Ottimizzazione, protezione e sicurezza delle distribuzioni di Windows 10 con modifiche automatiche della configurazione

Harden e Debloat delle distribuzioni di Windows 10**

**Scaricare tutti i file necessari dal sito web GitHub Repository

**Cerchiamo aiuto per i seguenti aspetti .Net issue

Introduzione: #

Windows 10 è un sistema operativo invasivo e insicuro. Organizzazioni come PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hanno raccomandato modifiche alla configurazione per bloccare, irrigidire e proteggere il sistema operativo. Queste modifiche coprono un’ampia gamma di mitigazioni, tra cui il blocco della telemetria, delle macro, la rimozione del bloatware e la prevenzione di molti attacchi digitali e fisici al sistema. Questo script mira ad automatizzare le configurazioni raccomandate da queste organizzazioni.

Note: #

• Questo script è stato progettato per funzionare in ambienti prevalentemente ad uso personale. Per questo motivo, alcune impostazioni di configurazione aziendali non vengono implementate. Questo script non è stato progettato per portare un sistema al 100% della conformità. Dovrebbe piuttosto essere utilizzato come trampolino di lancio per completare la maggior parte, se non tutte, le modifiche di configurazione che possono essere eseguite tramite script, saltando questioni come il branding e i banner, che non dovrebbero essere implementati nemmeno in un ambiente di uso personale protetto.
• Questo script è progettato in modo tale che le ottimizzazioni, a differenza di altri script, non interrompano le funzionalità fondamentali di Windows.
• Funzionalità come Windows Update, Windows Defender, Windows Store e Cortona sono state limitate, ma non sono in uno stato di disfunzione come la maggior parte degli altri script Windows 10 Privacy.
• Se cercate uno script ridotto al minimo e destinato solo ad ambienti commerciali, consultate questo GitHub Repository

Requisiti: #

• Windows 10 Enterprise (Preferito) o Windows 10 Professional
  • Windows 10 Home non consente configurazioni GPO.
  • Le edizioni “N” di Windows 10 non sono state testate.
• Standards per un dispositivo Windows 10 altamente sicuro
• System is fully up to date
  • Attualmente Windows 10 v1909, v2004 o 20H2.
  • Eseguire il programma Windows 10 Upgrade Assistant per aggiornare e verificare l’ultima versione principale.
• Bitlocker deve essere sospeso o disattivato prima di implementare questo script; può essere nuovamente attivato dopo il riavvio.
  • Le esecuzioni successive di questo script possono essere eseguite senza disabilitare bitlocker.
• Requisiti hardware
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Materiale di lettura consigliato: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Un elenco di script e strumenti utilizzati da questa raccolta: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Sono state prese in considerazione configurazioni aggiuntive da: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

STIGS/SRG applicati: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Lavoro in corso
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Come eseguire lo script #

Installazione manuale: #

Se scaricato manualmente, lo script deve essere lanciato da una powershell amministrativa nella directory contenente tutti i file del file GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Installazione automatica: #

Lo script può essere lanciato dal download estratto da GitHub in questo modo:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))

.