Els punts de referència del CIS proporcionen directrius de configuració segura desenvolupades mitjançant el consens de la comunitat per millorar la seguretat del sistema, el programari i la xarxa, amb dos nivells de perfils per a diferents impactes en la seguretat i la usabilitat, juntament amb instruccions d'implementació específiques per integrar aquests punts de referència en eines MDM com Fleet i Primo.

Què són els punts de referència del CIS?

Els punts de referència CIS són guies de configuració segura basades en el consens que s'utilitzen per enfortir sistemes, programari i xarxes, una línia de base reconeguda per la indústria per reduir la superfície d'atac.

Com es produeixen?

Estan desenvolupats per la comunitat mitjançant un procés de consens obert (CIS WorkBench) amb el govern, la indústria i el món acadèmic. Hi ha més de 100 punts de referència en més de 25 famílies de proveïdors.

Com afegir punts de referència del CIS

Si voleu descarregar les polítiques de referència del CIS de fleetDM a la vostra instància MDM, podeu executar aquest script per generar el fitxer YAML de consultes de polítiques del CIS.

#!/bin/bash#shellcheck disable=SC2207# convert.cis.policy.queries.yml @2024 Fleet Device Management# CIS queries as written here:#    https://github.com/fleetdm/fleet/blob/main/ee/cis/macos-14/cis-policy-queries.yml# must be converted to be uploaded via Fleet GitOps.## This script takes as input the YAML from the file linked above & creates a new YAML array compatible with the "Separate file" format documented here:#    https://fleetdm.com/docs/configuration/yaml-files#separate-file# get CIS queries raw file from Fleet repocisfile='https://raw.githubusercontent.com/fleetdm/fleet/refs/heads/main/ee/cis/macos-14/cis-policy-queries.yml'cispath='/private/tmp/cis.yml'# cisspfl='/private/tmp/cis.gitops.yml'/usr/bin/curl -X GET -LSs "$cisfile" -o "$cispath"# create CIS benchmark arrayIFS=$'\n'cisarry=($(/opt/homebrew/bin/yq '.spec.name' "$cispath" | /usr/bin/grep -v '\-\-\-'))for i in "${cisarry[@]}"do    cisname="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.name')"    cispfrm="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.platform')"    cisdscr="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.description')"    cisrslt="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.resolution')"    cisqrry="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.query')"     printf "name: %s\nplatform: %s\ndescription: |\n%s\nresolution: |\n%s\nquery: |\n%s\n" "$cisname" "$cispfrm" "$cisdscr" "$cisrslt" "$cisqrry" | /usr/bin/sed 's/^/    /g;s/^[[:space:]]*name:/- name:/;s/^[[:space:]]*platform:/  platform:/;s/^[[:space:]]*description:/  description:/;s/^[[:space:]]*resolution:/  resolution:/;s/^[[:space:]]*query:/  query:/'# set -x# trap read debugdone

A continuació, podeu executar aquesta ordre per carregar aquestes polítiques a la vostra instància de FleetDM.

fleetctl apply --policies-team "Workstations" -f cis-policy-queries.yml

On encaixen les eines MDM (Flota/TI Factorial )

Fleet exposa consultes de polítiques per avaluar el compliment del CIS a macOS 13+ i Windows 10+ (Enterprise).

Les polítiques no solucionen problemes : encara necessiteu perfils i/o scripts d'MDM per aplicar la configuració (per exemple, activar FileVault i evitar la desactivació) i podeu utilitzar automatitzacions per impulsar els fluxos de treball de correcció. Algunes comprovacions requereixen la inscripció a MDM i permisos d'agent específics.

Podeu trobar els nostres perfils i scripts de remediació a continuació.

Política de contrasenyes i bloqueig de pantalla automàtic

Els temps d'espera de bloqueig curts i una contrasenya segura ajuden a prevenir atacs com ara l'espatlla, l'ús indegut de dades internes i l'accés oportunista a ordinadors portàtils sense supervisió.

Aquesta política està dissenyada amb Factorial IT i funciona per a dispositius iOS, macOS i Windows.

1. A Factorial IT, aneu a MDM > Perfils
2. Selecciona tots els dispositius
3. Feu clic a la targeta: Contrasenya i bloqueig de pantalla
4. Feu clic a “Activa la configuració”
5. Navegueu a les pestanyes de Mac, Windows i iOS per configurar cadascuna
6. Finalment, confirmar

 

 

Tallafocs integrat

El trànsit entrant denegat per defecte redueix la possibilitat que un servei inactiu esdevingui un punt d'entrada de xarxa, especialment en Wi-Fi pública.

Aquesta política està dissenyada amb Factorial IT i funciona tant per a dispositius macOS com Windows.

1. A Factorial IT, aneu a MDM > Perfils
2. Selecciona tots els dispositius
3. Feu clic a la targeta: Tallafocs
4. Feu clic a "Activa la configuració"
5. Finalment, confirmar