CIS 安全基准近期更新情况汇总（202408）

CIS 安全基准更新比较频繁，还是要想办法及时获取到更新。

距离上一次例行查看 CIS 安全基准的更新情况快半年了。按CIS 安全基准更新的频繁程度，对于管理的信息化资产复杂度适中的企业，一个季度检查一次比较适宜。

所谓适中，笔者的看法大约就是 Windows + Linux 混合环境，其中 Linux 不超过2种无上下游关系的发行版，再加上中间件和数据库各不超过2种。

超过这个复杂度的，每月检查更新并研究是否应用，就是必要程序了。

有兴趣的读者也可以看看笔者上一次观察的更新情况：

注意这里不表述关于 CIS Build Kits 的更新。

本月没有新增的安全基准。

具体包括：

• CIS Apple iOS 17 Benchmark v1.1.0

• CIS Apple iPadOS 17 Benchmark v1.1.0

• CIS Azure Kubernetes Service (AKS) Benchmark v1.5.0

• CIS Cisco ASA 9.x Benchmark v1.1.0 — Final Update

• CIS Fortigate 7.0.x Benchmark v1.3.0

• CIS Microsoft 365 Foundations Benchmark v3.1.0

• CIS Microsoft Windows 10 Stand-alone Benchmark v3.0.0

• CIS Microsoft Windows Server 2016 Benchmark v3.0.0

更新说明如下：

CIS Apple iOS 17 Benchmark v1.1.0、CIS Apple iPadOS 17 Benchmark v1.1.0，根据反馈更新了指引，围绕保护被盗设备（Stolen Device Protection）的功能增加了指引。

CIS Azure Kubernetes Service (AKS) Benchmark v1.5.0，支持基于 Kubernetes v1.27, v1.28, 和 v1.29 版本创建的集群，自动化了超过20项建议，修改和加强了超过60项建议，整体更新到支持 Kubernetes v1.29。

CIS Cisco ASA 9.x Benchmark v1.1.0，注意这个是最后更新，CISCO 已经在2023年12月终结了对 ASA 平台的支持。更新内容包括：处理了更新的命令以反映审计和风险缓解的正确方法，删除了关于 RIP 和 RIPv2 的建议，处理了12项用户提议。

CIS Fortigate 7.0.x Benchmark v1.3.0，也是处理了更新的命令以反映审计和风险缓解的正确方法，处理了56项用户提议。

CIS Microsoft 365 Foundations Benchmark v3.1.0，添加了4项新建议，更新了31项建议，按微软的产品变化修改了参考指引比如 Entra 等，语法和拼写也进行了修正。

CIS Microsoft Windows 10 Stand-alone Benchmark v3.0.0，分析了超过40项新设置和服务，添加了4项新的安全设置，更新了18项设置，删除了9项设置，按 ADMX 模版的更新进行多项调整。

CIS Microsoft Windows Server 2016 Benchmark v3.0.0，更新情况和 Windows 10 大同小异，包括分析了超过40项新设置和服务，添加了7项新的安全设置，更新了17项设置，删除了9项设置，按 ADMX 模版的更新进行多项调整。

本月包括更新和新增两种情况。

具体包括：

• CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.5.0

• CIS Google Container-Optimized OS Benchmark v1.2.0

• CIS Google Workspace Foundations Benchmark v1.2.0

• CIS Microsoft SQL Server 2019 Benchmark v1.4.0

• CIS Microsoft Windows 10 EMS Gateway Benchmark v3.0.0

• CIS Microsoft Windows 11 Stand-alone Benchmark v3.0.0

• CIS Microsoft Windows Server 2019 Benchmark v3.0.1

• CIS Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) Benchmark v1.5.0

• CIS Palo Alto Firewall 10 Benchmark v1.2.0

• CIS Palo Alto Firewall 11 Benchmark v1.1.0

更新说明如下：

CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.5.0，改动较多，包括自动化了19项建议，修改和加强了45项建议，整体更新到支持 Kubernetes v1.30。

CIS Google Workspace Foundations Benchmark v1.2.0，围绕新特性添加了指引，清晰化了有关用户访问的指引内容，删除了已经过时的建议项。

CIS Microsoft SQL Server 2019 Benchmark v1.4.0，为创建审计/扫描用户而添加了一节内容，更新和矫正了多项审计过程以改善结果的准确性。

CIS Microsoft Windows 10 EMS Gateway Benchmark v3.0.0，分析了超过40项新设置和服务，添加新安全设置，更新了18项设置，删除了9项设置，因 ADMX 模版更新而进行各种修改。

CIS Microsoft Windows 11 Stand-alone Benchmark v3.0.0，分析了超过40项设置和服务，添加了9项新安全设置，更新了18项设置，删除了10项设置，重命名了1项设置，，因 ADMX 模版更新而进行各种修改。

CIS Microsoft Windows Server 2019 Benchmark v3.0.1，修正了一项建议项的人为错误

CIS Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) Benchmark v1.5.0，支持基于Kubernetes v1.28, v1.29, and v1.30 实现的 Kubernetes 集群，具体更新情况包括自动化了20项建议项，修改和强化了43项建议项，安全基准和建议项目更新到支持 Kubernetes v1.30

CIS Palo Alto Firewall 10 Benchmark v1.2.0、CIS Palo Alto Firewall 11 Benchmark v1.1.0，解决了22项用户提出的问题，为扩大CIS-CAT的覆盖而更新了AAC。

5 月份新增了3项新的安全基准：

• CIS Apple macOS 12.0 Monterey Cloud-tailored Benchmark v1.0.0

• CIS Apple macOS 13.0 Ventura Cloud-tailored Benchmark v1.0.0

• CIS Apple macOS 14.0 Sonoma Cloud-tailored Benchmark v1.0.0

这三项新的安全基准是对 macOS 12/13/14在云端的安全设置要求，复刻了非云端下各macOS版本对应的CIS安全基准，删除了基于GUI的macOS配置项和配置方法，仅保留对每个检验项的基于终端的操作设置方法。删除了不适用于云端或在云端会阻碍工作的建议项。

本月包括更新和新增两种情况。

更新情况具体包括：

• CIS AlmaLinux OS 9 Benchmark v2.0.0

• CIS Apple macOS 12.0 Monterey Benchmark v3.1.0

• CIS Apple macOS 13.0 Ventura Benchmark v2.1.0

• CIS Apple macOS 14.0 Sonoma Benchmark v1.1.0

• CIS Google Kubernetes Engine (GKE) Benchmark v1.6.0

• CIS Microsoft Windows Server 2019 Stand-alone Benchmark v2.0.0

• CIS NGINX Benchmark v2.1.0

• CIS Oracle Linux 9 Benchmark v2.0.0

• CIS Red Hat Enterprise Linux 9 Benchmark v2.0.0

• CIS Red Hat OpenShift Container Platform Benchmark v1.6.0

• CIS Rocky Linux 9 Benchmark v2.0.0

CIS AlmaLinux OS 9 Benchmark v2.0.0，添加了44节，165项建议，删除了27节，123项建议，更新了12节，15项建议。

CIS Apple macOS 的三项基准均进行了这些内容调整：围绕睡眠和休眠模式更新了指引，对 Time Server 修改了指引，添加了关于设备追踪的指引，对 Safari 浏览器的建议进行了明显的更新。

CIS Google Kubernetes Engine (GKE) Benchmark v1.6.0，支持基于Kubernetes v1.28, v1.29, and v1.30创建的集群，自动化了22项建议，修改和增强了43项建议，安全基准和建议项目均更新到支持 Kubernetes v1.30。

CIS Microsoft Windows Server 2019 Stand-alone Benchmark v2.0.0，添加了4项新的安全设置，更新了11项设置，删除了8项设置，因 ADMX 模版更新而进行调整。

CIS NGINX Benchmark v2.1.0，为检查正确的用户而更新了 NGINX 用户权限脚本，解决了5项用户问题。

CIS Oracle Linux 9 Benchmark v2.0.0，解决了101项用户问题，添加了44节，165项建议，删除了27节，123项建议，更新了12节，15项建议。

CIS Red Hat Enterprise Linux 9 Benchmark v2.0.0，添加了44节，165项建议，删除了27节，123项建议，更新了11节，14项建议。

CIS Red Hat OpenShift Container Platform Benchmark v1.6.0，支持最新版本的 OpenShift v4.15而全面修改，审阅了27项建议并按需要进行了改良，所有的自动化建议项均进行了审阅和改良以支持 v4.15。

CIS Rocky Linux 9 Benchmark v2.0.0，解决了101项用户问题，添加了44节，165项建议，删除了27节，123项建议，更新了12节，15项建议。

新增的安全基准项包括：

• CIS AWS Storage Services Benchmark v1.0.0

• CIS Microsoft Azure Database Services Benchmark v1.0.0

CIS AWS Storage Services Benchmark v1.0.0，面向的是如下的AWS 服务：

• Amazon Elastic Block Store (EBS)

• Amazon Elastic File System (EFS)

• Amazon FSx

• Amazon Simple Storage Service (S3)

• AWS Elastic Disaster Recovery (EDS)

CIS Microsoft Azure Database Services Benchmark v1.0.0，面向的是如下 15项 Azure 数据库服务：

• Azure Cache for Redis

• Azure Cosmos DB

• Azure Data Factory

• Azure Database for MariaDB

• Azure Database for MySQL

• Azure Database for PostgreSQL

• Azure Database Migration Service

• Azure SQL

• Azure SQL Database

• Azure SQL Edge

• Azure SQL Managed Instance

• SQL Server on Azure Virtual Machines

• Table Storage

• Azure Managed Instance for Apache Cassandra

• Azure confidential ledger

本月包括更新和新增两种情况。

具体包括：

• CIS Apache HTTP Server 2.4 Benchmark v2.2.0

• CIS Docker Benchmark v1.7.0

• CIS Microsoft Edge Benchmark v3.0.0

• CIS Microsoft Office Enterprise Benchmark v1.2.0

CIS Apache HTTP Server 2.4 Benchmark v2.2.0，支持到 Apache HTTP Server v2.4.62，且进行了全面审阅和优化，对用于审计和按建议实施风险缓解的脚本和命令进行了更新。

CIS Docker Benchmark v1.7.0，支持最新版本到 Docker v26.x。

CIS Microsoft Edge Benchmark v3.0.0，微软产品总是变化多，增加了14项设置，更新了7项设置，删除了1项设置，更改了3项设置的名称。

CIS Microsoft Office Enterprise Benchmark v1.2.0，更新了1项设置，删除了两项设置。

本月新增3项安全基准如下：

• CIS Google Kubernetes Engine (GKE) Autopilot Benchmark v1.0.0

• CIS Mozilla Firefox ESR GPO Benchmark v1.0.0

• CIS Talos Linux Benchmark v1.0.0

其中，CIS Google Kubernetes Engine (GKE) Autopilot Benchmark v1.0.0 提供了针对运行 Google Kubernetes Engine (GKE) AutoPilot 的规范性指南，遵循推荐的安全控制措施，并包括管理员可以修改的控制项。

本月包括更新和新增两种情况。

具体包括：

• CIS Apache Cassandra 3.11 Benchmark v1.2.0 最终更新

• CIS Apache Cassandra 4.0 Benchmark v1.1.0

• CIS Microsoft Windows Server 2016 STIG Benchmark v3.0.0

其中 CIS Apache Cassandra 3.11 Benchmark v1.2.0 是最终版本，也就是停止更新。该安全基准只对应到 Apache Cassandra 3.11.17 ，建议更新相关信息系统到新版本。

CIS Apache Cassandra 4.0 Benchmark v1.1.0 对应到 Apache Cassandra 4.0.13。

CIS Microsoft Windows Server 2016 STIG Benchmark v3.0.0，Microsoft Windows 的加固基准总是频繁调整，这次的更新相对上一版本增加了12项设置、更新了30项设置和删除了10项设置。

系统管理员在对照调整时应充分理解这些调整的用意，并确定是否需要把之前做的加固设置进行相应的变更。

本月新增5项安全基准如下：

• CIS Apache Cassandra 4.1 Benchmark v1.0.0

• CIS Apache Tomcat 10.1 Benchmark v1.0.0

• CIS FreeBSD 14 Benchmark v1.0.0

• CIS Google ChromeOS Benchmark v1.0.0

• CIS Ubuntu Linux 24.04 LTS Benchmark v1.0.0

新增基准的情况说明：

CIS Apache Cassandra 4.1 Benchmark v1.0.0，对应到 Apache Cassandra 4.1.6。

CIS Apache Tomcat 10.1 Benchmark v1.0.0，是 Apache Tomcat 10.1 的首个加固基准。

CIS Google ChromeOS Benchmark v1.0.0，是对应 ChromeOS 的首个主要安全指引，与Google共同创建，包含了 Google Chrome 和 Google Workspace 安全基准的建议，还包括了适用于使用了 ChromeOS 受控访客进程的企业组织的安全指引。不过 ChromeOS 在国内比较罕见，用处不大。

注：题头图由豆包生成。

点赞和转发都是免费的↓ 

还可以看看这些内容：