Zum Hauptinhalt springen
CIS-Benchmarks sind konsensbasierte sichere Konfigurationsleitfäden, die zur Absicherung von Systemen, Software und Netzwerken verwendet werden – eine branchenweit anerkannte Grundlage zur Reduzierung der Angriffsfläche. Verwenden Sie sie mit Primo und FleetDM, um die Compliance zu bewerten und Einstellungen in Ihrer gesamten macOS- und Windows-Flotte durchzusetzen.

Betriebssystemunterstützung

macOSWindowsLinuxiOS / iPadOSAndroid
✅ macOS 13+✅ Windows 10+ Unternehmen

Über CIS-Benchmarks

CIS-Benchmarks werden durch einen offenen Konsensprozess (CIS WorkBench) mit Regierung, Industrie und Wissenschaft von der Community entwickelt. Es gibt über 100 Benchmarks für über 25 Anbieterfamilien. Jeder Benchmark wird mit zwei Profilen geliefert:
  • Stufe 1: umsichtige Einstellungen mit geringen Auswirkungen, die einen klaren Sicherheitswert bieten.
  • Stufe 2: stärkere, tiefgehende Verteidigungseinstellungen, die sich auf die Benutzerfreundlichkeit/Leistung auswirken können.

So fügen Sie CIS-Benchmarks hinzu

Führen Sie dieses Skript aus, um die YAML-Datei für CIS-Richtlinienabfragen für Ihre FleetDM-Instanz zu generieren: 
#!/bin/bash
#shellcheck disable=SC2207

# convert.cis.policy.queries.yml @2024 Fleet Device Management

# CIS queries as written here:
#    https://github.com/fleetdm/fleet/blob/main/ee/cis/macos-14/cis-policy-queries.yml
# must be converted to be uploaded via Fleet GitOps.
#
# This script takes as input the YAML from the file linked above & creates a new YAML array compatible with the "Separate file" format documented here:
#    https://fleetdm.com/docs/configuration/yaml-files#separate-file

# get CIS queries raw file from Fleet repo
cisfile='https://raw.githubusercontent.com/fleetdm/fleet/refs/heads/main/ee/cis/macos-14/cis-policy-queries.yml'
cispath='/private/tmp/cis.yml'

/usr/bin/curl -X GET -LSs "$cisfile" -o "$cispath"

# create CIS benchmark array
IFS=$'\n'
cisarry=($(/opt/homebrew/bin/yq '.spec.name' "$cispath" | /usr/bin/grep -v '\-\-\-'))

for i in "${cisarry[@]}"
do
    cisname="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.name')"
    cispfrm="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.platform')"
    cisdscr="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.description')"
    cisrslt="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.resolution')"
    cisqrry="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.query')"

    printf "name: %s\nplatform: %s\ndescription: |\n%s\nresolution: |\n%s\nquery: |\n%s\n" "$cisname" "$cispfrm" "$cisdscr" "$cisrslt" "$cisqrry" | /usr/bin/sed 's/^/    /g;s/^[[:space:]]*name:/- name:/;s/^[[:space:]]*platform:/  platform:/;s/^[[:space:]]*description:/  description:/;s/^[[:space:]]*resolution:/  resolution:/;s/^[[:space:]]*query:/  query:/'

done
Laden Sie dann die Richtlinien auf Ihre FleetDM-Instanz hoch: 
fleetctl apply --policies-team "Workstations" -f cis-policy-queries.yml

Wo MDM-Werkzeuge passen (Fleet/Primo)

Fleet stellt Richtlinienabfragen bereit, um die CIS-Konformität auf macOS 13+ und Windows 10+ (Enterprise) zu bewerten. Richtlinien führen keine Korrekturen durch – Sie benötigen weiterhin MDM-Profile und/oder Skripte, um Einstellungen durchzusetzen, und Sie können Automatisierungen verwenden, um Korrekturworkflows voranzutreiben. Für einige Prüfungen sind eine MDM-Registrierung und bestimmte Agentenberechtigungen erforderlich.

Auf macOS

Festplattenverschlüsselung

Diese Richtlinie wurde mit Primo erstellt und funktioniert sowohl für macOS- als auch für Windows-Geräte.
  1. Gehen Sie auf Primo zu MDM > Profile
  2. Wählen Sie alle Geräte
  3. Klicken Sie auf die Karte: Verschlüsselung
  4. Klicken Sie auf „Einstellung aktivieren“
  5. Abschließend bestätigen. Screenshot: Festplattenverschlüsselung

Passwortrichtlinie und automatische Bildschirmsperre

Kurze Sperrzeitüberschreitungen und sichere Passwörter tragen dazu bei, Angriffe wie Schulter-Surfen, Insider-Missbrauch und opportunistischen Zugriff auf unbeaufsichtigte Laptops zu verhindern. Diese Richtlinie wurde mit Primo erstellt und funktioniert für iOS-, macOS- und Windows-Geräte.
  1. Gehen Sie auf Primo zu MDM > Profile
  2. Wählen Sie alle Geräte
  3. Klicken Sie auf die Karte: Passwort & Bildschirmsperre
  4. Klicken Sie auf „Einstellung aktivieren“
  5. Navigieren Sie zu den Registerkarten Mac, Windows und iOS, um die einzelnen Registerkarten zu konfigurieren.
  6. Abschließend bestätigen.

Integrierte Firewall

Screenshot: Passwortrichtlinie und automatische Bildschirmsperre Durch die Standardverweigerung des eingehenden Datenverkehrs verringert sich die Wahrscheinlichkeit, dass ein inaktiver Dienst zum Netzwerkeintrittspunkt wird, insbesondere in öffentlichen WLANs. Diese Richtlinie wurde mit Primo erstellt und funktioniert sowohl für macOS- als auch für Windows-Geräte.
  1. Gehen Sie auf Primo zu MDM > Profile
  2. Wählen Sie alle Geräte
  3. Klicken Sie auf die Karte: Firewall
  4. Klicken Sie auf „Einstellung aktivieren“
  5. Abschließend bestätigen. Screenshot: Integrierte Firewall

Firewall-Stealth-Modus

Das Verstecken vor ICMP und ähnlichen Sonden erschwert die Aufzählung von Geräten bei Scans und verlangsamt die Ausbreitung des Wurms. Diese Richtlinie ist nicht mit Primo als Vorlage erstellt und muss als benutzerdefinierte Profileinstellung konfiguriert werden.
  1. Gehen Sie auf Primo zu MDM > Profile
  2. Wählen Sie alle Geräte
  3. Klicken Sie auf die Karte: Eine benutzerdefinierte MDM-Einstellung hinzufügen
  4. Geben Sie ihm einen Namen (z. B. ICMP blockieren) und eine Beschreibung (z. B. die obige Beschreibung).
  5. Laden Sie für macOS die folgende mobileKonfiguration hoch
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadIdentifier</key>
        <string>com.getprimo.cis.6EC2A11D-313F-410F-B2FA-80F1D726624A</string>
        <key>PayloadUUID</key>
        <string>AE317001-B5E0-4F78-B971-954506775306</string>
        <key>PayloadDisplayName</key>
        <string>Firewall Stealth Mode</string>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadType</key>
                <string>com.apple.security.firewall</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadIdentifier</key>
                <string>com.getprimo.cis.stealth</string>
                <key>PayloadUUID</key>
                <string>B852FF89-DBE2-4F85-BE9C-20D180F5C859</string>
                <key>EnableStealthMode</key>
                <true/>
            </dict>
        </array>
    </dict>
</plist>
  1. Abschließend bestätigen.

Auf Windows

Festplattenverschlüsselung

Diese Richtlinie wurde mit Primo erstellt und funktioniert sowohl für macOS- als auch für Windows-Geräte. Befolgen Sie die gleichen Schritte wie im Abschnitt „macOS-Festplattenverschlüsselung“ oben – die Verschlüsselungskarte in Profilen gilt für beide Plattformen.

Passwortrichtlinie und automatische Bildschirmsperre

Diese Richtlinie wurde mit Primo erstellt und funktioniert für iOS-, macOS- und Windows-Geräte. Befolgen Sie die gleichen Schritte wie im Abschnitt macOS-Passwortrichtlinie oben. Stellen Sie sicher, dass Sie die Registerkarte Windows separat konfigurieren.

Integrierte Firewall

Diese Richtlinie wurde mit Primo erstellt und funktioniert sowohl für macOS- als auch für Windows-Geräte. Befolgen Sie die gleichen Schritte wie im Abschnitt „Integrierte Firewall macOS“ oben – die Firewall-Karte in Profilen gilt für beide Plattformen.