网络安全加固基准：CIS Benchmarks 2023年5月的更新

作者：Sender Su 来源：原创内容发布日期：2023-05-20 最后修改日期：2023-05-20

这个公众号（包括我个人网站的重启）是从2022年翻译介绍CIS（Center of Internet Security，互联网安全中心）网络安全关键控制措施（CIS Controls，以下简称CIS控制措施）开始的。

笔者：国际认证信息系统审计师、软考系统分析师

CIS控制措施是一套关于组织内如何控制和应对网络安全风险的整体管理实践措施框架，总共有18项措施，每项措施均有若干要点和实施指引。

国内熟悉CIS控制措施的人并不多，主要原因我觉得还是因为要全面普及贯彻消化网络安全等级保护的要求都还有一定距离，大家都忙着等保合规而忽略了CIS控制措施是在等保基础上的良好补充，更多地聚焦在管理上而不是技防，而且也比较具体，不会像ISO 27001那样地抽象，所以是值得学习和参考实施的。有兴趣可以从如下的链接参阅：

CIS关键安全控制措施集18项完整目录

在当时我就曾经有打算翻译介绍一下CIS编制的网络安全加固措施基准要求（CIS Benchmarks，以下简称CIS基准要求）。不过这个工作量以及能否跟上更新速度确实是问题。所以现在先跟踪一下CIS基准要求的更新情况，这也是非常有必要的。

CIS基准要求是CIS社区合作开发的安全配置建议，用于加强组织抵御网络攻击的技术能力。

由于系出同门，CIS基准要求是与CIS控制措施相互映射匹配的。CIS基准要求的覆盖范围包括云服务商的平台和服务、容器、数据库、桌面软件、服务器软件、移动设备、网络设备和主流操作系统。

企业组织按CIS基准要求所执行的安全设置，也同样是企业组织履行各种行业性质的安全合规要求和风险管理框架的过程实践。

典型如网络安全等保测评，对被测评的信息系统及其网络环境有许多加固的要求，这些要求基本上都可以在CIS基准要求中找到设置的方法，而且CIS基准要求会比等保测评的要求（以等保2.0的加固要求为比较对象）更全面和深入。

举一个实际应用的例子。时下很热门的“零信任”概念，应用到Windows操作系统环境后最彻底（最麻烦）的做法是任何特权管理操作都要进行用户身份校验，需要输入管理员密码而不只是简单地确认。

这个设置就是在CIS Microsoft Windows Server Benchmark里面设定的，比如对于Windows Server 2019 Benchmark v2.0.0版本，是2.3.17节 User Access Control 的要求：

2.3.17.2 (L1) Ensure 'User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode' is set to 'Prompt for consent on the secure desktop' or higher (Automated)

2.3.17.2 （L1）确保“用户帐户控制：管理员批准模式中管理员的提升权限提示的行为”设置为“在安全桌面上提示同意”或更高的设置（自动）

L1是指Profile Applicability 属于 Level 1，Domain Controller或Member Server，即这个细项适用于域控制器或独立服务器。

（自动）是指该选项可由CIS-CAT自动设置和审计。

这个设置是在本地安全策略的安全选项中：

具体解释如下：

在安全桌面上提示凭据: 当某个操作需要提升权限时，将在安全桌面上提示用户输入有权限的用户名和密码。如果用户输入有效凭据，则该操作将使用用户的最高可用权限继续进行。

在安全桌面上同意提示: 当某个操作需要提升权限时，将在安全桌面上提示用户选择“允许”或“拒绝”。如果用户选择“允许”，则该操作将使用用户的最高可用权限继续进行。

按基准要求，必须设置成“在安全桌面上提示凭据”和“在安全桌面上同意提示”两者之一。

在基准要求的基础上，加上“零信任”原则从严设置，那就必须设置为前者，每一次权限提升的提示，操作者都要选择身份并输入密码。