hardening-windows-endpoint-with-cis-benchmark

使用 CIS(互联网安全中心)Benchmark 建议对 Windows 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Windows 工作站或服务器、 修复审计发现或为组织建立全面安全基线的场景。适用于涉及 Windows 加固、 CIS Benchmark、GPO 安全基线或端点配置合规的请求。

9 stars

Best use case

hardening-windows-endpoint-with-cis-benchmark is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 CIS(互联网安全中心)Benchmark 建议对 Windows 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Windows 工作站或服务器、 修复审计发现或为组织建立全面安全基线的场景。适用于涉及 Windows 加固、 CIS Benchmark、GPO 安全基线或端点配置合规的请求。

Teams using hardening-windows-endpoint-with-cis-benchmark should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hardening-windows-endpoint-with-cis-benchmark/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hardening-windows-endpoint-with-cis-benchmark/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hardening-windows-endpoint-with-cis-benchmark/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hardening-windows-endpoint-with-cis-benchmark Compares

Feature / Agenthardening-windows-endpoint-with-cis-benchmarkStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 CIS(互联网安全中心)Benchmark 建议对 Windows 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Windows 工作站或服务器、 修复审计发现或为组织建立全面安全基线的场景。适用于涉及 Windows 加固、 CIS Benchmark、GPO 安全基线或端点配置合规的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 CIS Benchmark 加固 Windows 端点

## 使用场景

在以下情况下使用本技能:
- 部署需要安全加固的新 Windows 10/11 或 Server 2019/2022 端点
- 使用 CIS Level 1 或 Level 2 配置文件建立组织范围的安全基线
- 修复合规审计(PCI DSS、HIPAA、SOC 2)中引用 CIS Benchmark 的发现
- 验证现有端点配置是否符合当前 CIS Benchmark 版本

**不适用于** Linux 端点(使用 hardening-linux-endpoint-with-cis-benchmark)或需要 CIS 云 Benchmark 的云原生工作负载。

## 前置条件

- Windows 10/11 企业版或 Windows Server 2019/2022 目标端点
- 用于企业部署的 Active Directory 组策略管理控制台(GPMC)
- 用于自动化 Benchmark 评估的 CIS-CAT Pro Assessor 或 CIS-CAT Lite
- 目标端点或域控制器的管理员访问权限
- 目标 Windows 版本的最新 CIS Benchmark PDF(从 cisecurity.org 下载)

## 操作流程

### 步骤 1:选择 CIS Benchmark 配置文件级别

CIS 为 Windows 端点提供两个配置文件级别:

**Level 1(L1)- 企业/公司环境**:
- 适用于大多数组织的实用加固设置
- 对功能和用户体验影响最小
- 涵盖:密码策略、审计策略、用户权限、安全选项、Windows 防火墙

**Level 2(L2)- 高安全性/敏感数据**:
- 包含所有 L1 设置及额外限制
- 可能影响可用性(禁用自动运行、限制远程桌面、增强审计日志)
- 适用于处理 PII、PHI、PCI 数据或机密信息的系统

根据端点的数据分类和风险承受能力选择配置文件。

### 步骤 2:导入 CIS GPO 基线

CIS 为每个 Benchmark 版本提供预构建的 GPO 模板(构建套件):

```powershell
# 从 CIS WorkBench 下载 CIS 构建套件(需要 CIS SecureSuite 会员资格)
# 将 GPO 备份解压到暂存目录

# 将 CIS GPO 导入 Active Directory
Import-GPO -BackupGpoName "CIS Microsoft Windows 11 Enterprise v3.0.0 L1" `
  -TargetName "CIS-Win11-L1-Baseline" `
  -Path "C:\CIS-GPO-Backups\Win11-Enterprise" `
  -CreateIfNeeded

# 将 GPO 链接到目标 OU
New-GPLink -Name "CIS-Win11-L1-Baseline" `
  -Target "OU=Workstations,DC=corp,DC=example,DC=com" `
  -LinkEnabled Yes
```

### 步骤 3:应用关键 CIS Benchmark 类别

**账户策略(第 1 节)**:
```
密码策略:
  - 最小密码长度:14 个字符(1.1.4)
  - 最大密码有效期:365 天(1.1.3)
  - 密码复杂性:已启用(1.1.5)
  - 使用可还原加密存储密码:已禁用(1.1.6)

账户锁定策略:
  - 账户锁定阈值:5 次无效登录尝试(1.2.1)
  - 账户锁定持续时间:15 分钟(1.2.2)
  - 在以下时间后重置账户锁定计数器:15 分钟(1.2.3)
```

**本地策略 - 审计策略(第 17 节)**:
```
审计策略配置:
  - 审核凭据验证:成功和失败(17.1.1)
  - 审核安全组管理:成功(17.2.5)
  - 审核登录:成功和失败(17.5.1)
  - 审核进程创建:成功(17.6.1)
  - 审核可移动存储:成功和失败(17.6.4)
```

**安全选项(第 2.3 节)**:
```
  - 交互式登录:不显示上次登录的用户名:已启用(2.3.7.1)
  - 交互式登录:计算机非活动限制:900 秒(2.3.7.3)
  - 网络访问:不允许匿名枚举 SAM 账户:已启用(2.3.10.2)
  - 网络安全:LAN 管理器认证级别:仅发送 NTLMv2 响应(2.3.11.7)
  - UAC:以管理员审批模式运行所有管理员:已启用(2.3.17.6)
```

**Windows 防火墙(第 9 节)**:
```
  - 域配置文件:防火墙状态:开启(9.1.1)
  - 域配置文件:入站连接:阻止(9.1.2)
  - 专用配置文件:防火墙状态:开启(9.2.1)
  - 公用配置文件:防火墙状态:开启(9.3.1)
  - 公用配置文件:入站连接:阻止(9.3.2)
```

### 步骤 4:使用 CIS-CAT 评估进行验证

```powershell
# 针对目标端点运行 CIS-CAT Pro Assessor
# CIS-CAT 生成每项建议的通过/失败 HTML/XML 报告

.\Assessor-CLI.bat `
  -b "benchmarks\CIS_Microsoft_Windows_11_Enterprise_Benchmark_v3.0.0-xccdf.xml" `
  -p "Level 1 (L1) - Corporate/Enterprise Environment" `
  -rd "C:\CIS-Reports" `
  -nts

# 查看报告中的失败控制项
# 目标分数:L1 >= 95%,L2 >= 90%(考虑运营例外)
```

### 步骤 5:记录例外和补偿控制措施

对于每项无法应用的 CIS 建议:
1. 记录具体的建议 ID 和标题
2. 说明例外的业务理由
3. 定义解决残余风险的补偿控制措施
4. 设置审查日期(季度)以重新评估例外情况
5. 获得信息安全官员的批准签字

示例例外:
```
建议:2.3.7.3 - 交互式登录:计算机非活动限制:900 秒
例外:生产车间的信息亭系统需要 1800 秒
补偿控制:生产区域的实体门禁、闭路电视监控
审查日期:2026-06-01
批准人:CISO
```

### 步骤 6:持续合规监控

通过计划任务或 SCCM 配置定期 CIS-CAT 扫描:
```powershell
# 创建每周 CIS-CAT 评估的计划任务
$action = New-ScheduledTaskAction -Execute "C:\CIS-CAT\Assessor-CLI.bat" `
  -Argument "-b benchmarks\CIS_Win11_v3.0.0-xccdf.xml -p Level1 -rd C:\CIS-Reports -nts"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "CIS-Benchmark-Scan" -Action $action `
  -Trigger $trigger -Principal $principal
```

将结果输入 SIEM 以进行配置漂移检测和仪表盘报告。

## 关键概念

| 术语 | 定义 |
|------|------|
| **CIS Benchmark** | 由 CIS 与政府、工业界和学术界共同制定的基于共识的安全配置指南 |
| **Level 1 配置文件** | 适用于大多数组织、对运营影响最小的实用安全基线 |
| **Level 2 配置文件** | 面向高安全环境的扩展安全基线,可能降低功能性 |
| **CIS-CAT** | CIS 配置评估工具,可自动化 Benchmark 合规检查 |
| **构建套件** | CIS 提供的预配置 GPO 模板,实现 Benchmark 建议 |
| **评分** | CIS 建议分为计分项(可衡量合规性)和非计分项(最佳实践指导) |

## 工具与系统

- **CIS-CAT Pro Assessor**:自动化 Benchmark 合规扫描器(需要 CIS SecureSuite 许可证)
- **Microsoft Security Compliance Toolkit(SCT)**:Microsoft 自有 GPO 基线(与 CIS 互补)
- **组策略管理控制台(GPMC)**:企业 GPO 部署和管理
- **LGPO.exe**:用于将 GPO 应用于独立(非域)系统的 Microsoft 工具
- **Nessus/Tenable**:带有 CIS Benchmark 审计文件的漏洞扫描器

## 常见误区

- **对所有端点应用 L2**:Level 2 限制(禁用自动播放、限制远程桌面)会破坏标准工作站上的工作流程。将 L2 保留给处理敏感数据的端点。
- **未在试点 OU 中测试 GPO**:在全组织推广前,将 CIS GPO 部署到具有代表性硬件/软件的测试 OU,以避免破坏业务线应用程序。
- **忽略 CIS Benchmark 版本更新**:CIS Benchmark 随每个 Windows 功能版本更新。运行过时的 Benchmark 会遗漏新的安全设置并生成虚假合规报告。
- **忘记本地管理员账户**:CIS Benchmark 假设端点已加入域。独立系统需要 LGPO.exe 或 Microsoft Intune 来执行基线。
- **无例外处理流程**:100% 应用 CIS 建议几乎不可行。没有正式的例外流程,团队要么忽略加固,要么破坏应用程序。

Related Skills

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-kubernetes-cis-benchmark-with-kube-bench

9
from killvxk/cybersecurity-skills-zh

使用 kube-bench 对照 CIS Benchmark 审计 Kubernetes 集群安全态势,对控制平面、工作节点和 RBAC 执行自动化检查。

performing-endpoint-vulnerability-remediation

9
from killvxk/cybersecurity-skills-zh

通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。

performing-endpoint-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

performing-container-image-hardening

9
from killvxk/cybersecurity-skills-zh

本技能涵盖通过最小化攻击面、移除不必要软件包、实施多阶段构建、配置非 root 用户, 以及应用 CIS Docker 基准建议来加固容器镜像,生成安全的生产就绪镜像。

implementing-rbac-hardening-for-kubernetes

9
from killvxk/cybersecurity-skills-zh

通过实施最小权限策略、审计角色绑定、消除 cluster-admin 权限蔓延并集成外部身份提供商,加固 Kubernetes 基于角色的访问控制(RBAC)。

implementing-osquery-for-endpoint-monitoring

9
from killvxk/cybersecurity-skills-zh

部署 osquery 计划查询进行持续终端监控,涵盖进程清单、网络连接、文件完整性和持久化机制。 生成包含查询包的 osquery.conf,配置差异结果日志记录,并分析查询结果以检测 可疑进程、未授权监听端口和系统目录中的文件修改。

implementing-endpoint-dlp-controls

9
from killvxk/cybersecurity-skills-zh

实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。

implementing-endpoint-detection-with-wazuh

9
from killvxk/cybersecurity-skills-zh

部署并配置 Wazuh SIEM/XDR 进行终端检测,包括 Agent 管理、自定义解码器和规则 XML 创建、通过 Wazuh REST API 查询告警,以及自动化响应动作。

hunting-for-persistence-mechanisms-in-windows

9
from killvxk/cybersecurity-skills-zh

系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。

hunting-for-lolbins-execution-in-endpoint-logs

9
from killvxk/cybersecurity-skills-zh

通过分析终端进程创建日志,识别合法 Windows 系统二进制文件(LOLBin)被用于恶意目的的可疑执行模式,狩猎攻击者的 LOLBin 滥用行为。

hardening-linux-endpoint-with-cis-benchmark

9
from killvxk/cybersecurity-skills-zh

使用 CIS Benchmark 建议对 Ubuntu、RHEL 和 CentOS 的 Linux 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Linux 服务器、修复审计发现 或为 Linux 基础设施建立安全基线的场景。