hardening-windows-endpoint-with-cis-benchmark

使用 CIS Benchmark 加固 Windows 端点

使用场景

在以下情况下使用本技能：

• 部署需要安全加固的新 Windows 10/11 或 Server 2019/2022 端点
• 使用 CIS Level 1 或 Level 2 配置文件建立组织范围的安全基线
• 修复合规审计（PCI DSS、HIPAA、SOC 2）中引用 CIS Benchmark 的发现
• 验证现有端点配置是否符合当前 CIS Benchmark 版本

不适用于 Linux 端点（使用 hardening-linux-endpoint-with-cis-benchmark）或需要 CIS 云 Benchmark 的云原生工作负载。

前置条件

• Windows 10/11 企业版或 Windows Server 2019/2022 目标端点
• 用于企业部署的 Active Directory 组策略管理控制台（GPMC）
• 用于自动化 Benchmark 评估的 CIS-CAT Pro Assessor 或 CIS-CAT Lite
• 目标端点或域控制器的管理员访问权限
• 目标 Windows 版本的最新 CIS Benchmark PDF（从 cisecurity.org 下载）

操作流程

步骤 1：选择 CIS Benchmark 配置文件级别

CIS 为 Windows 端点提供两个配置文件级别：

Level 1（L1）- 企业/公司环境：

• 适用于大多数组织的实用加固设置
• 对功能和用户体验影响最小
• 涵盖：密码策略、审计策略、用户权限、安全选项、Windows 防火墙

Level 2（L2）- 高安全性/敏感数据：

• 包含所有 L1 设置及额外限制
• 可能影响可用性（禁用自动运行、限制远程桌面、增强审计日志）
• 适用于处理 PII、PHI、PCI 数据或机密信息的系统

根据端点的数据分类和风险承受能力选择配置文件。

步骤 2：导入 CIS GPO 基线

CIS 为每个 Benchmark 版本提供预构建的 GPO 模板（构建套件）：

# 从 CIS WorkBench 下载 CIS 构建套件（需要 CIS SecureSuite 会员资格）
# 将 GPO 备份解压到暂存目录

# 将 CIS GPO 导入 Active Directory
Import-GPO -BackupGpoName "CIS Microsoft Windows 11 Enterprise v3.0.0 L1" `
  -TargetName "CIS-Win11-L1-Baseline" `
  -Path "C:\CIS-GPO-Backups\Win11-Enterprise" `
  -CreateIfNeeded

# 将 GPO 链接到目标 OU
New-GPLink -Name "CIS-Win11-L1-Baseline" `
  -Target "OU=Workstations,DC=corp,DC=example,DC=com" `
  -LinkEnabled Yes

步骤 3：应用关键 CIS Benchmark 类别

账户策略（第 1 节）：

密码策略：
  - 最小密码长度：14 个字符（1.1.4）
  - 最大密码有效期：365 天（1.1.3）
  - 密码复杂性：已启用（1.1.5）
  - 使用可还原加密存储密码：已禁用（1.1.6）

账户锁定策略：
  - 账户锁定阈值：5 次无效登录尝试（1.2.1）
  - 账户锁定持续时间：15 分钟（1.2.2）
  - 在以下时间后重置账户锁定计数器：15 分钟（1.2.3）

本地策略 - 审计策略（第 17 节）：

审计策略配置：
  - 审核凭据验证：成功和失败（17.1.1）
  - 审核安全组管理：成功（17.2.5）
  - 审核登录：成功和失败（17.5.1）
  - 审核进程创建：成功（17.6.1）
  - 审核可移动存储：成功和失败（17.6.4）

安全选项（第 2.3 节）：

  - 交互式登录：不显示上次登录的用户名：已启用（2.3.7.1）
  - 交互式登录：计算机非活动限制：900 秒（2.3.7.3）
  - 网络访问：不允许匿名枚举 SAM 账户：已启用（2.3.10.2）
  - 网络安全：LAN 管理器认证级别：仅发送 NTLMv2 响应（2.3.11.7）
  - UAC：以管理员审批模式运行所有管理员：已启用（2.3.17.6）

Windows 防火墙（第 9 节）：

  - 域配置文件：防火墙状态：开启（9.1.1）
  - 域配置文件：入站连接：阻止（9.1.2）
  - 专用配置文件：防火墙状态：开启（9.2.1）
  - 公用配置文件：防火墙状态：开启（9.3.1）
  - 公用配置文件：入站连接：阻止（9.3.2）

步骤 4：使用 CIS-CAT 评估进行验证

# 针对目标端点运行 CIS-CAT Pro Assessor
# CIS-CAT 生成每项建议的通过/失败 HTML/XML 报告

.\Assessor-CLI.bat `
  -b "benchmarks\CIS_Microsoft_Windows_11_Enterprise_Benchmark_v3.0.0-xccdf.xml" `
  -p "Level 1 (L1) - Corporate/Enterprise Environment" `
  -rd "C:\CIS-Reports" `
  -nts

# 查看报告中的失败控制项
# 目标分数：L1 >= 95%，L2 >= 90%（考虑运营例外）

步骤 5：记录例外和补偿控制措施

对于每项无法应用的 CIS 建议：

1. 记录具体的建议 ID 和标题
2. 说明例外的业务理由
3. 定义解决残余风险的补偿控制措施
4. 设置审查日期（季度）以重新评估例外情况
5. 获得信息安全官员的批准签字

示例例外：

建议：2.3.7.3 - 交互式登录：计算机非活动限制：900 秒
例外：生产车间的信息亭系统需要 1800 秒
补偿控制：生产区域的实体门禁、闭路电视监控
审查日期：2026-06-01
批准人：CISO

步骤 6：持续合规监控

通过计划任务或 SCCM 配置定期 CIS-CAT 扫描：

# 创建每周 CIS-CAT 评估的计划任务
$action = New-ScheduledTaskAction -Execute "C:\CIS-CAT\Assessor-CLI.bat" `
  -Argument "-b benchmarks\CIS_Win11_v3.0.0-xccdf.xml -p Level1 -rd C:\CIS-Reports -nts"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "CIS-Benchmark-Scan" -Action $action `
  -Trigger $trigger -Principal $principal

将结果输入 SIEM 以进行配置漂移检测和仪表盘报告。

关键概念

术语	定义
CIS Benchmark	由 CIS 与政府、工业界和学术界共同制定的基于共识的安全配置指南
Level 1 配置文件	适用于大多数组织、对运营影响最小的实用安全基线
Level 2 配置文件	面向高安全环境的扩展安全基线，可能降低功能性
CIS-CAT	CIS 配置评估工具，可自动化 Benchmark 合规检查
构建套件	CIS 提供的预配置 GPO 模板，实现 Benchmark 建议
评分	CIS 建议分为计分项（可衡量合规性）和非计分项（最佳实践指导）

工具与系统

• CIS-CAT Pro Assessor：自动化 Benchmark 合规扫描器（需要 CIS SecureSuite 许可证）
• Microsoft Security Compliance Toolkit（SCT）：Microsoft 自有 GPO 基线（与 CIS 互补）
• 组策略管理控制台（GPMC）：企业 GPO 部署和管理
• LGPO.exe：用于将 GPO 应用于独立（非域）系统的 Microsoft 工具
• Nessus/Tenable：带有 CIS Benchmark 审计文件的漏洞扫描器

常见误区

• 对所有端点应用 L2：Level 2 限制（禁用自动播放、限制远程桌面）会破坏标准工作站上的工作流程。将 L2 保留给处理敏感数据的端点。
• 未在试点 OU 中测试 GPO：在全组织推广前，将 CIS GPO 部署到具有代表性硬件/软件的测试 OU，以避免破坏业务线应用程序。
• 忽略 CIS Benchmark 版本更新：CIS Benchmark 随每个 Windows 功能版本更新。运行过时的 Benchmark 会遗漏新的安全设置并生成虚假合规报告。
• 忘记本地管理员账户：CIS Benchmark 假设端点已加入域。独立系统需要 LGPO.exe 或 Microsoft Intune 来执行基线。
• 无例外处理流程：100% 应用 CIS 建议几乎不可行。没有正式的例外流程，团队要么忽略加固，要么破坏应用程序。