Table of Contents

Introducere:

Windows 10 și Windows 11 sunt sisteme de operare invazive și nesigure din cutie. Organizații ca PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency au recomandat modificări de configurare pentru blocarea, consolidarea și securizarea sistemului de operare. Aceste modificări acoperă o gamă largă de atenuări, inclusiv blocarea telemetriei, macrocomenzi, eliminarea bloatware-ului și prevenirea multor atacuri digitale și fizice asupra unui sistem. Acest script are ca scop automatizarea configurațiilor recomandate de acele organizații.

Note, avertismente și considerații:

AVERTIZARE:

Acest script ar trebui să funcționeze pentru majoritatea, dacă nu pentru toate, sistemele fără probleme. In timp ce @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • Acest script este conceput pentru funcționarea în principal în medii de Uz personal. Având în vedere acest lucru, anumite setări de configurare a întreprinderii nu sunt implementate. Acest script nu este conceput pentru a aduce un sistem la conformitate 100%. Mai degrabă ar trebui să fie folosit ca o piatră de temelie pentru a finaliza majoritatea, dacă nu toate, modificările de configurare care pot fi scriptate în timp ce săriți peste problemele anterioare precum branding și bannere, unde acestea nu ar trebui implementate nici măcar într-un mediu de utilizare personală dur.
  • Acest script este conceput în așa fel încât optimizările, spre deosebire de alte scripturi, să nu rupă funcționalitatea de bază a Windows.
  • Funcții precum Windows Update, Windows Defender, Windows Store și Cortona au fost restricționate, dar nu sunt într-o stare disfuncțională ca majoritatea celorlalte scripturi de confidențialitate Windows 10.
  • Dacă căutați un script minimizat țintit numai pentru medii comerciale, vă rugăm să vedeți acest lucru GitHub Repository

Nu rulați acest script dacă nu înțelegeți ce face. Este responsabilitatea dvs. să revizuiți și să testați scriptul înainte de a-l rula.

DE EXEMPLU, URMĂTOARELE SE VOR RUPE DACĂ RELĂȚI ASTA FĂRĂ LUATĂ MĂSURI PREVENȚIVE:

  • Utilizarea contului de administrator implicit numit „Administrator” este dezactivată și redenumită conform DoD STIG

    • Nu se aplică contului implicit creat, dar se aplică utilizării contului de administrator implicit care se găsește adesea pe versiunile Enterprise, IOT și Windows Server

    • Creați un cont nou în Gestionare computer și setați-l ca administrator dacă doriți. Apoi copiați conținutul dosarului utilizatori anterior în cel nou după ce vă conectați la noul utilizator pentru prima dată pentru a rezolva acest lucru înainte de a rula scriptul.

  • Conectarea folosind un cont Microsoft este dezactivată conform DoD STIG.

    • Când încercați să fiți sigur și privat, nu este recomandat să vă conectați la contul dvs. local printr-un cont Microsoft. Acest lucru este impus de acest repo.

    • Creați un cont nou în Gestionare computer și setați-l ca administrator dacă doriți. Apoi copiați conținutul dosarului utilizatori anterior în cel nou după ce vă conectați la noul utilizator pentru prima dată pentru a rezolva acest lucru înainte de a rula scriptul.

  • PIN-urile contului sunt dezactivate conform DOD STIG

    • PIN-urile sunt nesigure atunci când sunt folosite numai în locul unei parole și pot fi ocolite cu ușurință în câteva ore sau eventual chiar secunde sau minute

    • Eliminați codul PIN din cont și/sau conectați-vă folosind parola după rularea scriptului.

  • Valorile implicite ale Bitlocker sunt modificate și întărite datorită DoD STIG.

    • Datorită modului în care este implementat bitlocker, atunci când au loc aceste modificări și dacă aveți deja bitlocker activat, aceasta va întrerupe implementarea bitlocker.

    • Dezactivați bitlocker, rulați scriptul, apoi reactivați bitlocker pentru a rezolva această problemă.

Cerințe:

Material de lectură recomandat:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Adăugiri, modificări notabile și remedieri de erori:

Acest script adaugă, elimină și modifică setările sistemului dvs. Vă rugăm să examinați scriptul înainte de a-l rula.

Browsere:

  • Browserele vor avea extensii suplimentare instalate pentru a ajuta la confidențialitate și securitate.
    • Vedea here pentru informații suplimentare.
  • Datorită STIG-urilor DoD implementate pentru browsere, managementul extensiilor și alte setări ale companiei sunt setate. Pentru instrucțiuni despre cum să vedeți aceste opțiuni, va trebui să vă uitați la instrucțiunile GPO de mai jos.

Module Powershell:

  • Pentru a ajuta la automatizarea actualizărilor Windows PowerShell PSWindowsUpdate modulul va fi adăugat la sistemul dumneavoastră.

Remedierea contului Microsoft, magazinului sau serviciilor Xbox:

Acest lucru se datorează faptului că blocăm conectarea la conturile Microsoft. Asocierea de telemetrie și identitate a Microsoft este descurajată. Cu toate acestea, dacă încă doriți să utilizați aceste servicii, consultați următoarele bilete de emisiune pentru rezolvare:

Editarea politicilor în Politica de grup local după fapt:

Dacă trebuie să modificați sau să schimbați o setare, acestea sunt cel mai probabil configurabile prin GPO:

  • Importați definițiile politicii ADMX din aceasta repo în C:\windows\PolicyDefinitions pe sistemul pe care încercați să îl modificați.

  • Deschideți gpedit.msc pe sistemul pe care încercați să îl modificați.

O listă de scripturi și instrumente pe care le utilizează această colecție:

Prima petrecere:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Terț:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRG aplicate:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

Au fost luate în considerare configurații suplimentare din:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Cum se rulează scriptul:

GUI - Instalare ghidată:

Descărcați cea mai recentă versiune here alegeți opțiunile dorite și apăsați pe executare. ### Instalare automată: utilizați această linie pentru a descărca automat, a dezarhiva toate fișierele compatibile și a rula cea mai recentă versiune a scriptului.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false