Automatizarea conformității Windows Server STIG cu scripturi STIG
**Descărcați toate fișierele necesare din GitHub Repository
Notă: Acest script ar trebui să funcționeze pentru majoritatea, dacă nu pentru toate, sistemele fără probleme. In timp ce @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue Nu rulați acest script dacă nu înțelegeți ce face. Este responsabilitatea dumneavoastră să revizuiți și să testați scriptul înainte de a-l rula.
Ansible:
Oferim acum o colecție de manuale pentru acest scenariu. Vă rugăm să vedeți următoarele: - Github Repo - Ansible Galaxy
Introducere:
Windows 10 este un sistem de operare nesigur din cutie și necesită multe modificări pentru asigurare FISMA conformitate. Organizații ca Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency au recomandat și necesare modificări de configurare pentru blocarea, consolidarea și securizarea sistemului de operare și pentru a asigura conformitatea guvernamentală. Aceste modificări acoperă o gamă largă de atenuări, inclusiv blocarea telemetriei, macrocomenzi, eliminarea bloatware-ului și prevenirea multor atacuri fizice asupra unui sistem.
Sistemele de sine stătătoare sunt unele dintre cele mai dificil și enervant sisteme de securizat. Atunci când nu sunt automatizate, acestea necesită modificări manuale ale fiecărui STIG/SRG. Însumând peste 1000 de modificări de configurare la o implementare tipică și o medie de 5 minute per modificare, ceea ce înseamnă 3,5 zile de lucru. Acest script își propune să accelereze acest proces în mod semnificativ.
Note:
- Acest script este conceput pentru funcționarea în medii Enterprise și presupune că aveți suport hardware pentru toate cerințele.
- Pentru sistemele personale, vă rugăm să vedeți asta GitHub Repository
- Acest script nu este conceput pentru a aduce un sistem la conformitate 100%, mai degrabă ar trebui să fie folosit ca o piatră de temelie pentru a finaliza majoritatea, dacă nu toate, modificările de configurare care pot fi scriptate.
- Minus documentația de sistem, această colecție ar trebui să vă aducă până la aproximativ 95% conformitate cu toate STIGS/SRG aplicate.
Cerințe:
- Windows 10 Enterprise este necesar pentru STIG.
-[X]
Standards
pentru un dispozitiv Windows 10 extrem de sigur
-[X] System is
fully up to date
- Rulați Windows 10 Upgrade Assistant pentru a actualiza și a verifica cea mai recentă versiune majoră.
- Bitlocker trebuie să fie suspendat sau dezactivat înainte de implementarea acestui script, acesta poate fi activat din nou după repornire.
- Execuțiile ulterioare ale acestui script pot fi executate fără a dezactiva bitlocker.
- Cerințe hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Virtualization-Based Security - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard
Material de lectură recomandat:
- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard
O listă de scripturi și instrumente pe care le utilizează această colecție:
- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0
Au fost luate în considerare configurații suplimentare din:
- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline
STIGS/SRG aplicate:
- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Firewall V1R7
Modificarea politicilor în Politica de grup local după fapt:
- Importați definițiile politicii ADMX din aceasta repo în C:\windows\PolicyDefinitions pe sistemul pe care încercați să îl modificați.
- Deschis
gpedit.msc
on on the system you’re trying to modify.
How to run the script:
Automated Install:
The script may be launched from the extracted GitHub download like this:
iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/standalonewindows.ps1'))
Manual Install:
If manually downloaded, the script must be launched from the directory containing all the other files from the GitHub Repository
All of the parameters in the “secure-standalone.ps1” script are optional, with a default value of $true. This means that if no value is specified for a parameter when the script is run, it will be treated as if it were set to $true.
The script takes the following parameters, all of which are optional and default to $true if not specified:
- cleargpos: (Boolean) Clear GPOs not being used
- installupdates: (Boolean) Install updates and reboot if necessary
- adobe: (Boolean) STIG Adobe Reader
- firefox: (Boolean) STIG Firefox
- chrome: (Boolean) STIG Chrome
- IE11: (Boolean) STIG Internet Explorer 11
- edge: (Boolean) STIG Edge
- dotnet: (Boolean) STIG .NET Framework
- office: (Boolean) STIG Office
- onedrive: (Boolean) STIG OneDrive
- java: (Boolean) STIG Java
- windows: (Boolean) STIG Windows
- defender: (Boolean) STIG Windows Defender
- firewall: (Boolean) STIG Windows Firewall
- mitigations: (Boolean) STIG Mitigations
- nessusPID: (Boolean) Resolve Unquoted Strings in Path
- horizon: (Boolean) STIG VMware Horizon
- sosoptional: (Boolean) Optional STIG/Hardening items
An example of how to run the script with all default parameters would be:
.\secure-standalone.ps1
If you want to specify a different value for one or more of the parameters, you can include them in the command along with their desired value. For example, if you wanted to run the script and set the $firefox parameter to $false, the command would be:
.\secure-standalone.ps1 -firefox $false
You can also specify multiple parameters in the command like this:
.\secure-standalone.ps1 -firefox $false -chrome $false
Rețineți că în acest exemplu, atât parametrii Firefox, cât și Chrome sunt setați la $false.