Skill

hardening-windows-endpoint-with-cis-benchmark

Hardens Windows 10/11 and Server 2019/2022 endpoints using CIS Benchmarks via GPO templates and CIS-CAT verification. For new deployments, audit fixes, and compliance baselines.

Powershell

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

hardening-windows-endpoint-with-cis-benchmark

Hardens Windows 10/11 and Server 2019/2022 endpoints using CIS Benchmarks via GPO templates. For deployments, audit remediation, and compliance baselines.

asi

hardening-windows-endpoint-with-cis-benchmark

5.9k

Hardens Windows 10/11/Server endpoints using CIS Benchmarks with GPO imports, PowerShell configs, and compliance validation for audits and baselines.

7 files

cybersecurity-skills

hardening-linux-endpoint-with-cis-benchmark

Hardens Ubuntu, RHEL, CentOS Linux endpoints using CIS Benchmark: filesystem configs, disable services, network sysctls, SSH hardening. For new servers, audits, compliance baselines.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

使用 CIS Benchmark 加固 Windows 端点

使用场景

在以下情况下使用本技能：

部署需要安全加固的新 Windows 10/11 或 Server 2019/2022 端点
使用 CIS Level 1 或 Level 2 配置文件建立组织范围的安全基线
修复合规审计（PCI DSS、HIPAA、SOC 2）中引用 CIS Benchmark 的发现
验证现有端点配置是否符合当前 CIS Benchmark 版本

不适用于 Linux 端点（使用 hardening-linux-endpoint-with-cis-benchmark）或需要 CIS 云 Benchmark 的云原生工作负载。

前置条件

Windows 10/11 企业版或 Windows Server 2019/2022 目标端点
用于企业部署的 Active Directory 组策略管理控制台（GPMC）
用于自动化 Benchmark 评估的 CIS-CAT Pro Assessor 或 CIS-CAT Lite
目标端点或域控制器的管理员访问权限
目标 Windows 版本的最新 CIS Benchmark PDF（从 cisecurity.org 下载）

操作流程

步骤 1：选择 CIS Benchmark 配置文件级别

CIS 为 Windows 端点提供两个配置文件级别：

Level 1（L1）- 企业/公司环境：

适用于大多数组织的实用加固设置
对功能和用户体验影响最小
涵盖：密码策略、审计策略、用户权限、安全选项、Windows 防火墙

Level 2（L2）- 高安全性/敏感数据：

包含所有 L1 设置及额外限制
可能影响可用性（禁用自动运行、限制远程桌面、增强审计日志）
适用于处理 PII、PHI、PCI 数据或机密信息的系统

根据端点的数据分类和风险承受能力选择配置文件。

步骤 2：导入 CIS GPO 基线

CIS 为每个 Benchmark 版本提供预构建的 GPO 模板（构建套件）：

# 从 CIS WorkBench 下载 CIS 构建套件（需要 CIS SecureSuite 会员资格）
# 将 GPO 备份解压到暂存目录

# 将 CIS GPO 导入 Active Directory
Import-GPO -BackupGpoName "CIS Microsoft Windows 11 Enterprise v3.0.0 L1" `
  -TargetName "CIS-Win11-L1-Baseline" `
  -Path "C:\CIS-GPO-Backups\Win11-Enterprise" `
  -CreateIfNeeded

# 将 GPO 链接到目标 OU
New-GPLink -Name "CIS-Win11-L1-Baseline" `
  -Target "OU=Workstations,DC=corp,DC=example,DC=com" `
  -LinkEnabled Yes

步骤 3：应用关键 CIS Benchmark 类别

账户策略（第 1 节）：

密码策略：
  - 最小密码长度：14 个字符（1.1.4）
  - 最大密码有效期：365 天（1.1.3）
  - 密码复杂性：已启用（1.1.5）
  - 使用可还原加密存储密码：已禁用（1.1.6）

账户锁定策略：
  - 账户锁定阈值：5 次无效登录尝试（1.2.1）
  - 账户锁定持续时间：15 分钟（1.2.2）
  - 在以下时间后重置账户锁定计数器：15 分钟（1.2.3）

本地策略 - 审计策略（第 17 节）：

审计策略配置：
  - 审核凭据验证：成功和失败（17.1.1）
  - 审核安全组管理：成功（17.2.5）
  - 审核登录：成功和失败（17.5.1）
  - 审核进程创建：成功（17.6.1）
  - 审核可移动存储：成功和失败（17.6.4）

安全选项（第 2.3 节）：

  - 交互式登录：不显示上次登录的用户名：已启用（2.3.7.1）
  - 交互式登录：计算机非活动限制：900 秒（2.3.7.3）
  - 网络访问：不允许匿名枚举 SAM 账户：已启用（2.3.10.2）
  - 网络安全：LAN 管理器认证级别：仅发送 NTLMv2 响应（2.3.11.7）
  - UAC：以管理员审批模式运行所有管理员：已启用（2.3.17.6）

Windows 防火墙（第 9 节）：

  - 域配置文件：防火墙状态：开启（9.1.1）
  - 域配置文件：入站连接：阻止（9.1.2）
  - 专用配置文件：防火墙状态：开启（9.2.1）
  - 公用配置文件：防火墙状态：开启（9.3.1）
  - 公用配置文件：入站连接：阻止（9.3.2）

步骤 4：使用 CIS-CAT 评估进行验证

# 针对目标端点运行 CIS-CAT Pro Assessor
# CIS-CAT 生成每项建议的通过/失败 HTML/XML 报告

.\Assessor-CLI.bat `
  -b "benchmarks\CIS_Microsoft_Windows_11_Enterprise_Benchmark_v3.0.0-xccdf.xml" `
  -p "Level 1 (L1) - Corporate/Enterprise Environment" `
  -rd "C:\CIS-Reports" `
  -nts

# 查看报告中的失败控制项
# 目标分数：L1 >= 95%，L2 >= 90%（考虑运营例外）

步骤 5：记录例外和补偿控制措施

对于每项无法应用的 CIS 建议：

记录具体的建议 ID 和标题
说明例外的业务理由
定义解决残余风险的补偿控制措施
设置审查日期（季度）以重新评估例外情况
获得信息安全官员的批准签字

示例例外：

建议：2.3.7.3 - 交互式登录：计算机非活动限制：900 秒
例外：生产车间的信息亭系统需要 1800 秒
补偿控制：生产区域的实体门禁、闭路电视监控
审查日期：2026-06-01
批准人：CISO

步骤 6：持续合规监控

通过计划任务或 SCCM 配置定期 CIS-CAT 扫描：

# 创建每周 CIS-CAT 评估的计划任务
$action = New-ScheduledTaskAction -Execute "C:\CIS-CAT\Assessor-CLI.bat" `
  -Argument "-b benchmarks\CIS_Win11_v3.0.0-xccdf.xml -p Level1 -rd C:\CIS-Reports -nts"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "CIS-Benchmark-Scan" -Action $action `
  -Trigger $trigger -Principal $principal

将结果输入 SIEM 以进行配置漂移检测和仪表盘报告。

关键概念

术语	定义
CIS Benchmark	由 CIS 与政府、工业界和学术界共同制定的基于共识的安全配置指南
Level 1 配置文件	适用于大多数组织、对运营影响最小的实用安全基线
Level 2 配置文件	面向高安全环境的扩展安全基线，可能降低功能性
CIS-CAT	CIS 配置评估工具，可自动化 Benchmark 合规检查
构建套件	CIS 提供的预配置 GPO 模板，实现 Benchmark 建议
评分	CIS 建议分为计分项（可衡量合规性）和非计分项（最佳实践指导）

工具与系统

CIS-CAT Pro Assessor：自动化 Benchmark 合规扫描器（需要 CIS SecureSuite 许可证）
Microsoft Security Compliance Toolkit（SCT）：Microsoft 自有 GPO 基线（与 CIS 互补）
组策略管理控制台（GPMC）：企业 GPO 部署和管理
LGPO.exe：用于将 GPO 应用于独立（非域）系统的 Microsoft 工具
Nessus/Tenable：带有 CIS Benchmark 审计文件的漏洞扫描器

常见误区

对所有端点应用 L2：Level 2 限制（禁用自动播放、限制远程桌面）会破坏标准工作站上的工作流程。将 L2 保留给处理敏感数据的端点。
未在试点 OU 中测试 GPO：在全组织推广前，将 CIS GPO 部署到具有代表性硬件/软件的测试 OU，以避免破坏业务线应用程序。
忽略 CIS Benchmark 版本更新：CIS Benchmark 随每个 Windows 功能版本更新。运行过时的 Benchmark 会遗漏新的安全设置并生成虚假合规报告。
忘记本地管理员账户：CIS Benchmark 假设端点已加入域。独立系统需要 LGPO.exe 或 Microsoft Intune 来执行基线。
无例外处理流程：100% 应用 CIS 建议几乎不可行。没有正式的例外流程，团队要么忽略加固，要么破坏应用程序。