PowerShell DSC не может применить правило STIG V-63373 - PullRequest
Новая
       38

PowerShell DSC не может применить правило STIG V-63373

0 голосов
/ 12 апреля 2019

Я пытаюсь применить STIG для клиента Windows, используя модуль PowerSTIG.https://github.com/Microsoft/PowerStig.

Этот модуль использует PowerShell DSC в качестве базовой технологии.

Я использую эту версию STIG.https://github.com/Microsoft/PowerStig/blob/dev/StigData/Archive/Windows.Client/U_Windows_10_STIG_V1R16_Manual-xccdf.xml.

После запуска команды Start-DscConfiguration для применения вышеуказанной конфигурации не удается применить STIG V-63373, т.е. разрешения для системных файлов и каталогов должны соответствовать минимальным требованиям.Подробности здесь: https://www.stigviewer.com/stig/windows_10/2018-04-06/finding/V-63373

Разрешение файла по умолчанию для диска C: \ должно выглядеть следующим образом: 

c:\
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)
Successfully processed 1 files; Failed processing 0 files

Но разрешение файла и каталогов по умолчанию для моей системы выглядит следующим образом: 

c:\ BUILTIN\Administrators:(OI)(CI)(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(F)
    CREATOR OWNER:(OI)(CI)(IO)(F)
    BUILTIN\Users:(OI)(CI)(RX)
    BUILTIN\Users:(CI)(AD)
    BUILTIN\Users:(CI)(IO)(WD)
    Everyone:(RX)

Кроме того, STIG упоминает, что параметр безопасности «Доступ к сети: разрешить всем разрешать доступ анонимным пользователям» должен быть установлен на «Отключено».он отключен.

Ниже приведена ошибка, зарегистрированная в журналах работы ЦИВ после применения конфигурации ЦИВ: 

4/10/2019 9:25:02 AM    Job {836FE066-5B72-11E9-9074-000D3AF2D729} : 
MIResult: 1
Error Message: The PowerShell DSC resource '[NTFSAccessEntry][V-63373.a][medium][WN10-00-000095]::[WindowsClient]STIGBaseLine' with SourceInfo 'C:\Program Files\WindowsPowerShell\Modules\PowerSTIG\3.1.0\DSCResources\Resources\windows.AccessControl.ps1::60::13::NTFSAccessEntry' threw one or more non-terminating errors while running the Set-TargetResource functionality. These errors are logged to the ETW channel called Microsoft-Windows-DSC/Operational. Refer to this channel for more details.
Message ID: NonTerminatingErrorFromProvider
Error Category: 7
Error Code: 1
Error Type: MI
...