Optymalizacja, zabezpieczanie i ochrona wdrożeń systemu Windows 10 dzięki zautomatyzowanym zmianom konfiguracji

Utwardzanie i usuwanie wdrożeń systemu Windows 10**

**Pobierz wszystkie wymagane pliki ze strony GitHub Repository

**Poszukujemy pomocy w następujących kwestiach .Net issue

Wprowadzenie: #

Windows 10 jest inwazyjnym i niezabezpieczonym systemem operacyjnym po wyjęciu z pudełka. Organizacje takie jak PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency zaleciły zmiany konfiguracji w celu zablokowania, wzmocnienia i zabezpieczenia systemu operacyjnego. Zmiany te obejmują szeroki zakres środków zaradczych, w tym blokowanie telemetrii, makr, usuwanie oprogramowania typu bloatware oraz zapobieganie wielu cyfrowym i fizycznym atakom na system. Ten skrypt ma na celu zautomatyzowanie konfiguracji zalecanych przez te organizacje.

Uwagi: #

• Ten skrypt został zaprojektowany do działania głównie w środowiskach użytku osobistego. Mając to na uwadze, niektóre ustawienia konfiguracji korporacyjnej nie zostały zaimplementowane. Skrypt ten nie został zaprojektowany w celu zapewnienia 100% zgodności systemu. Powinien być raczej używany jako odskocznia do ukończenia większości, jeśli nie wszystkich, zmian konfiguracji, które można skryptować, pomijając kwestie takie jak branding i banery, które nie powinny być wdrażane nawet w zahartowanym środowisku do użytku osobistego.
• Ten skrypt został zaprojektowany w taki sposób, że optymalizacje, w przeciwieństwie do niektórych innych skryptów, nie złamią podstawowych funkcji systemu Windows.
• Funkcje takie jak Windows Update, Windows Defender, Windows Store i Cortona zostały ograniczone, ale nie są w stanie niefunkcjonalnym, jak większość innych skryptów Windows 10 Privacy.
• Jeśli szukasz zminimalizowanego skryptu przeznaczonego tylko dla środowisk komercyjnych, zobacz to GitHub Repository

Wymagania: #

• Windows 10 Enterprise (preferowany) lub Windows 10 Professional
  • Windows 10 Home nie zezwala na konfiguracje GPO.
  • Edycje “N” systemu Windows 10 nie są testowane.
• Standards dla wysoce bezpiecznego urządzenia z systemem Windows 10
• System is fully up to date
  • Obecnie Windows 10 v1909, v2004 lub 20H2.
  • Uruchom aplikację Windows 10 Upgrade Assistant aby zaktualizować i zweryfikować najnowszą wersję główną.
• X] Bitlocker musi zostać zawieszony lub wyłączony przed wykonaniem tego skryptu, można go ponownie włączyć po ponownym uruchomieniu komputera.
  • Kolejne uruchomienia tego skryptu mogą być uruchamiane bez wyłączania bitlockera.
• X] Wymagania sprzętowe
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Zalecane materiały do czytania: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Lista skryptów i narzędzi wykorzystywanych przez tę kolekcję: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Uwzględniono dodatkowe konfiguracje z: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

STIGS/SRGs Applied: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Praca w toku
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Jak uruchomić skrypt #

Instalacja ręczna: #

W przypadku ręcznego pobrania skrypt należy uruchomić z poziomu administracyjnego powershell w katalogu zawierającym wszystkie pliki z pliku GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Automatyczna instalacja: #

Skrypt można uruchomić z wyodrębnionego pliku do pobrania z GitHub w następujący sposób:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))

.