Optimizați, întăriți și securizați implementările Windows 10 cu modificări automate de configurare

Consolidarea și deblocarea implementărilor Windows 10**

**Download all the required files from the GitHub Repository

**Cercăm ajutor pentru următoarele .Net issue

Introducere: #

Windows 10 este un sistem de operare invaziv și nesigur din start. Organizații precum PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency au recomandat modificări de configurare pentru a bloca, întări și securiza sistemul de operare. Aceste modificări acoperă o gamă largă de măsuri de atenuare, inclusiv blocarea telemetriei, a macrourilor, eliminarea bloatware-ului și prevenirea multor atacuri digitale și fizice asupra unui sistem. Acest script își propune să automatizeze configurațiile recomandate de aceste organizații.

Note: #

• Acest script este conceput pentru a funcționa în principal în medii Personal Use. Ținând cont de acest lucru, anumite setări de configurare de întreprindere nu sunt implementate. Acest script nu este conceput pentru a aduce un sistem la o conformitate de 100%. Mai degrabă ar trebui să fie folosit ca o piatră de temelie pentru a finaliza majoritatea, dacă nu toate, modificările de configurare care pot fi scriptate, trecând peste probleme precum brandingul și bannerele, care nu ar trebui implementate nici măcar într-un mediu de utilizare personală întărit.
• Acest script este conceput în așa fel încât optimizările, spre deosebire de alte scripturi, nu vor întrerupe funcționalitatea de bază a Windows.
• Funcționalități precum Windows Update, Windows Defender, Windows Store și Cortona au fost restricționate, dar nu se află într-o stare de disfuncționalitate ca majoritatea celorlalte scripturi Windows 10 Privacy.
• Dacă sunteți în căutarea unui script minimizat destinat doar mediilor comerciale, vă rugăm să consultați acest script GitHub Repository

Cerințe: #

• Windows 10 Enterprise (Preferat) sau Windows 10 Professional
  • Windows 10 Home nu permite configurații GPO.
  • Edițiile Windows 10 “N” nu sunt testate.
• Standards pentru un dispozitiv Windows 10 foarte sigur
• System is fully up to date
  • În prezent, Windows 10 v1909, v2004 sau 20H2.
  • Rulați programul Windows 10 Upgrade Assistant pentru a actualiza și verifica ultima versiune majoră.
• Bitlocker trebuie să fie suspendat sau dezactivat înainte de a implementa acest script, acesta poate fi activat din nou după repornire.
  • Rulările ulterioare ale acestui script pot fi executate fără a dezactiva Bitlocker.
• X] Cerințe hardware
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Materiale de lectură recomandate: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

O listă de scripturi și instrumente pe care le utilizează această colecție: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Au fost luate în considerare configurații suplimentare din: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

STIGS/SRGs aplicate: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Work in Progress
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Cum se execută scriptul #

Instalare manuală: #

Dacă este descărcat manual, scriptul trebuie lansat dintr-un powershell administrativ în directorul care conține toate fișierele din fișierul GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Automated Install: #

Scriptul poate fi lansat din descărcarea extrasă de pe GitHub astfel:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))