![[re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent](https://devio2023-media.developers.io/wp-content/uploads/2019/12/reinvent2019_newservice_eyecatch.jpg)
[re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent
しばたです。
EC2 Image BuilderでWindows向けに標準提供されているBuild componentを眺めていると「stig-build-windows-ほげほげ」というコンポーネントを見つけたので、これはいったい何なのか調べてみました。
Security Technical Implementation Guides (STIGs)
STIGsは、アメリカ国防総省(DOD)のセキュリティ要件に準拠するためにDefense Information Systems Agency (DISA) = アメリカ国防情報システム局が提供するチェックリスト/ベストプラクティス集の事で、AWSにおいてはこのSTIGsに準拠したWindows AMIを利用することが可能となっています。
STIGsの詳細については弊社中山による紹介記事がございますのでこちらをご覧ください。
AWSのドキュメントとしては以下が参考になります。
EC2 Image BuilderのWindows STIGコンポーネント
このコンポーネントはWindows Serverに対しSTIGに記述されているセキュリティ設定を実施するためのコンポーネントで、low → medium → high の順に適用される項目が増える感じになっています。
モジュールに対するドキュメントはまだ提供されていない様なのでコンポーネントの実装を覗いてみてどの様な処理を行っているのか調べてみました。
共通処理
このSTIGコンポーネントはZipファイルにPowerShellスクリプトと幾つかのツールが同梱されており、PowerShellスクリプトの実行時引数でLow、Medimu、Highの設定内容を振り分ける仕組みとなっていました。
対象OSはImage Builderが対象とするWindows Server 2012 R2~Windows Server 2019、このコンポーネントはNano Serverはサポート外とされていました。
OS毎に微妙に処理が異なっていたのですが全てを説明しきるのは無理ですので共通的な部分についてのみ触れていきます。
MS Security グループポリシーの追加
Microsoftのセキュリティベースラインに基づくグループポリシーテンプレートとポリシーの適用までを行っています。
(ポリシーの一例 : SMBv1を無効にするポリシー)
こちらの元ネタはMicrosoft Security Compliance Toolkitの様でOS毎のテンプレートを流用しているっぽいです。
上記はWindows Server 2019におけるセキュリティベースラインの詳細を解説しているブログとなります。
stig-build-windows-low で適用される設定
stig-build-windows-lowで適用される設定は以下となります。
- V-36710
- V-4445 (Windows Server 2012 R2のみ)
- V-17425
- V-17435
- V-17445
- V-17426
- V-17427
- V-46477
stig-build-windows-medium で適用される設定
stig-build-windows-mediumで適用される設定は以下。
- stig-build-windows-low の設定全て
- V-26600
- V-26602
- V-26604
- V-26605
- V-26606
- V-73605
- この設定ではInstallRootというソフトウェアが別途インストールされる
- V-80477
- V-17415
- V-81495
- V-75169
- V-75171
- V-17415
- V-1145 (Windows Server 2012 R2のみ)
- V-40206 (Windows Server 2012 R2のみ)
- V-73805 (Windows Server 2012 R2のみ)
- V-73299 (Windows Server 2016 ~ 2019)
- V-93389 (Windows Server 2016 ~ 2019)
- V-93421 (Windows Server 2016 ~ 2019)
- V-93313 (Windows Server 2019のみ)
- V-93315 (Windows Server 2019のみ)
- V-93317 (Windows Server 2019のみ)
- V-93319 (Windows Server 2019のみ)
- V-93565 (Windows Server 2019のみ)
stig-build-windows-high で適用される設定
stig-build-windows-highで適用される設定は以下。
- stig-build-windows-low の設定全て
- stig-build-windows-medium の設定全て
- V-17425
- V-17435
- V-17445
- V-17426
- V-17427
最後に
ざっとこんな感じです。
個別の設定の解説まではしませんが、このコンポーネントはAMIのセキュリティを強化したい場合やSTIGコンプライアンスに準拠したい場合に使えるものであることがわかりました。
必要に応じて活用してみてください。
![[まるクラ勉強会 ONLINE #3] Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜 #まるクラ勉強会](https://devio2024-media.developers.io/image/upload/v1731657892/user-gen-eyecatch/o8wijqydsafuvvceha2s.png)
![[アップデート] Amazon S3のバケット数デフォルト上限が10000に引き上げられました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-066beb776f0c57ce64255fadcc072f60/82b2f6687ab5774cd73f9176dcac7855/amazon-s3)
![[アップデート] AWS Fault Injection Service で実験レポートを作成するオプションが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-c9900fd6c1edbd5976cb7da00877d262/2a0bdf16a60f0406f26746ba46d6343e/amazon-managed-grafana)
![[終了予告] AWS Elemental MediaStoreが2025年11月にサービス終了することがアナウンスされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-0d7cc824916ee284e543662a91362e76/06a8531f8e1e156b91057ded791824da/aws-elemental-mediastore)
