Xác thực STIG -> chính sách nhóm hoặc cài đặt người dùng?

Tôi đang cố gắng xác định xem việc thực thi quy tắc STIG chỉ được thúc đẩy bởi chính sách nhóm hay cài đặt người dùng hay kết hợp cả hai. Bằng cách này, ý tôi là khi quy tắc STIG bị gắn cờ là không thành công và tôi sửa cài đặt, thì quy tắc STIG vẫn không thành công. Ví dụ: có một quy tắc trong Windows 10 STIG quy định rằng nhật ký sự kiện của ứng dụng phải có kích thước ít nhất là # MB. Nếu tôi sửa đổi cài đặt trên máy của mình để làm cho kích thước lớn hơn mức tối thiểu đó, thì quy tắc STIG vẫn không thành công. Điều này có nghĩa là kích thước của nhật ký sự kiện ứng dụng phải được kiểm soát bởi chính sách nhóm, thay vì chỉ được cập nhật bởi người dùng?

Đây là quy tắc "xccdf_mil.disa.stig_rule_SV-220779r569187_rule" trong tệp STIG U_MS_Windows_10_V2R2_STIG_SCAP_1-2_Benchmark.xml. Tôi đã lấy nó từ Cơ quan đăng ký danh sách kiểm tra quốc gia. Tôi cũng tin rằng tôi đã tìm thấy câu trả lời của mình. Tìm kiếm SV-220779r569187_rule trên STIGHub, tôi thấy điều này:

SỬA CHỮA

Nếu hệ thống được cấu hình để gửi hồ sơ kiểm tra trực tiếp đến một máy chủ kiểm toán, đây là NA. Điều này phải được ghi lại với ISSO.

định cấu hình giá trị chính sách cho Cấu hình máy tính >> Mẫu quản trị >> Cấu phần Windows >> Dịch vụ nhật ký sự kiện >> Đăng kí >> "Chỉ định kích thước tệp nhật ký tối đa (KB)" thành "Đã bật" với "Kích thước nhật ký tối đa (KB)" là "32768" hoặc cao hơn.

Vì vậy, nó được điều khiển bởi chính sách, điều này giải thích tại sao chỉ cần thay đổi nó trong cài đặt nhật ký sự kiện (người dùng) không giải quyết được lỗi quy tắc.

Điều đó thực sự phụ thuộc vào cách kiểm tra mục cấu hình này. Sẽ dễ dàng hơn nhiều nếu bạn cung cấp thêm chi tiết về nội dung SCAP mà bạn đang sử dụng để quét máy. Nội dung SCAP này thường là một tệp xml chứa các hướng dẫn về cách máy quét sẽ thực sự kiểm tra thứ gì đó. Nó có thể là một dòng trong tệp hoặc giá trị trong sổ đăng ký, v.v. Nhưng bạn phải hiểu nội dung tự động đang tìm kiếm là gì.