Cis benchmark windows server

Содержание
  1. Center for Internet Security (CIS) Benchmarks
  2. About CIS Benchmarks
  3. Microsoft and the CIS Benchmarks
  4. Microsoft in-scope cloud services
  5. Audits, reports, and certificates
  6. How to implement
  7. Frequently asked questions
  8. Use Microsoft Compliance Manager to assess your risk
  9. Контрольные показатели Center for Internet Security (CIS) Center for Internet Security (CIS) Benchmarks
  10. О контрольных показателях CIS About CIS Benchmarks
  11. Майкрософт и контрольные показатели CIS Microsoft and the CIS Benchmarks
  12. Облачные службы Майкрософт, к которым применима оценка Microsoft in-scope cloud services
  13. Аудит, отчеты и сертификаты Audits, reports, and certificates
  14. Методика реализации How to implement
  15. Вопросы и ответы Frequently asked questions
  16. Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт) Use Microsoft Compliance Manager to assess your risk
  17. CIS Benchmarks: лучшие практики и рекомендации по информационной безопасности
  18. Критические элементы управления безопасностью
  19. Контроль доступа
  20. Контроль доступа беспроводных сетей
  21. Контроль учетных записей
  22. Контроль уровня осведомленности персонала
  23. Контроль прикладного программного обеспечения
  24. Реагирование на инциденты
  25. Тестирование на проникновение

Center for Internet Security (CIS) Benchmarks

About CIS Benchmarks

The Center for Internet Security is a nonprofit entity whose mission is to ‘identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.’ It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

CIS benchmarks are configuration baselines and best practices for securely configuring a system. Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Each benchmark undergoes two phases of consensus review. The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

CIS benchmarks provide two levels of security settings:

CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft and the CIS Benchmarks

The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Microsoft was an integral partner in these CIS efforts. For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. CIS states that, ‘All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.’

Microsoft in-scope cloud services

Audits, reports, and certificates

Get a complete list of CIS benchmarks for Microsoft products and services.

How to implement

Frequently asked questions

Will following CIS Benchmark settings ensure the security of my applications?

CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

How often are CIS Benchmarks updated?

The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. To receive these, register for the CIS Workbench (it’s free) and check Receive newsletter in your profile.

Who contributed to the development of Microsoft CIS Benchmarks?

CIS notes that its ‘Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.’ For example, you’ll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Читайте также:  Epson l1110 драйвер windows 10

Use Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. Compliance Manager offers a premium template for building an assessment for this regulation. Find the template in the assessment templates page in Compliance Manager. Learn how to build assessments in Compliance Manager.

Источник

Контрольные показатели Center for Internet Security (CIS) Center for Internet Security (CIS) Benchmarks

О контрольных показателях CIS About CIS Benchmarks

Center for Internet Security представляет собой некоммерческую организацию, чья миссия заключается в том, чтобы «выявлять, разрабатывать, утверждать, продвигать и поддерживать лучшие практические решения для киберзащиты». The Center for Internet Security is a nonprofit entity whose mission is to ‘identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.’ Он опирается на знания и опыт экспертов в области кибербезопасности и ИТ-специалистов из государственных организаций, деловых и научных кругов со всего мира. It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. Для разработки стандартов и передовых методов, в том числе контрольных показателей CIS, средств управления и защищенных образов, они следуют консенсусной модели принятия решений. To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

Контрольные показатели CIS представляют собой базовые показатели конфигурации и рекомендации для безопасной настройки системы. CIS benchmarks are configuration baselines and best practices for securely configuring a system. В каждой из рекомендаций содержатся ссылки на одну или несколько точек управления CIS, которые были разработаны, чтобы помочь организациям улучшить свои возможности киберзащиты. Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. Контрольные точки CIS соответствуют многим установленным стандартам и нормативным положениям, включая NIST Cybersecurity Framework (CSF) и NIST SP 800-53, серию стандартов ISO 27000, PCI DSS, HIPAA и другие. CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Каждый контрольный показатель проходит два этапа консенсусного анализа. Each benchmark undergoes two phases of consensus review. Первый имеет место во время первоначальной разработки, когда эксперты собираются для обсуждения, создания и тестирования рабочих проектов, и продолжается до тех пор, пока они не достигнут консенсуса по контрольному показателю. The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. На втором этапе, после публикации контрольного показателя, консенсусная группа рассматривает отзывы интернет-сообщества для включения в контрольную точку. During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

В контрольных показателях CIS предусмотрены два уровня настроек безопасности: CIS benchmarks provide two levels of security settings:

CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак. Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Майкрософт и контрольные показатели CIS Microsoft and the CIS Benchmarks

Center for Internet Security (CIS) опубликовал контрольные точки производительности продуктов и служб Майкрософт, в том числе контрольные показатели для Microsoft Azure и ключевых компонентов Microsoft 365, контрольный показатель для Windows 10 и контрольный показатель для Windows Server 2016. The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

Контрольные показатели CIS признаны во всем мире как стандарты безопасности для защиты ИТ-систем и данных от кибератак. CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Используемые тысячами предприятий, они предлагают конкретные рекомендации по созданию безопасной базовой конфигурации. Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. Администраторы систем и приложений, специалисты по безопасности и другие специалисты, разрабатывающие решения с использованием продуктов и служб Майкрософт, могут использовать эти передовые методы для оценки и повышения безопасности своих приложений. System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Как и все контрольные показатели CIS, контрольные показатели для Майкрософт были созданы с использованием процесса консенсусного анализа, основанного на мнениях экспертов в данной области, имеющих разносторонний опыт в области разработки программного обеспечения, аудита и соответствия требованиям, исследований в области безопасности, операций, взаимодействия с государственными организациями и законодательства. Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Корпорация Майкрософт стала полноправным партнером в рамках таких усилий CIS. Microsoft was an integral partner in these CIS efforts. В частности, Office 365 был протестирован на соответствие перечисленным службам, и полученный в результате контрольный показатель для ключевых компонентов Microsoft 365 охватывает широкий спектр рекомендаций по настройке соответствующих политик безопасности в отношении учетных записей и проверки подлинности, управления данными, разрешений приложений, хранения и других областей политики безопасности. For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

Читайте также:  Postgresql автоматический backup windows

В дополнение к контрольным показателям для продуктов и служб Майкрософт, CIS также опубликовал CIS Hardened Images, предназначенные для использования на виртуальных машинах Azure, настроенных для соответствия контрольным показателям CIS. In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. В их число входят CIS Hardened Image для Microsoft Windows Server 2016, сертифицированный для запуска на Azure. These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. Согласно информации CIS, «все защищенные образы CIS, доступные на Azure Marketplace, сертифицированы для запуска на Azure. CIS states that, ‘All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. Они были предварительно протестированы на готовность и совместимость с общедоступным облаком Azure, облачной платформой Microsoft, размещенной поставщиками услуг через сеть Cloud OS Network, и развертываниями в локальном частном облаке Windows Server Hyper-V, управляемыми клиентами». They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.’

Облачные службы Майкрософт, к которым применима оценка Microsoft in-scope cloud services

Аудит, отчеты и сертификаты Audits, reports, and certificates

Получить полный список контрольных показателей CIS для продуктов и служб Майкрософт. Get a complete list of CIS benchmarks for Microsoft products and services.

Методика реализации How to implement

Вопросы и ответы Frequently asked questions

Будут ли параметры контрольных показателей CIS обеспечивать безопасность моих приложений? Will following CIS Benchmark settings ensure the security of my applications?

Контрольные показатели CIS определяют базовый уровень безопасности для всех пользователей, в сферу охвата которых входят продукты и службы Майкрософт. CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. Тем не менее, они должны рассматриваться не в качестве исчерпывающего списка всех возможных конфигураций и архитектур безопасности, а в качестве отправной точки. However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Каждая организация должна при этом оценивать свою конкретную ситуацию, рабочие нагрузки и соответствие требованиям и адаптировать свою среду соответствующим образом. Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

Как часто обновляются контрольные показатели CIS? How often are CIS Benchmarks updated?

Выпуск пересмотренных контрольных показателей CIS изменяется в зависимости от разработавшего их сообщества ИТ-специалистов, а также от графика выпуска технологии, поддерживаемой контрольными точками. The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS распространяет ежемесячные отчеты, в которых объявляется о новых контрольных показателях и обновлениях для существующих контрольных показателей. CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. Для их получения зарегистрируйтесь в CIS Workbench (это бесплатно) и поставьте флажок в поле Receive newsletter (Получать бюллетень) в своем профиле. To receive these, register for the CIS Workbench (it’s free) and check Receive newsletter in your profile.

Кто внес вклад в разработку контрольных показателей CIS для Майкрософт? Who contributed to the development of Microsoft CIS Benchmarks?

В CIS отмечает, что «контрольные показатели разрабатываются благодаря бескорыстным усилиям волонтеров-экспертов в данной области, поставщиков технологий, членов сообщества CIS Benchmark из государственных и частных организаций, а также команды разработчиков CIS Benchmark». CIS notes that its ‘Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.’ В частности, вы найдете список участников Azure в разделе Доступен контрольный показатель CIS для ключевых компонентов Microsoft Azure v1.0.0. For example, you’ll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт) Use Microsoft Compliance Manager to assess your risk

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Compliance Manager offers a premium template for building an assessment for this regulation. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. Find the template in the assessment templates page in Compliance Manager. См. Создание оценки в диспетчере соответствия требованиям. Learn how to build assessments in Compliance Manager.

Источник

CIS Benchmarks: лучшие практики и рекомендации по информационной безопасности

Центр интернет-безопасности (CIS) является некоммерческой организацией, которая разрабатывает собственные контрольные показатели и рекомендации, которые позволяют организациям совершенствовать свои программы обеспечения безопасности и соответствия требованиям. Эта инициатива направлена ​​на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях. В этой статье я продолжу публикацию лучших практик и советов по организации информационной безопасности.

Читайте также:  Spotify premium windows torrent

Первая часть: https://habr.com/post/338532/

Критические элементы управления безопасностью

Контроль доступа

Сегментируйте сети на основе ролей пользователей, уровня доступа или классификации информации, хранящейся на серверах. Храните конфиденциальную информацию о отделенных VLAN с настроенным межсетевым экраном; проверяйте что только авторизованные лица получают доступ к информации, необходимой для выполнения своих конкретных обязанностей.

Все средства коммуникации конфиденциальной информации должны использовать шифрование.

Вся информация, хранящаяся в системах, должна быть защищена на уровне файловой системой, сетевого доступа, приложения или списками управления доступом.Только уполномоченные лица должны иметь доступ к информации, основанной на необходимости доступа к информации в рамках своих обязанностей.

Чувствительная информация, хранящаяся в системах должны быть зашифрована и использовать вторичный механизм аутентификации, не интегрированный в операционную систему.

Необходимо вести подробный журнал аудита доступа к не публичной информации и специальной аутентификации для конфиденциальных данных.

Системы хранения резервных копий должны использоваться в качестве автономных систем.

Контроль доступа беспроводных сетей

Убедитесь в том, что каждое беспроводное устройство, подключенное к сети совпадает с разрешенной конфигурацией и профилем безопасности. Организация должна запретить доступ к этим беспроводным устройствам.

Настройте сетевые инструменты выявления уязвимостей для обнаружения беспроводных точек доступа, подключенных к проводной сети. Выявленные устройства должны быть согласованы со списком авторизованных точек беспроводного доступа.

Используйте системы обнаружения вторжений (WIDS) для идентификации неавторизованных беспроводных устройств и обнаружения попыток атак.

Убедитесь, что используется шифрование не ниже Advanced Encryption Standard (AES) и уровень защиты не ниже Wi-Fi Protected Access 2 (WPA2).

Убедитесь в том, что беспроводные сети используют протоколы аутентификации, такие как Extensible Authentication Protocol-Transport Layer Security (EAP / TLS), которые обеспечивают защиту учетных данных.

Создайте отдельных виртуальные локальные сети (VLAN) для систем BYOD или других ненадежных устройств. Доступ к этой VLAN должен рассматриваться как ненадежный.

Контроль учетных записей

Просмотрите все системные учетные записи и отключите учетные записи, которые не связаны с бизнесом-процессами.

Убедитесь в том, что все учетные записи имеют дату истечения срока действия, которая контролируется и применяется.

Немедленно блокировать учетные записи уволенных сотрудников. Отключение вместо удаления учетных записей позволяет сохранять данные аудита.

Регулярно контролируйте использование всех учетных записей, автоматический выход из системы после стандартного периода бездействия.

Настройте экран блокировки доступа к необслуживаемым рабочим станциям.

Следите за использованием учетных записей для определения неактивных аккаунтов. Отключите учетные записи, которые не отнесены к действующим сотрудникам.

Используйте и настройте блокировку учетных записей таким образом, чтобы после определенного числа неудачных попыток входа учетная запись была заблокирована.

Контролируйте попытки доступа деактивированных аккаунтов.

Настройте доступ для всех учетных записей с помощью централизованной точки аутентификации, например, Active Directory или LDAP.

Используйте многофакторную аутентификацию для всех учетных записей пользователей, имеющих доступ к конфиденциальным данным или системам.

Если многофакторная аутентификация не поддерживается, учетные записи должны иметь криптостойкие пароли в системе (более 14 символов).

Убедитесь, что все учетные записи и учетные данные аутентификации передаются по сети с использованием зашифрованных каналов.

Убедитесь в том, что все файлы аутентификации шифруются или хэшируются и что эти файлы не могут быть доступны никому, кроме администраторов.

Контроль уровня осведомленности персонала

Провести анализ навыков сотрудников в области практической ИБ.

Обеспечить должное обучение недостающим навыкам.

Реализовать программу по повышению безопасности, проводить регулярные тренинги.

Проверка и повышение уровня осведомленности с помощью периодических проверок, в том числе и социотехнических векторов атак и рассылок.

Используйте соревновательные мероприятия для достижения большего результата в области практической ИБ.

Контроль прикладного программного обеспечения

Для всех приобретаемых версий прикладного программного обеспечения — убедитесь, что версия, которую вы используете по-прежнему поддерживается поставщиком. Если нет, то обновитесь до самой последней версии и установите все необходимые патчи и рекомендации по безопасности.

Защитите веб-приложения с помощью межсетевых экранов веб-приложений.

Не показывайте сообщения об ошибках системы для конечных пользователей, не администратором системы.

Введите отдельные условия для производственных и непроизводственных систем. Разработчики не должны иметь неконтролируемый доступ к производственной среде.

Убедитесь в том, что весь персонал по разработке программного обеспечения знает и применяет приемы безопасного написания кода для конкретной среды разработки.

Используйте средства тестирования (в т.ч. автоматизированные) разрабатываемых приложений, документируйте и ведите историю релизов и багфиксинга.

Реагирование на инциденты

Убедитесь в том, что существует письменные процедуры реагирования на инциденты, которые включают в себя определение ролей персонала и определяют этапы обработки инцидента.

Опишите должностные обязанности и круг лиц для обработки инцидентов, а также принятия решений по ним.

Разрабатывайте организационные стандарты для сообщений об аномальных событиях, механизмы такой отчетности, а также такую ​​информацию, которая должна быть включена в уведомлении об инциденте. Эта отчетность должна также включать уведомления для ответственных лиц.

Публикуйте информацию по выявленным инцидентам внутри организации.

Проводите периодические учебные тревоги для выявления скорости и контроля обработки инцидентов.

Тестирование на проникновение

Регулярно проводите внешние и внутренние тесты на проникновение для выявления уязвимостей и векторов атак, которые могут быть успешно использованы для эксплуатации корпоративных систем. Тестирование на проникновение должно происходить вне пределов периметра сети ), а также внутри его границ (т.е. на внутренней сети), чтобы имитировать инсайдерские атаки.

Выполните периодические командное взаимодействие при проведении тестирования на проникновение — Red Team для проверки готовности организации к быстрому и эффективному реагирования.

Используйте автоматическое сканирование уязвимостей и инструменты тестирования на проникновения. Результаты оценки уязвимостей сканирования следует использовать в качестве отправной точки для тестированию на проникновение.

Введите балльную систему оценки защищенности систем и тщательно документируйте результаты каждого тестирования.

Создайте испытательные стенды для тестирования сверхкритичных элементов инфраструктуры.

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector