Автоматизация соответствия Windows 10 STIG с помощью сценария Powershell

** Загрузите все необходимые файлы с GitHub Repository

** Нам нужна помощь в следующем .Net issue

Введение: #

Windows 10 — небезопасная операционная система «из коробки», и для ее защиты требуется множество изменений. FISMA согласие. Такие организации, как Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency рекомендовали и требовали изменения конфигурации для блокировки, усиления и защиты операционной системы и обеспечения соответствия требованиям правительства. Эти изменения охватывают широкий спектр мер по смягчению последствий, включая блокировку телеметрии, макросов, удаление вредоносных программ и предотвращение многих физических атак на систему.

Автономные системы являются одними из самых сложных и раздражающих систем для обеспечения безопасности. Если они не автоматизированы, они требуют ручных изменений каждого STIG/SRG. Всего более 1000 изменений конфигурации при типичном развертывании и в среднем 5 минут на каждое изменение, что соответствует 3,5 дням работы. Этот скрипт призван значительно ускорить этот процесс.

Примечания: #

• Этот сценарий предназначен для работы в средах Enterprise и предполагает, что у вас есть аппаратная поддержка для всех требований.
  • Для персональных систем см. это GitHub Repository
• Этот сценарий не предназначен для доведения системы до 100% соответствия, его следует использовать в качестве трамплина для выполнения большинства, если не всех, изменений конфигурации, которые можно выполнить в сценарии.
  • За вычетом системной документации эта коллекция должна привести вас к 95% соответствию всем применяемым STIGS/SRG.

Требования: #

• Windows 10 Enterprise требуется для STIG. -[x] Standards для высокозащищенного устройства Windows 10 -[x] System is fully up to date
  • В настоящее время Windows 10 v1909 или v2004.
  • Запустить Windows 10 Upgrade Assistant для обновления и проверки последней основной версии.
• Требования к оборудованию - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Рекомендуемый материал для чтения: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Список скриптов и инструментов, которые использует эта коллекция: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

Дополнительные конфигурации рассматривались из: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

Применены STIGS/SRG: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Работа в процессе

- Oracle JRE 8 V1R5

Как запустить скрипт #

Скрипт можно запустить из извлеченной загрузки GitHub следующим образом:

.\secure-standalone.ps1

Сценарий, который мы будем использовать, должен быть запущен из каталога, содержащего все остальные файлы из каталога. GitHub Repository