Оптимизация, защита и безопасность развертываний Windows 10 с помощью автоматических изменений конфигурации

Устойчивость и деблокирование развертываний Windows 10**.

**Скачайте все необходимые файлы с сайта GitHub Repository

**Мы ищем помощь в следующих вопросах .Net issue

Введение: #

Windows 10 - это инвазивная и небезопасная операционная система из коробки. Такие организации, как PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency рекомендованы изменения конфигурации для блокировки, усиления и защиты операционной системы. Эти изменения охватывают широкий спектр мер, включая блокирование телеметрии, макросов, удаление раздутого ПО и предотвращение многих цифровых и физических атак на систему. Данный скрипт предназначен для автоматизации конфигураций, рекомендуемых этими организациями.

Примечания: #

• Данный скрипт предназначен для работы преимущественно в средах Personal Use. При этом некоторые параметры корпоративной конфигурации не реализованы. Данный сценарий не предназначен для приведения системы к 100%-ному соответствию требованиям. Скорее, его следует использовать как ступеньку для завершения большинства, если не всех, изменений конфигурации, которые можно внести в сценарий, пропуская такие моменты, как брендинг и баннеры, где они не должны быть реализованы даже в защищенной среде персонального использования.
• Этот сценарий разработан таким образом, что оптимизация, в отличие от некоторых других сценариев, не нарушает основную функциональность windows.
• Такие функции, как Windows Update, Windows Defender, Windows Store и Cortona, были ограничены, но не находятся в нерабочем состоянии, как большинство других скриптов конфиденциальности Windows 10.
• Если вам нужен минимизированный скрипт, предназначенный только для коммерческих сред, обратитесь к этому примеру GitHub Repository

Требования: #

• Windows 10 Enterprise (Предпочтительно) или Windows 10 Professional
  • Windows 10 Home не позволяет настраивать GPO.
  • Издания Windows 10 “N” не тестируются.
• Standards для высокозащищенного устройства с Windows 10
• System is fully up to date
  • В настоящее время Windows 10 v1909, v2004 или 20H2.
  • Запустите Windows 10 Upgrade Assistant для обновления и проверки последней основной версии.
• Перед выполнением этого сценария Bitlocker должен быть приостановлен или выключен, после перезагрузки он может быть включен снова.
  • Последующие запуски этого сценария могут быть выполнены без отключения битлокатора.
• Требования к аппаратному обеспечению
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Рекомендуемые материалы для чтения: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Список скриптов и инструментов, используемых в данной коллекции: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Были рассмотрены дополнительные конфигурации из: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

Применяемые СТИГи/СРГ: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Работа в процессе выполнения
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Как запустить скрипт #

Установка вручную: #

При ручной загрузке скрипт должен быть запущен из административного powershell в директории, содержащей все файлы из каталога GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Автоматическая установка: #

Скрипт может быть запущен из распакованной загрузки с GitHub следующим образом:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))