Automazione della conformità STIG di Windows Server con gli script STIG
**Scarica tutti i file richiesti dal file GitHub Repository
Nota: questo script dovrebbe funzionare senza problemi per la maggior parte dei sistemi, se non per tutti. Mentre @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue Non eseguire questo script se non capisci cosa fa. È responsabilità dell’utente rivedere e testare lo script prima di eseguirlo.
Ansible:
Ora offriamo una raccolta di playbook per questo script. Si prega di consultare quanto segue: - Github Repo - Ansible Galaxy
Introduzione:
Windows 10 è un sistema operativo non sicuro pronto all’uso e richiede molte modifiche per essere assicurato FISMA conformità. Organizzazioni come Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hanno raccomandato e richiesto modifiche alla configurazione per bloccare, rafforzare e proteggere il sistema operativo e garantire la conformità del governo. Queste modifiche coprono un’ampia gamma di mitigazioni, tra cui il blocco della telemetria, delle macro, la rimozione di bloatware e la prevenzione di molti attacchi fisici a un sistema.
I sistemi autonomi sono alcuni dei sistemi più difficili e fastidiosi da proteggere. Quando non sono automatizzati, richiedono modifiche manuali di ogni STIG/SRG. Totale di oltre 1000 modifiche alla configurazione su un’implementazione tipica e una media di 5 minuti per modifica pari a 3,5 giorni di lavoro. Questo script mira ad accelerare significativamente tale processo.
Appunti:
- Questo script è progettato per funzionare in ambienti Enterprise e presuppone che tu disponga del supporto hardware per tutti i requisiti.
- Per i sistemi personali vedere questo GitHub Repository
- Questo script non è progettato per portare un sistema al 100% di conformità, piuttosto dovrebbe essere utilizzato come trampolino di lancio per completare la maggior parte, se non tutte, le modifiche alla configurazione che possono essere scriptate.
- Meno la documentazione di sistema, questa raccolta dovrebbe portare fino a circa il 95% di conformità su tutti gli STIGS/SRG applicati.
Requisiti:
- Windows 10 Enterprise è richiesto per STIG.
-[X]
Standards
per un dispositivo Windows 10 altamente sicuro
-[X] System is
fully up to date
- Corri il Windows 10 Upgrade Assistant per aggiornare e verificare l’ultima major release.
- Bitlocker deve essere sospeso o disattivato prima di implementare questo script, può essere riattivato dopo il riavvio.
- Le esecuzioni successive di questo script possono essere eseguite senza disabilitare il bitlocker.
- Requisiti hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Virtualization-Based Security - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard
Materiale di lettura consigliato:
- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard
Un elenco di script e strumenti utilizzati da questa raccolta:
- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0
Ulteriori configurazioni sono state prese in considerazione da:
- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline
STIGS/SRG applicati:
- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Firewall V1R7
Modifica dei criteri in Criteri di gruppo locali dopo il fatto:
- Importa le definizioni dei criteri ADMX da questo repo in C:\windows\PolicyDefinitions sul sistema che stai tentando di modificare.
- Aprire
gpedit.msc
on on the system you’re trying to modify.
How to run the script:
Automated Install:
The script may be launched from the extracted GitHub download like this:
iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/standalonewindows.ps1'))
Manual Install:
If manually downloaded, the script must be launched from the directory containing all the other files from the GitHub Repository
All of the parameters in the “secure-standalone.ps1” script are optional, with a default value of $true. This means that if no value is specified for a parameter when the script is run, it will be treated as if it were set to $true.
The script takes the following parameters, all of which are optional and default to $true if not specified:
- cleargpos: (Boolean) Clear GPOs not being used
- installupdates: (Boolean) Install updates and reboot if necessary
- adobe: (Boolean) STIG Adobe Reader
- firefox: (Boolean) STIG Firefox
- chrome: (Boolean) STIG Chrome
- IE11: (Boolean) STIG Internet Explorer 11
- edge: (Boolean) STIG Edge
- dotnet: (Boolean) STIG .NET Framework
- office: (Boolean) STIG Office
- onedrive: (Boolean) STIG OneDrive
- java: (Boolean) STIG Java
- windows: (Boolean) STIG Windows
- defender: (Boolean) STIG Windows Defender
- firewall: (Boolean) STIG Windows Firewall
- mitigations: (Boolean) STIG Mitigations
- nessusPID: (Boolean) Resolve Unquoted Strings in Path
- horizon: (Boolean) STIG VMware Horizon
- sosoptional: (Boolean) Optional STIG/Hardening items
An example of how to run the script with all default parameters would be:
.\secure-standalone.ps1
If you want to specify a different value for one or more of the parameters, you can include them in the command along with their desired value. For example, if you wanted to run the script and set the $firefox parameter to $false, the command would be:
.\secure-standalone.ps1 -firefox $false
You can also specify multiple parameters in the command like this:
.\secure-standalone.ps1 -firefox $false -chrome $false
Si noti che in questo esempio, entrambi i parametri di Firefox e Chrome sono impostati su $false.