Windows 10 implementaties optimaliseren, verstevigen en beveiligen met geautomatiseerde configuratiewijzigingen

Windows 10 implementaties verharden en deblokkeren**

**Download alle benodigde bestanden van de GitHub Repository

**We zoeken hulp bij het volgende .Net issue

Introductie: #

Windows 10 is een invasief en onveilig besturingssysteem uit de doos. Organisaties zoals PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hebben configuratiewijzigingen aanbevolen om het besturingssysteem te vergrendelen, te harden en te beveiligen. Deze wijzigingen omvatten een breed scala aan mitigaties, waaronder het blokkeren van telemetrie, macro’s, het verwijderen van bloatware en het voorkomen van vele digitale en fysieke aanvallen op een systeem. Dit script automatiseert de configuraties die door deze organisaties worden aanbevolen.

Opmerkingen: #

• Dit script is ontworpen voor gebruik in voornamelijk Personal Use omgevingen. Met dat in gedachten worden bepaalde bedrijfsconfiguratie-instellingen niet geïmplementeerd. Dit script is niet ontworpen om een systeem 100% conform te maken. Het moet eerder worden gebruikt als een opstapje om de meeste, zo niet alle, configuratiewijzigingen die kunnen worden gescript te voltooien, terwijl zaken als branding en banners worden overgeslagen, die zelfs in een verharde omgeving voor persoonlijk gebruik niet moeten worden geïmplementeerd.
• Dit script is zo ontworpen dat de optimalisaties, in tegenstelling tot sommige andere scripts, de kernfuncties van Windows niet zullen verbreken.
• Functies zoals Windows Update, Windows Defender, de Windows Store en Cortona zijn beperkt, maar niet in een disfunctionele staat zoals de meeste andere Windows 10 privacyscripts.
• Als u op zoek bent naar een geminimaliseerd script dat alleen gericht is op commerciële omgevingen, raadpleeg dan dit GitHub Repository

Vereisten: #

• X] Windows 10 Enterprise (Aanbevolen) of Windows 10 Professional
  • Windows 10 Home staat geen GPO-configuraties toe.
  • Windows 10 “N” Editions zijn niet getest.
• Standards voor een zeer veilig Windows 10-apparaat
• System is fully up to date
  • Momenteel Windows 10 v1909, v2004, of 20H2.
  • Voer de Windows 10 Upgrade Assistant om de laatste grote release bij te werken en te verifiëren.
• X] Bitlocker moet worden opgeschort of uitgeschakeld voordat dit script wordt uitgevoerd, het kan weer worden ingeschakeld na opnieuw opstarten.
  • Vervolg runs van dit script kunnen worden uitgevoerd zonder Bitlocker uit te schakelen.
• X] Hardwarevereisten
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Aanbevolen leesmateriaal: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Een lijst van scripts en gereedschappen die deze collectie gebruikt: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Aanvullende configuraties werden overwogen van: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

Toegepaste STIGS/SRG’s: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Werk in uitvoering
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Hoe voer ik het script uit? #

Handmatig installeren: #

Als het script handmatig is gedownload, moet het worden gestart vanuit een administratieve powershell in de map met alle bestanden van de GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Geautomatiseerde installatie: #

Het script kan als volgt worden gestart vanaf de uitgepakte GitHub-download:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))