了解 CIS 合规策略

合规功能可帮助终端遵循特定的基线配置，以提升安全性并满足监管要求。每项合规策略都是一组规则，基于全球公认的标准和安全配置最佳实践指南，可用于审核您的终端及其上运行的软件，从而了解并改进其安全态势。抵御网络攻击的第一道防线，是确保在终端中实施并持续维护基础安全配置。Endpoint Central 的合规模块可通过定期根据已知标准（如 CIS 基准）审核系统配置的合规性，并提供详细步骤来帮助您实现合规。

适用于：

• Windows
• Linux

CIS 策略

互联网安全中心（CIS）通过一种独特的、基于共识的流程，联合来自全球的网络安全专业人员和主题专家，为多种应用程序、操作系统、服务器和数据库制定基准。CIS 基准包含用于微调目标系统安全配置的标准和最佳实践。CIS 基准已被全球各地、各行业的组织用于实现安全与合规目标。此外，PCI DSS（支付卡行业数据安全标准）、HIPPA（健康保险流通与责任法案）、FISMA（联邦信息安全管理法案）及其他监管框架中详细说明的配置建议，都与 CIS 基准保持一致，并将其视为权威标准。

Endpoint Central 开箱即用的 CIS 策略直接源自最新的 CIS 基准，并已获得 CIS 官方认证，可用于审计。这些认证是通过提交各基准中所有规则（配置建议）的测试用例，由 CIS 人员进行验证后获得的。借助 Endpoint Central 的 CIS 合规功能，可根据 CIS 策略中的规则评估终端安全配置的合规性，并为每项违规提供修复建议。策略中的每条规则都会分配一个配置文件级别，用于表示推荐配置的安全等级。

• 配置文件级别 1（L1）表示最低配置建议，通常被认为可安全应用于大多数系统，且不会造成明显的性能影响。带有级别 1 配置文件标签的策略仅包含级别 1 的配置建议或规则。
• 配置文件级别 2（L2）被视为纵深防御，包含适用于高安全环境的配置建议，实施时需要更多协调和规划，以尽量减少对业务的影响。带有级别 2 配置文件的策略同时包含级别 1 和级别 2 的配置建议或规则。

查看 Endpoint Central 官方支持的完整 CIS 基准列表。

您可以在控制台中依次进入 Compliance → Policy Groups，然后点击 Create Group 按钮来找到 CIS 策略。选择平台后，系统会将您重定向到一个新窗口，在那里您可以看到策略列表。选择某项策略后，会显示该策略所包含规则的详细分类。下图展示了 CIS 基准策略的结构。 

注意：点击 Compliance → Policy Group，然后点击 Built-in Templates，您可以查看 ManageEngine 预先创建的策略模板；您也可以将其用于合规扫描。

每项 CIS 策略中的规则会根据其所属组件进行分组，例如密码策略、账户锁定策略等。点击组件标题可展开并查看规则。每条规则都会为某项安全配置建议一个推荐值。在审计扫描期间，系统将根据这些规则评估您系统的安全配置是否合规。点击某条规则将显示：

• 有关安全设置/配置的详细摘要，包括默认值、可取值范围以及推荐值。
• 对推荐值提供详细说明的依据。
• “如何修复”列，若您的系统设置违反了该规则，此列会提供实施推荐值的详细步骤。

选择所需的 CIS 合规策略后，点击 Create Group 即可完成策略组创建。您可以将此策略组用于 CIS 合规审计。

注意：新的合规策略或现有合规策略的变更会每天凌晨 1 点定期从中央漏洞数据库同步到中央服务器。此合规数据同步不会在常规漏洞数据库同步期间进行。如果合规数据同步失败，请参阅这篇文章进行故障排查。

注意：该功能并非在所有国家/地区均可用。有关更多详情，请联系支持团队。