Windows 10 STIG-naleving automatiseren met Powershell Script

**Download alle benodigde bestanden van de GitHub Repository

**Wij zoeken hulp bij het volgende .Net issue

Introductie: #

Windows 10 is onveilig besturingssysteem uit de doos en vereist veel veranderingen om te verzekeren FISMA naleving. Organisaties zoals Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hebben aanbevolen en vereiste configuratiewijzigingen om het besturingssysteem te vergrendelen, te verharden en te beveiligen en de naleving door de overheid te waarborgen. Deze wijzigingen bestrijken een breed scala aan mitigaties, waaronder het blokkeren van telemetrie, macro’s, het verwijderen van bloatware en het voorkomen van vele fysieke aanvallen op een systeem.

Standalone systemen behoren tot de moeilijkste en vervelendste systemen om te beveiligen. Wanneer ze niet geautomatiseerd zijn, moeten ze handmatig worden gewijzigd in elke STIG/SRG. In totaal meer dan 1000 configuratiewijzigingen bij een typische implementatie en een gemiddelde van 5 minuten per wijziging staat gelijk aan 3,5 dag werk. Dit script wil dat proces aanzienlijk versnellen.

Opmerkingen: #

• Dit script is ontworpen voor gebruik in Enterprise omgevingen en gaat ervan uit dat u hardware ondersteuning heeft voor alle vereisten.
  • Voor persoonlijke systemen zie dit GitHub Repository
• Dit script is niet ontworpen om een systeem tot 100% conformiteit te brengen, maar dient eerder als een opstapje om de meeste, zo niet alle, configuratiewijzigingen te voltooien die met een script kunnen worden uitgevoerd.
  • Zonder systeemdocumentatie zou deze verzameling u tot ongeveer 95% conformiteit moeten brengen voor alle toegepaste STIGS/SRG’s.

Vereisten: #

• Windows 10 Enterprise is vereist per STIG. -[x] Standards voor een zeer veilig Windows 10-apparaat -[x] System is fully up to date
  • Momenteel Windows 10 v1909 of v2004.
  • Voer de Windows 10 Upgrade Assistant bij te werken en de laatste grote release te verifiëren.
• X] Hardwarevereisten - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Aanbevolen leesmateriaal: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Een lijst van scripts en gereedschappen die deze collectie gebruikt: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

Aanvullende configuraties werden overwogen van: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRG’s toegepast: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Werk in uitvoering

- Oracle JRE 8 V1R5

Hoe voer je het script uit #

Het script kan worden gelanceerd vanaf de uitgepakte GitHub download als volgt:

.\secure-standalone.ps1

Het script dat we gaan gebruiken moet worden gestart vanuit de directory met alle andere bestanden uit de GitHub Repository