Table of Contents

Введение:

Windows 10 и Windows 11 являются инвазивными и небезопасными операционными системами из коробки. Такие организации, как PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency имеют рекомендованные изменения конфигурации для блокировки, усиления защиты и защиты операционной системы. Эти изменения охватывают широкий спектр мер по смягчению последствий, включая блокировку телеметрии, макросов, удаление вредоносных программ и предотвращение многих цифровых и физических атак на систему. Этот сценарий предназначен для автоматизации конфигураций, рекомендованных этими организациями.

Примечания, предупреждения и рекомендации:

ПРЕДУПРЕЖДЕНИЕ:

Этот скрипт должен без проблем работать на большинстве, если не на всех, системах. Пока @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • Этот сценарий предназначен для работы преимущественно в средах личного использования. С учетом этого некоторые параметры конфигурации предприятия не реализованы. Этот скрипт не предназначен для доведения системы до 100% соответствия. Скорее, его следует использовать в качестве трамплина для завершения большинства, если не всех, изменений конфигурации, которые можно запрограммировать, пропуская прошлые проблемы, такие как брендинг и баннеры, которые не следует реализовывать даже в жесткой среде личного использования.
  • Этот скрипт разработан таким образом, что оптимизации, в отличие от некоторых других скриптов, не нарушают основные функции Windows.
  • Такие функции, как Центр обновления Windows, Защитник Windows, Магазин Windows и Cortona, были ограничены, но не находятся в дисфункциональном состоянии, как большинство других сценариев конфиденциальности Windows 10.
  • Если вы ищете свернутый сценарий, предназначенный только для коммерческих сред, см. GitHub Repository

Не запускайте этот скрипт, если не понимаете, что он делает. Вы несете ответственность за просмотр и тестирование скрипта перед его запуском.

НАПРИМЕР, СЛЕДУЮЩЕЕ СЛЕДУЮЩЕЕ ПОЛУЧИТСЯ, ЕСЛИ ВЫ ЗАПУСТИТЕ ЭТО БЕЗ ПРОФИЛАКТИЧЕСКИХ ШАГОВ:

  • Использование учетной записи администратора по умолчанию с именем «Администратор» отключено и переименовано в соответствии с DoD STIG.

    • Не применяется к созданной учетной записи по умолчанию, но применяется к использованию учетной записи администратора по умолчанию, часто используемой в версиях Enterprise, IOT и Windows Server.

    • Создайте новую учетную запись в разделе «Управление компьютером» и установите ее в качестве администратора, если хотите. Затем скопируйте содержимое папки предыдущих пользователей в новую после первого входа в систему нового пользователя, чтобы обойти эту проблему перед запуском скрипта.

  • Вход с использованием учетной записи Microsoft отключен для DoD STIG.

    • При попытке обеспечить безопасность и конфиденциальность не рекомендуется входить в свою локальную учетную запись через учетную запись Microsoft. Это обеспечивается этим репо.

    • Создайте новую учетную запись в разделе «Управление компьютером» и установите ее в качестве администратора, если хотите. Затем скопируйте содержимое папки предыдущих пользователей в новую после первого входа в систему нового пользователя, чтобы обойти эту проблему перед запуском скрипта.

  • PIN-коды учетной записи отключены для DoD STIG.

    • ПИН-коды небезопасны, если используются исключительно вместо пароля, и их можно легко обойти за считанные часы или, возможно, даже секунды или минуты.

    • Удалите пин-код из учетной записи и/или войдите с помощью пароля после запуска скрипта.

  • Настройки Bitlocker по умолчанию изменены и усилены из-за DoD STIG.

    • Из-за того, как реализован битлокер, когда происходят эти изменения, и если у вас уже включен битлокер, это нарушит реализацию битлокера.

    • Отключите битлокер, запустите скрипт, затем снова включите битлокер, чтобы обойти эту проблему.

Требования:

Рекомендуемый материал для чтения:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Дополнения, заметные изменения и исправления:

Этот скрипт добавляет, удаляет и изменяет настройки вашей системы. Пожалуйста, просмотрите скрипт перед его запуском.

Браузеры:

  • В браузерах будут установлены дополнительные расширения для обеспечения конфиденциальности и безопасности.
    • Видеть here для получения дополнительной информации.
  • Из-за того, что DoD STIG реализован для браузеров, установлено управление расширениями и другие корпоративные настройки. Для получения инструкций о том, как просмотреть эти параметры, вам необходимо ознакомиться с инструкциями GPO ниже.

Модули Powershell:

  • Чтобы помочь в автоматизации обновлений Windows PowerShell PSWindowsUpdate Модуль будет добавлен в вашу систему.

Исправление учетной записи Microsoft, магазина или служб Xbox:

Это связано с тем, что мы блокируем вход в учетные записи Microsoft. Телеметрия Microsoft и сопоставление удостоверений не одобряются. Однако, если вы по-прежнему хотите использовать эти услуги, см. следующие тикеты для разрешения:

Редактирование политик в Local Group Policy постфактум:

Если вам нужно изменить или изменить параметр, его, скорее всего, можно настроить через GPO:

  • Импортируйте определения политики ADMX из этого repo в C:\windows\PolicyDefinitions в системе, которую вы пытаетесь изменить.

  • Откройте gpedit.msc в системе, которую вы пытаетесь изменить.

Список скриптов и инструментов, которые использует эта коллекция:

Первая вечеринка:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Третья сторона:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

Применены STIGS/SRG:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

Дополнительные конфигурации рассматривались из:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Как запустить скрипт:

Графический интерфейс — пошаговая установка:

Загрузите последнюю версию here выберите нужные параметры и нажмите «Выполнить». ### Автоматическая установка: Используйте эту однострочную строку для автоматической загрузки, распаковки всех вспомогательных файлов и запуска последней версии скрипта.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false