CIS-Compliance-Richtlinien verstehen

Die Compliance-Funktion unterstützt bei der Einhaltung spezifischer Basis-Konfigurationen für Endpunkte, um die Sicherheit zu verbessern und regulatorische Anforderungen zu erfüllen. Jede Compliance-Richtlinie ist eine Sammlung von Regeln, die auf weltweit anerkannten Standards und Best-Practice-Richtlinien für Sicherheitskonfigurationen basieren und zur Überprüfung Ihrer Endpunkte sowie der darauf ausgeführten Software verwendet werden können, um deren Sicherheitsstatus zu verstehen und zu verbessern. Die erste Verteidigungslinie gegen Cyberangriffe besteht darin, sicherzustellen, dass grundlegende Sicherheitskonfigurationen auf Ihren Endpunkten implementiert und aufrechterhalten werden. Das Endpoint-Central-Compliance-Modul unterstützt Sie dabei, indem es die Konfigurations-Compliance Ihrer Systeme regelmäßig anhand bekannter Standards wie CIS-Benchmarks überprüft und detaillierte Schritte zur Einhaltung bereitstellt.

Gilt für:

• Windows
• Linux

CIS-Richtlinien

Das Center for Internet Security (CIS) entwickelt Benchmarks für eine Vielzahl von applicationen, Betriebssystemen, Servern und Datenbanken durch einen einzigartigen konsensbasierten Prozess unter Beteiligung einer Community von Cybersicherheitsfachleuten und Fachexperten aus der ganzen Welt. CIS-Benchmarks enthalten Standards und Best Practices zur Feinabstimmung der Sicherheitskonfigurationen eines Zielsystems. CIS-Benchmarks werden von Organisationen auf der ganzen Welt und aus verschiedenen Branchen genutzt, um Sicherheits- und Compliance-Ziele zu erfüllen. Darüber hinaus stimmen die in PCI DSS (Payment Card Industry Data Security Standard), HIPPA (Health Insurance Portability Accountability Act), FISMA (Federal Information Security Management Act) und anderen regulatorischen Rahmenwerken detaillierten Konfigurationsempfehlungen mit CIS-Benchmarks überein und verweisen auf diese als maßgeblichen Standard.

Die sofort einsatzbereiten CIS-Richtlinien von Endpoint Central sind direkte Ableitungen der neuesten CIS-Benchmarks und offiziell von CIS für die Verwendung in Audits zertifiziert. Die Zertifizierungen werden erlangt, indem Testfälle für alle Regeln (Empfehlungen für Konfigurationen) innerhalb jedes Benchmarks zur Validierung durch CIS-Mitarbeiter eingereicht werden. Mit der CIS-Compliance-Funktion von Endpoint Central können Sicherheitskonfigurationen von Endpunkten auf die Einhaltung der Regeln in CIS-Richtlinien geprüft werden, und für jeden Verstoß werden Abhilfemaßnahmen empfohlen. Jeder Regel in der Richtlinie ist ein Profil zugewiesen. Das Profil zeigt das Sicherheitsniveau der empfohlenen Konfiguration an.

• Profilstufe 1 (L1) gibt eine minimale Konfigurationsempfehlung an und gilt im Allgemeinen als sicher für die Anwendung auf den meisten Systemen, ohne erhebliche Leistungseinbußen. Richtlinien mit dem Profilkennzeichen Stufe 1 enthalten nur Konfigurationsempfehlungen oder Regeln der Stufe 1.
• Profilstufe 2 (L2) gilt als Defense-in-Depth und umfasst Konfigurationsempfehlungen für hochsichere Umgebungen; ihre Umsetzung erfordert mehr Abstimmung und Planung, um geschäftliche Unterbrechungen zu minimieren. Richtlinien mit Profilstufe 2 enthalten sowohl Konfigurationsempfehlungen oder Regeln der Stufe 1 als auch der Stufe 2.

Sehen Sie sich die vollständige Liste der von Endpoint Central offiziell unterstützten CIS-Benchmarks an.

Sie finden die CIS-Richtlinien in der Konsole, indem Sie zu Compliance → Richtliniengruppen navigieren und auf die Schaltfläche Gruppe erstellen klicken. Nach der Auswahl der Plattform werden Sie in ein neues Fenster weitergeleitet, in dem Sie eine Liste der Richtlinien sehen können. Wenn Sie eine Richtlinie auswählen, wird eine detaillierte Aufschlüsselung der zugehörigen Regeln für diese Richtlinie angezeigt. Das folgende Bild zeigt, wie eine CIS-Benchmark-Richtlinie aufgebaut ist. 

Hinweis: Wenn Sie auf Compliance → Richtliniengruppe und anschließend auf Integrierte Vorlagen klicken, können Sie die von ManageEngine vorerstellten Richtlinienvorlagen sehen; Sie können diese auch für Compliance-Scans verwenden.

Die Regeln innerhalb jeder CIS-Richtlinie sind nach dem jeweiligen Bestandteil gruppiert, auf den sie sich beziehen, z. B. Passwortrichtlinien, Kontosperrungsrichtlinien usw. Klicken Sie auf den Komponententitel, um ihn zu erweitern und die Regeln anzuzeigen. Jede Regel schlägt einen empfohlenen Wert für eine Sicherheitskonfiguration vor. Während des Audit-Scans werden die Sicherheitskonfigurationen Ihrer Systeme auf die Einhaltung dieser Regeln geprüft. Wenn Sie auf die Regel klicken, wird Folgendes angezeigt:

• Eine detaillierte Zusammenfassung der Sicherheitseinstellung/-konfiguration, des Standardwerts, des Wertebereichs und des empfohlenen Werts.
• Eine Begründung, die eine ausführliche Erklärung für den empfohlenen Wert liefert.
• Eine Spalte „Behebung“, die detaillierte Schritte zur Umsetzung des empfohlenen Werts bietet, falls die Einstellung Ihres Systems gegen die Regel verstößt.

Nachdem Sie die erforderlichen CIS-Compliance-Richtlinien ausgewählt haben, klicken Sie auf Gruppe erstellen, um die Erstellung der Richtliniengruppe abzuschließen. Sie können diese Richtliniengruppe für CIS-Compliance-Audits verwenden.

Hinweis: Neue Compliance-Richtlinien oder Änderungen an bestehenden Compliance-Richtlinien aus der zentralen Schwachstellendatenbank werden regelmäßig jeden Tag um 1 Uhr morgens mit dem zentralen Server synchronisiert. Diese Synchronisierung der Compliance-Daten erfolgt nicht während der üblichen Synchronisierung der Schwachstellendatenbank. In diesem Artikel finden Sie Schritte zur Fehlerbehebung, falls die Synchronisierung der Compliance-Daten fehlschlägt.

Hinweis: Diese Funktion ist nicht in allen Ländern verfügbar. Kontaktieren Sie den Support für weitere Details.