admx和SecGuide.adml文件。
您的问题没有指定服务器是否加入域,因此我建议您保留本地策略和域组策略。要查看实际应用的内容,您可以rsop.msc在服务器上运行,或者从命令行运行:gpresult.exe /H GPReport.html && GPReport.html。
请注意,这些设置的更改可能使您不符合 STIG 规定如果你必须遵循这个基线。