Automatyzacja zgodności z Windows 10 STIG za pomocą skryptu Powershell

**Pobierz wszystkie wymagane pliki z GitHub Repository

**Szukamy pomocy w .Net issue

Wprowadzenie: #

Windows 10 jest niezabezpieczonym systemem operacyjnym po wyjęciu z pudełka i wymaga wielu zmian, aby ubezpieczyć FISMA zgodność. Organizacje takie jak Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency mają zalecane i wymagane zmiany w konfiguracji w celu zablokowania, utwardzenia i zabezpieczenia systemu operacyjnego oraz zapewnienia zgodności z przepisami rządowymi. Zmiany te obejmują szeroki zakres środków zaradczych, w tym blokowanie telemetrii, makr, usuwanie bloatware i zapobieganie wielu fizycznym atakom na system.

Systemy autonomiczne są jednymi z najtrudniejszych i najbardziej irytujących systemów do zabezpieczenia. Jeśli nie są zautomatyzowane, wymagają ręcznych zmian w każdym STIG/SRG. W sumie ponad 1000 zmian konfiguracji w typowym wdrożeniu i średnio 5 minut na zmianę, co równa się 3,5 dnia pracy. Ten skrypt ma na celu znaczne przyspieszenie tego procesu.

Uwagi: #

• Ten skrypt jest przeznaczony do pracy w środowiskach Enterprise i zakłada, że masz wsparcie sprzętowe dla wszystkich wymagań.
  • Dla systemów osobistych proszę zobaczyć to GitHub Repository
• Ten skrypt nie jest przeznaczony do doprowadzenia systemu do 100% zgodności, raczej powinien być użyty jako krok do ukończenia większości, jeśli nie wszystkich, zmian konfiguracyjnych, które mogą być oskryptowane.
  • Pomijając dokumentację systemu, ten zbiór powinien doprowadzić Cię do około 95% zgodności ze wszystkimi zastosowanymi STIGS/SRGs.

Wymagania: #

• Windows 10 Enterprise is Required per STIG. -[x] Standards dla wysoce bezpiecznego urządzenia z systemem Windows 10 -[x] System is fully up to date
  • Obecnie w systemie Windows 10 v1909 lub v2004.
  • Uruchom. Windows 10 Upgrade Assistant do aktualizacji i weryfikacji najnowszego głównego wydania.
• Wymagania sprzętowe [X] - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Zalecane materiały do czytania: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Lista skryptów i narzędzi, z których korzysta ta kolekcja: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

Dodatkowe konfiguracje były rozważane od: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRGs Applied: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Work in Progress

- Oracle JRE 8 V1R5

Jak uruchomić skrypt #

Skrypt można uruchomić z wyodrębnionego pliku do pobrania z GitHuba w następujący sposób:.

.\secure-standalone.ps1

Skrypt, którego będziemy używać musi być uruchomiony z katalogu zawierającego wszystkie pozostałe pliki z GitHub Repository