Проверка STIG -> групповая политика или настройка пользователя?

Я пытаюсь определить, обусловлено ли применение правила STIG исключительно групповой политикой, пользовательскими настройками или комбинацией того и другого. Под этим я подразумеваю, что когда правило STIG помечается как ошибочное, и я исправляю настройку, правило STIG по-прежнему не выполняется. Например, в STIG для Windows 10 есть правило, согласно которому размер журнала событий приложения должен быть не менее # МБ. Если я изменю настройку на своем компьютере, чтобы размер был больше этого минимума, правило STIG все равно не сработает. Означает ли это, что размер журнала событий приложения должен контролироваться групповой политикой, а не просто обновляться пользователем?

Это правило «xccdf_mil.disa.stig_rule_SV-220779r569187_rule» в файле STIG U_MS_Windows_10_V2R2_STIG_SCAP_1-2_Benchmark.xml. Я получил его из Национального реестра контрольных списков. Я также считаю, что нашел свой ответ. Ищу SV-220779r569187_rule на STIGHub, вижу это:

ИСПРАВИТЬ

Если система настроена на отправку записей аудита непосредственно в сервер аудита, это NA. Это должно быть задокументировано в ISSO.

Настройте значение политики для конфигурации компьютера >> Административные шаблоны >> Компоненты Windows >> Служба журнала событий >> Применение >> «Укажите максимальный размер файла журнала (КБ)» на «Включено» с «Максимальным размером журнала (КБ)» «32768» или больше.

Таким образом, это определяется политикой, что объясняет, почему простое изменение его в настройках журнала событий (пользователя) не устраняет сбой правила.

Это действительно зависит от того, как проверяется этот элемент конфигурации. Было бы намного проще, если бы вы предоставили более подробную информацию о содержимом SCAP, которое вы используете для сканирования машины. Это содержимое SCAP обычно представляет собой XML-файл, содержащий инструкции о том, как сканер будет что-то проверять. Это может быть строка в файле, значение в реестре и т. д. Но вы должны понимать, что ищет автоматизированный контент.