SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 4 - Secure Configuration of Enterprise Assets and Software

CIS Controls — 18. marts 2026

Indledning

I dette afsnit gennemgår vi CIS Control 4: Secure Configuration of Enterprise Assets and Software.

Formålet med denne kontrol er at etablere og vedligeholde en sikker konfigurationsproces for enterprise assets og software samt for netværksinfrastruktur.

Standardkonfigurationer fra producenter og leverandører er ofte designet til nem implementering og brug, ikke til sikkerhed. De kan indeholde standardkonti, standardadgangskoder, åbne services og porte, unødvendige funktioner eller ældre protokoller. Disse skal håndteres gennem en struktureret og dokumenteret proces.

Hvad omfatter Control 4?

Control 4 kræver, at virksomheden etablerer og vedligeholder en sikker konfigurationsproces for:

• Enterprise assets, herunder end-user devices, non-computing og IoT devices samt servere • Software, herunder operativsystemer og applikationer • Netværksenheder

Dokumentationen for processen skal gennemgås og opdateres mindst årligt eller ved væsentlige ændringer i virksomheden.

Den sikre konfigurationsproces

Processen opdeles i fire elementer

• Plan • Implement • Monitor • Modify

Plan

Virksomheden skal udvælge konfigurationsretningslinjer baseret på leverandørens hardening krav eller anerkendte industristandarder.

Der skal vælges et sæt sikre konfigurationer for

• Alle operativsystemer og applikationer før de tages i brug • Alle cloud platforme og tredjepartstjenester før de tages i brug • Alle netværksenheder før de tages i brug

Hvis der ikke findes retningslinjer for en teknologi, skal IT undersøge og udvikle passende sikkerhedskonfigurationer før produktet anvendes.

Planlægningsfasen kan omfatte områder som

• Anti malware funktioner • Adgangskontrol, herunder brugerkonti og autentifikationsoplysninger • Kryptering • Logging • Least privilege • Udnyttelse af hardwarebaserede sikkerhedsfunktioner • Deaktivering af unødvendige services, applikationer og funktioner • Netværksforbindelser • Automatisk session locking • Fjernelse af standardkonti

Implement

Alle operativsystemer, applikationer og enheder skal konfigureres i overensstemmelse med de godkendte baseline konfigurationer.

Følgende krav gælder

• Automatisk session expiration skal konfigureres til maksimalt 15 minutter for operativsystemer og applikationer, og maksimalt 2 minutter for mobile end-user devices • Alle laptops og workstations skal anvende en host based firewall eller port filtering tool med default deny regel • Servere skal anvende enten en virtuel firewall, operativsystem firewall eller tredjeparts firewall agent • Standardkonti som root og administrator skal deaktiveres eller konfigureres for at forhindre uautoriseret adgang • Operativsystemer skal konfigureres til automatisk opdatering, medmindre en alternativ godkendt patchproces anvendes • Applikationer skal konfigureres til automatisk opdatering, medmindre en alternativ godkendt patchproces anvendes • Al autoriseret software skal være understøttet af udvikleren • Browsere og email clients skal være fuldt understøttet af udvikleren • Adgangskontrollister skal konfigureres i overensstemmelse med need to know • Detaljeret audit logging skal være aktiveret • Der skal være tilstrækkelig lagerplads til audit logs • Autorun og autoplay skal deaktiveres på alle Windows operativsystemer • Cloud platforme skal konfigureres med detaljeret audit logging • Netværksenheder skal konfigureres med automatisk session expiration • Standardkonti på netværksenheder skal deaktiveres eller sikres • Ikke nødvendige porte, protokoller og services skal deaktiveres • DNS filtering services skal anvendes for at blokere kendte ondsindede domæner • Netværksenheder skal have detaljeret audit logging og tilstrækkelig lagerplads • Netværksinfrastruktur skal konfigureres til automatisk opdatering, medmindre alternativ godkendt patchproces anvendes • Kun opdaterede netværksprotokoller som Secure Shell må anvendes

Monitor

Sikkert konfigurerede teknologier skal overvåges for at sikre, at de fortsat overholder de godkendte konfigurationer.

Overvågning kan ske manuelt eller ved brug af automatiserede værktøjer.

Ændringer i konfigurationer skal gennemgås før implementering for at sikre, at de ikke introducerer sårbarheder eller systeminstabilitet.

Modify

Godkendte konfigurationsretningslinjer skal opdateres rettidigt, når der sker væsentlige opdateringer.

Alle protokoller og værktøjer, der anvendes til at installere eller ændre konfigurationer, skal være godkendt af IT.

Nye versioner af software og systemer skal genkonfigureres i overensstemmelse med opdaterede baselines.

Afslutning

CIS Control 4 kræver, at virksomheden etablerer, implementerer, overvåger og vedligeholder sikre konfigurationer for alle enterprise assets, software og netværksenheder.

Standardindstillinger må ikke stå uændrede, og konfigurationer skal løbende dokumenteres, gennemgås og opdateres.

Tak fordi du lyttede med.