Automazione della conformità STIG di Windows 10 con lo script PowerShell

**Scarica tutti i file richiesti dal file GitHub Repository

**Stiamo cercando aiuto con quanto segue .Net issue

Introduzione: #

Windows 10 è un sistema operativo non sicuro pronto all’uso e richiede molte modifiche per essere assicurato FISMA conformità. Organizzazioni come Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hanno raccomandato e richiesto modifiche alla configurazione per bloccare, rafforzare e proteggere il sistema operativo e garantire la conformità del governo. Queste modifiche coprono un’ampia gamma di mitigazioni, tra cui il blocco della telemetria, delle macro, la rimozione di bloatware e la prevenzione di molti attacchi fisici a un sistema.

I sistemi autonomi sono alcuni dei sistemi più difficili e fastidiosi da proteggere. Quando non sono automatizzati, richiedono modifiche manuali di ogni STIG/SRG. Totale di oltre 1000 modifiche alla configurazione su un’implementazione tipica e una media di 5 minuti per modifica pari a 3,5 giorni di lavoro. Questo script mira ad accelerare significativamente tale processo.

Appunti: #

• Questo script è progettato per funzionare in ambienti Enterprise e presuppone che tu disponga del supporto hardware per tutti i requisiti.
  • Per i sistemi personali vedere questo GitHub Repository
• Questo script non è progettato per portare un sistema al 100% di conformità, piuttosto dovrebbe essere utilizzato come trampolino di lancio per completare la maggior parte, se non tutte, le modifiche alla configurazione che possono essere scriptate.
  • Meno la documentazione di sistema, questa raccolta dovrebbe portare fino a circa il 95% di conformità su tutti gli STIGS/SRG applicati.

Requisiti: #

• Windows 10 Enterprise è Richiesto per STIG. -[x] Standards per un dispositivo Windows 10 altamente sicuro -[x] System is fully up to date
  • Attualmente Windows 10 v1909 o v2004.
  • Corri il Windows 10 Upgrade Assistant per essere aggiornato e verificare l’ultima versione principale.
• Requisiti hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Materiale di lettura consigliato: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Un elenco di script e strumenti utilizzati da questa raccolta: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

Ulteriori configurazioni sono state prese in considerazione da: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRG applicati: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Lavori in corso

- Oracle JRE 8 V1R5

Come eseguire lo script #

Lo script può essere avviato dal download GitHub estratto in questo modo:

.\secure-standalone.ps1

Lo script che useremo deve essere lanciato dalla directory contenente tutti gli altri file dal file GitHub Repository