Automatyzacja zgodności z Windows 10 STIG za pomocą skryptu Powershell
**Pobierz wszystkie wymagane pliki z GitHub Repository
**Szukamy pomocy w .Net issue
Wprowadzenie:
Windows 10 jest niezabezpieczonym systemem operacyjnym po wyjęciu z pudełka i wymaga wielu zmian, aby ubezpieczyć FISMA zgodność. Organizacje takie jak Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency mają zalecane i wymagane zmiany w konfiguracji w celu zablokowania, utwardzenia i zabezpieczenia systemu operacyjnego oraz zapewnienia zgodności z przepisami rządowymi. Zmiany te obejmują szeroki zakres środków zaradczych, w tym blokowanie telemetrii, makr, usuwanie bloatware i zapobieganie wielu fizycznym atakom na system.
Systemy autonomiczne są jednymi z najtrudniejszych i najbardziej irytujących systemów do zabezpieczenia. Jeśli nie są zautomatyzowane, wymagają ręcznych zmian w każdym STIG/SRG. W sumie ponad 1000 zmian konfiguracji w typowym wdrożeniu i średnio 5 minut na zmianę, co równa się 3,5 dnia pracy. Ten skrypt ma na celu znaczne przyspieszenie tego procesu.
Uwagi:
- Ten skrypt jest przeznaczony do pracy w środowiskach Enterprise i zakłada, że masz wsparcie sprzętowe dla wszystkich wymagań.
- Dla systemów osobistych proszę zobaczyć to GitHub Repository
- Ten skrypt nie jest przeznaczony do doprowadzenia systemu do 100% zgodności, raczej powinien być użyty jako krok do ukończenia większości, jeśli nie wszystkich, zmian konfiguracyjnych, które mogą być oskryptowane.
- Pomijając dokumentację systemu, ten zbiór powinien doprowadzić Cię do około 95% zgodności ze wszystkimi zastosowanymi STIGS/SRGs.
Wymagania:
- Windows 10 Enterprise is Required per STIG.
-[x]
Standards
dla wysoce bezpiecznego urządzenia z systemem Windows 10
-[x] System is
fully up to date
- Obecnie w systemie Windows 10 v1909 lub v2004.
- Uruchom. Windows 10 Upgrade Assistant do aktualizacji i weryfikacji najnowszego głównego wydania.
- Wymagania sprzętowe [X] - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard
Zalecane materiały do czytania:
- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard
Lista skryptów i narzędzi, z których korzysta ta kolekcja:
- Microsoft Security Compliance Toolkit 1.0
- Cyber.mil - Group Policy Objects
- NSACyber - Bitlocker Guidance
Dodatkowe konfiguracje były rozważane od:
- NSACyber - Hardware-and-Firmware-Security-Guidance
- NSACyber - Application Whitelisting Using Microsoft AppLocker
STIGS/SRGs Applied:
- Windows Defender Antivirus V1R9
- Adobe Reader Pro DC Continous V1R2
- Microsoft Office 2019/Office 365 Pro Plus V1R2
- Microsoft .Net Framework 4 V1R9 - Work in Progress
Jak uruchomić skrypt
Skrypt można uruchomić z wyodrębnionego pliku do pobrania z GitHuba w następujący sposób:.
.\secure-standalone.ps1
Skrypt, którego będziemy używać musi być uruchomiony z katalogu zawierającego wszystkie pozostałe pliki z GitHub Repository
