主機、端點與行動裝置的硬體與軟體的安全設定
採用嚴謹的組態設定管理與變更控管流程來建立、執行與積極管理(追蹤、報告、更正)所有的伺服器、端點、筆電,甚至手機、平板等行動裝置的安全性設定,以防止因為有弱點的設定所衍生出來的攻擊。

為什麼這是關鍵控制項目?
由製造商和經銷商提供的設備,作業系統和應用程式的預設組態設定通常傾向易於部署和易用性 ~而非安全性。基本控制;開放SERVICES;PORTS;預設帳號或密碼;舊(易受攻擊)協議;預先安裝不需要的軟體等,所有都可以在預設狀態下被利用。
發展具有良好安全屬性的組態設定集是一項超出個別使用者能力的複雜任務,需要分析潛在的數百或數千個選項才能做出正確的選擇。即使發展並安裝了強大的初始組態設定,也必須不斷對其進行管理以避免安全性“衰退”,因為軟體會更新或修補;報告新的安全漏洞;並且“調整”組態設定以允許安裝新軟體或支持新的運營要求。如果沒有這樣做,攻擊者將發現利用網路可存取服務和客戶端軟體的機會。