我正在尝试确定 STIG 规则的执行是否仅由组策略、用户设置或两者的组合驱动。我的意思是,当 STIG 规则被标记为失败时,我更正了设置,但 STIG 规则仍然失败。例如,Windows 10 STIG 中有一条规则规定应用程序事件日志的大小必须至少为 # MB。如果我修改计算机上的设置以使大小大于该最小值,STIG 规则仍然会失败。这是否意味着应用程序事件日志的大小必须由组策略控制,而不仅仅是由用户更新?
答案1
这实际上取决于如何检查此配置项。如果您提供有关用于扫描机器的 SCAP 内容的更多详细信息,将会容易得多。此 SCAP 内容通常是一个 xml 文件,其中包含有关扫描仪如何实际检查某些内容的说明。它可以是文件中的一行,也可以是注册表中的值等。但您必须了解自动化内容正在寻找什么。
答案2
这是 U_MS_Windows_10_V2R2_STIG_SCAP_1-2_Benchmark.xml STIG 文件中的规则“xccdf_mil.disa.stig_rule_SV-220779r569187_rule”。我从国家清单注册中心获得了它。我也相信我找到了答案。在 STIGHub 上搜索 SV-220779r569187_rule,我看到了以下内容:
使固定
如果系统配置为将审计记录直接发送到审计服务器,则不适用。必须向 ISSO 记录此情况。
配置计算机配置的策略值>>管理模板>>Windows 组件>>事件日志服务>>应用程序>> 将“指定最大日志文件大小(KB)”设置为“已启用”,并将“最大日志大小(KB)”设置为“32768”或更大。
因此,它是由策略驱动的,这解释了为什么简单地在事件日志设置(用户)中更改它不能解决规则失败。