Marcowa aktualizacja CIS Benchmarks 2026: nowe profile dla Windows, GitHub, Cassandra i chmury - Security Bez Tabu

Marcowa aktualizacja CIS Benchmarks 2026: nowe profile dla Windows, GitHub, Cassandra i chmury

Cybersecurity news

Wprowadzenie do problemu / definicja

CIS Benchmarks to uznane standardy bezpiecznej konfiguracji systemów, usług, aplikacji i platform chmurowych. Ich głównym celem jest ograniczanie powierzchni ataku, ujednolicanie ustawień bezpieczeństwa oraz wspieranie organizacji w audytach zgodności i procesach hardeningu.

Marcowa aktualizacja z 2026 roku rozszerza katalog zaleceń o nowe profile i jednocześnie porządkuje istniejące benchmarki dla kluczowych technologii wykorzystywanych w środowiskach korporacyjnych. Zmiany objęły m.in. Windows 11 Enterprise, Windows Server, GitHub, Apache Cassandra oraz Oracle Cloud Infrastructure.

W skrócie

W najnowszej publikacji zaktualizowano siedem istniejących benchmarków i dodano dwa nowe profile bezpieczeństwa. Największy zakres zmian dotyczy platform Microsoft, gdzie zrewidowano ustawienia zabezpieczeń oraz dostosowano dokumentację do aktualnych szablonów administracyjnych.

  • Zaktualizowano benchmarki dla Windows 11 Enterprise, Windows Server 2022 i Windows Server 2025.
  • Odświeżono benchmark dla Oracle Cloud Infrastructure Foundations.
  • Zrewidowano trzy benchmarki dla Apache Cassandra.
  • Uaktualniono profil bezpieczeństwa dla GitHub.
  • Dodano nowe benchmarki dla Microsoft Defender Antivirus oraz Microsoft Intune for Edge.

Kontekst / historia

Benchmarki CIS od lat pełnią rolę praktycznego punktu odniesienia przy budowie bezpiecznych konfiguracji bazowych. W wielu organizacjach stanowią pomost między formalną polityką bezpieczeństwa a technicznym wdrożeniem ustawień w systemach operacyjnych, usługach SaaS, bazach danych i środowiskach chmurowych.

Regularne aktualizacje tych dokumentów są konieczne, ponieważ dostawcy stale modyfikują swoje produkty, interfejsy administracyjne, nazewnictwo ustawień i obsługiwane funkcje. W efekcie nawet poprawnie wdrożony benchmark może z czasem stracić aktualność, jeśli nie będzie na bieżąco porównywany z najnowszymi wersjami zaleceń.

Analiza techniczna

Największe zmiany w marcowej publikacji dotyczą środowisk Microsoft. Dla Windows 11 Enterprise Benchmark v5.0.0 dodano dziewięć nowych ustawień bezpieczeństwa, zaktualizowano 23 istniejące, usunięto 18 pozycji oraz przemianowano jedno ustawienie. Dodatkowo przebudowano strukturę dokumentu, aby była zgodna z nowymi szablonami ADMX.

W przypadku Windows Server 2022 v5.0.0 dodano trzy nowe ustawienia, zaktualizowano 16, usunięto 15 oraz przemianowano jedną pozycję. Benchmark dla Windows Server 2025 v2.0.0 obejmuje jeszcze szerszy zakres korekt: osiem nowych ustawień, 17 aktualizacji, 17 usunięć oraz jedną zmianę nazwy. Z perspektywy operacyjnej oznacza to konieczność ponownego sprawdzenia mapowania polityk w GPO, MDM i narzędziach do walidacji zgodności.

W obszarze chmury zaktualizowano CIS Oracle Cloud Infrastructure Foundations Benchmark v3.1.0. Zmiany mają charakter porządkujący i odnoszą się przede wszystkim do modyfikacji interfejsu OCI oraz struktur zdarzeń. Choć nie zmienia to samej logiki zabezpieczeń, ma istotne znaczenie dla zespołów utrzymujących compliance-as-code i automatyczne mechanizmy oceny konfiguracji.

Istotny pakiet zmian objął także Apache Cassandra. Zaktualizowano benchmarki dla wersji 5.0, 4.1 i 4.0, dostosowując je odpowiednio do obsługi Apache Cassandra 5.0.6, 4.1.10 oraz 4.0.19. Każde zalecenie zostało ponownie przeanalizowane i zweryfikowane pod kątem zgodności z aktualnym stanem produktu.

W benchmarku CIS GitHub v1.2.0 nacisk położono na bezpieczeństwo uwierzytelniania dostępu do środowiska build, ochronę webhooków oraz potwierdzenie zgodności rekomendacji z wersjami GitHub do 3.18 włącznie. Ma to szczególne znaczenie z punktu widzenia bezpieczeństwa łańcucha dostaw oprogramowania, gdzie błędna konfiguracja integracji CI/CD może prowadzić do przejęcia tokenów lub nadużyć w automatyzacji.

Nowe benchmarki dla Microsoft Defender Antivirus oraz Microsoft Intune for Edge pokazują z kolei, że obszar hardeningu rozszerza się dziś poza klasyczne systemy operacyjne i obejmuje również narzędzia ochronne oraz warstwę zarządzania politykami bezpieczeństwa.

Konsekwencje / ryzyko

Największym problemem dla organizacji nie jest już sam brak benchmarku, ale korzystanie z jego nieaktualnej wersji. Gdy zmienia się struktura polityk, nazewnictwo ustawień, wersje wspieranych komponentów lub logika działania funkcji administracyjnych, starsze wytyczne mogą prowadzić do błędnych wdrożeń i mylących wyników audytu.

  • Pozostawienie nieutwardzonych ustawień w nowych wersjach Windows i Windows Server.
  • Błędne mapowanie polityk ADMX w GPO, Intune lub platformach UEM.
  • Fałszywie dodatnie lub fałszywie ujemne wyniki skanów zgodności.
  • Niedostosowanie GitHub do aktualnych wymagań bezpieczeństwa integracji i webhooków.
  • Luki konfiguracyjne w klastrach Apache Cassandra po aktualizacji wersji.
  • Rozbieżności między rzeczywistym stanem OCI a dokumentacją audytową i operacyjną.

W praktyce aktualizacja benchmarków powinna być traktowana jako sygnał do przeglądu automatyzacji, baseline’ów bezpieczeństwa i procedur zarządzania zmianą.

Rekomendacje

Organizacje korzystające z CIS Benchmarks powinny potraktować marcowe wydanie jako impuls do kontrolowanego przeglądu konfiguracji. W pierwszym kroku warto ustalić, które systemy i usługi w środowisku produkcyjnym są objęte nowymi lub zaktualizowanymi profilami.

  • Przeprowadzić analizę różnic między dotychczas stosowanymi benchmarkami a wydaniami z marca 2026 roku.
  • Zweryfikować zgodność polityk GPO, MDM i Intune z nowymi ustawieniami dla Windows 11 oraz Windows Server.
  • Zaktualizować wewnętrzne baseline’y bezpieczeństwa, szablony wdrożeniowe i playbooki hardeningowe.
  • Ponownie uruchomić skany zgodności dla Cassandra, GitHub i OCI po wdrożeniu nowych wersji dokumentów.
  • Skontrolować webhooki, mechanizmy uwierzytelniania i elementy środowiska build w instalacjach GitHub.
  • Uwzględnić benchmarki dla Defender Antivirus i Intune for Edge w programie zarządzania konfiguracją.
  • Zaktualizować artefakty audytowe, aby uniknąć raportowania względem przestarzałych wytycznych.
  • Testować zmiany najpierw w środowisku pilotażowym, zwłaszcza tam, gdzie benchmark wpływa na ustawienia systemowe lub usługi krytyczne.

Warto również pamiętać, że benchmarków nie należy wdrażać mechanicznie. Część zaleceń wymaga oceny pod kątem wpływu na procesy biznesowe, zgodność aplikacji, model administracyjny oraz konieczne wyjątki operacyjne.

Podsumowanie

Marcowa aktualizacja CIS Benchmarks 2026 potwierdza, że bezpieczna konfiguracja to proces ciągły, a nie jednorazowe wdrożenie. Najwięcej zmian dotyczy środowisk Microsoft, ale istotne aktualizacje objęły również GitHub, Apache Cassandra i Oracle Cloud Infrastructure, a dodatkowo pojawiły się nowe profile dla Defender Antivirus i Intune for Edge.

Dla zespołów bezpieczeństwa, administratorów i audytorów oznacza to potrzebę przeglądu obowiązujących baseline’ów, mechanizmów walidacji zgodności oraz automatyzacji hardeningu. To właśnie aktualność wytycznych decyduje dziś o tym, czy konfiguracja realnie ogranicza ryzyko, czy jedynie tworzy pozory ochrony.

Źródła

  1. https://www.cisecurity.org/insights/blog/cis-benchmarks-march-2026-update
  2. https://www.cisecurity.org/cis-documentation
  3. https://www.cisecurity.org/cis-benchmarks