Saltar al contenido principal
Los CIS Benchmarks son guías de configuración segura basadas en consenso que se utilizan para reforzar sistemas, software y redes, una base reconocida por la industria para reducir la superficie de ataque. Úselos con Primo y FleetDM para evaluar el cumplimiento y hacer cumplir la configuración en toda su flota macOS y Windows.

soporte del sistema operativo

macOSWindowsLinuxiOS / iPadOSAndroid
✅macOS 13+✅ Windows 10+ Empresa

Acerca de los puntos de referencia de la CEI

Los puntos de referencia CIS son desarrollados por la comunidad a través de un proceso de consenso abierto (CIS WorkBench) con el gobierno, la industria y el mundo académico. Hay más de 100 puntos de referencia en más de 25 familias de proveedores. Cada punto de referencia se envía con dos perfiles:
  • Nivel 1: configuraciones prudentes y de bajo impacto que brindan un valor de seguridad claro.
  • Nivel 2: configuraciones más sólidas y de defensa en profundidad que pueden afectar la usabilidad/rendimiento.

Cómo agregar puntos de referencia CIS

Ejecute este script para generar el archivo YAML de consultas de políticas CIS para su instancia FleetDM: 
#!/bin/bash
#shellcheck disable=SC2207

# convert.cis.policy.queries.yml @2024 Fleet Device Management

# CIS queries as written here:
#    https://github.com/fleetdm/fleet/blob/main/ee/cis/macos-14/cis-policy-queries.yml
# must be converted to be uploaded via Fleet GitOps.
#
# This script takes as input the YAML from the file linked above & creates a new YAML array compatible with the "Separate file" format documented here:
#    https://fleetdm.com/docs/configuration/yaml-files#separate-file

# get CIS queries raw file from Fleet repo
cisfile='https://raw.githubusercontent.com/fleetdm/fleet/refs/heads/main/ee/cis/macos-14/cis-policy-queries.yml'
cispath='/private/tmp/cis.yml'

/usr/bin/curl -X GET -LSs "$cisfile" -o "$cispath"

# create CIS benchmark array
IFS=$'\n'
cisarry=($(/opt/homebrew/bin/yq '.spec.name' "$cispath" | /usr/bin/grep -v '\-\-\-'))

for i in "${cisarry[@]}"
do
    cisname="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.name')"
    cispfrm="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval '.platform')"
    cisdscr="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.description')"
    cisrslt="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.resolution')"
    cisqrry="$(/opt/homebrew/bin/yq ".[] | select(.name == \"$i\") | (del(.platforms)) | (del(.purpose)) | (del(.tags)) | (del(.contributors))" "$cispath" | /opt/homebrew/bin/yq eval --unwrapScalar=true '.query')"

    printf "name: %s\nplatform: %s\ndescription: |\n%s\nresolution: |\n%s\nquery: |\n%s\n" "$cisname" "$cispfrm" "$cisdscr" "$cisrslt" "$cisqrry" | /usr/bin/sed 's/^/    /g;s/^[[:space:]]*name:/- name:/;s/^[[:space:]]*platform:/  platform:/;s/^[[:space:]]*description:/  description:/;s/^[[:space:]]*resolution:/  resolution:/;s/^[[:space:]]*query:/  query:/'

done
Luego cargue las políticas en su instancia FleetDM: 
fleetctl apply --policies-team "Workstations" -f cis-policy-queries.yml

Dónde encajan las herramientas MDM (Fleet/Primo)

Fleet expone consultas de políticas para evaluar el cumplimiento de CIS en macOS 13+ y Windows 10+ (Enterprise). Las políticas no corrigen: aún necesita perfiles MDM y/o scripts para aplicar la configuración, y puede usar automatizaciones para impulsar los flujos de trabajo de corrección. Algunas comprobaciones requieren inscripción MDM y permisos de agente específicos.

En macOS

Cifrado de disco

Esta política tiene una plantilla con Primo y funciona para dispositivos macOS y Windows.
  1. En Primo, vaya a MDM > Perfiles
  2. Seleccione todos los dispositivos
  3. Haga clic en la tarjeta: Cifrado
  4. Haga clic en “Activar configuración”
  5. Finalmente, confirma. Captura de pantalla: Cifrado de disco

Política de contraseñas y bloqueo automático de pantalla.

Los tiempos de espera de bloqueo breves y las contraseñas seguras ayudan a prevenir ataques como la navegación por el hombro, el uso indebido de información privilegiada y el acceso oportunista a portátiles desatendidos. Esta política tiene una plantilla con Primo y funciona para dispositivos iOS, macOS y Windows.
  1. En Primo, vaya a MDM > Perfiles
  2. Seleccione todos los dispositivos
  3. Haga clic en la tarjeta: Contraseña y bloqueo de pantalla
  4. Haga clic en “Activar configuración”
  5. Navegue a las pestañas Mac, Windows y iOS para configurar cada una.
  6. Finalmente, confirma.

Cortafuegos incorporado

Captura de pantalla: Política de contraseñas y bloqueo de pantalla automático El tráfico entrante denegado de forma predeterminada reduce la posibilidad de que un servicio inactivo se convierta en un punto de entrada a la red, especialmente en Wi-Fi público. Esta política tiene una plantilla con Primo y funciona para dispositivos macOS y Windows.
  1. En Primo, vaya a MDM > Perfiles
  2. Seleccione todos los dispositivos
  3. Haga clic en la tarjeta: Firewall
  4. Haga clic en “activar configuración”
  5. Finalmente, confirma. Captura de pantalla: Firewall incorporado

Modo sigiloso del cortafuegos

Ocultarse de ICMP y sondas similares hace que los dispositivos sean más difíciles de enumerar en los análisis y ralentiza la propagación de gusanos. Esta política no tiene una plantilla con Primo y debe configurarse como una configuración de perfil personalizado.
  1. En Primo, vaya a MDM > Perfiles
  2. Seleccione todos los dispositivos
  3. Haga clic en la tarjeta: Agregar una configuración MDM personalizada
  4. Asígnele un nombre (es decir, Bloquear ICMP) y una descripción (es decir, la descripción anterior)
  5. Para macOS, cargue la siguiente configuración móvil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadIdentifier</key>
        <string>com.getprimo.cis.6EC2A11D-313F-410F-B2FA-80F1D726624A</string>
        <key>PayloadUUID</key>
        <string>AE317001-B5E0-4F78-B971-954506775306</string>
        <key>PayloadDisplayName</key>
        <string>Firewall Stealth Mode</string>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadType</key>
                <string>com.apple.security.firewall</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadIdentifier</key>
                <string>com.getprimo.cis.stealth</string>
                <key>PayloadUUID</key>
                <string>B852FF89-DBE2-4F85-BE9C-20D180F5C859</string>
                <key>EnableStealthMode</key>
                <true/>
            </dict>
        </array>
    </dict>
</plist>
  1. Finalmente, confirma.

En Windows

Cifrado de disco

Esta política tiene una plantilla con Primo y funciona para dispositivos macOS y Windows. Siga los mismos pasos que en la sección Cifrado de disco macOS anterior: la tarjeta de cifrado en los perfiles se aplica a ambas plataformas.

Política de contraseñas y bloqueo automático de pantalla.

Esta política tiene una plantilla con Primo y funciona para dispositivos iOS, macOS y Windows. Siga los mismos pasos que la sección Política de contraseñas de macOS anterior. Asegúrese de configurar la pestaña Windows por separado.

Cortafuegos incorporado

Esta política tiene una plantilla con Primo y funciona para dispositivos macOS y Windows. Siga los mismos pasos que en la sección anterior sobre Firewall integrado macOS: la tarjeta de Firewall en los perfiles se aplica a ambas plataformas.