Ottimizza e rafforza il tuo sistema Windows con lo script Windows-Optimize-Harden-Debloat

Introduzione:

Windows 10 e Windows 11 sono sistemi operativi invasivi e non sicuri pronti all’uso. Organizzazioni come PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hanno consigliato modifiche alla configurazione per bloccare, rafforzare e proteggere il sistema operativo. Queste modifiche coprono un’ampia gamma di mitigazioni, tra cui il blocco della telemetria, delle macro, la rimozione di bloatware e la prevenzione di molti attacchi digitali e fisici a un sistema. Questo script ha lo scopo di automatizzare le configurazioni consigliate da tali organizzazioni.

Note, avvertenze e considerazioni: #

AVVERTIMENTO:

Questo script dovrebbe funzionare per la maggior parte, se non per tutti, i sistemi senza problemi. Mentre @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

• Questo script è progettato per funzionare principalmente in ambienti di uso personale. Con questo in mente, alcune impostazioni di configurazione aziendale non sono implementate. Questo script non è progettato per portare un sistema al 100% di conformità. Piuttosto dovrebbe essere utilizzato come trampolino di lancio per completare la maggior parte, se non tutte, le modifiche alla configurazione che possono essere programmate saltando problemi passati come branding e banner in cui questi non dovrebbero essere implementati nemmeno in un ambiente di uso personale rafforzato.
• Questo script è progettato in modo tale che le ottimizzazioni, a differenza di altri script, non interrompano le funzionalità di base di Windows.
• Funzionalità come Windows Update, Windows Defender, Windows Store e Cortona sono state limitate, ma non sono in uno stato disfunzionale come la maggior parte degli altri script Privacy di Windows 10.
• Se cerchi uno script ridotto a icona destinato solo ad ambienti commerciali, consulta questo GitHub Repository

Non eseguire questo script se non capisci cosa fa. È tua responsabilità rivedere e testare lo script prima di eseguirlo.

AD ESEMPIO, QUANTO SEGUENTE SI INTERROMPERÀ SE LO ESEGUITI SENZA PRENDERE MISURE PREVENTIVE:

• L’utilizzo dell’account amministratore predefinito denominato “Administrator” è disabilitato e rinominato per DoD STIG

  • Non si applica all’account predefinito creato ma si applica all’utilizzo dell’account amministratore predefinito che si trova spesso nelle versioni Enterprise, IOT e Windows Server

  • Crea un nuovo account in Gestione computer e impostalo come amministratore, se lo desideri. Quindi copia il contenuto della cartella degli utenti precedenti in quella nuova dopo aver effettuato l’accesso al nuovo utente per la prima volta per aggirare il problema prima di eseguire lo script.

• L’accesso tramite un account Microsoft è disabilitato per DoD STIG.

  • Quando cerchi di essere sicuro e privato, non è consigliabile accedere al tuo account locale tramite un account Microsoft. Questo è applicato da questo repository.

  • Crea un nuovo account in Gestione computer e impostalo come amministratore, se lo desideri. Quindi copia il contenuto della cartella degli utenti precedenti in quella nuova dopo aver effettuato l’accesso al nuovo utente per la prima volta per aggirare il problema prima di eseguire lo script.

• I PIN dell’account sono disabilitati per DoD STIG

  • I PIN non sono sicuri se utilizzati esclusivamente al posto di una password e possono essere facilmente aggirati in poche ore o potenzialmente anche in secondi o minuti

  • Rimuovi il pin dall’account e/o accedi utilizzando la password dopo aver eseguito lo script.

• Le impostazioni predefinite di Bitlocker sono state modificate e rafforzate grazie a DoD STIG.

  • A causa di come viene implementato il bitlocker, quando si verificano queste modifiche e se hai già abilitato il bitlocker, l’implementazione del bitlocker verrà interrotta.

  • Disattiva bitlocker, esegui lo script, quindi riattiva bitlocker per risolvere questo problema.

Requisiti: #

• Windows 10/11 Enterprise (Preferito) o Professional
  • Le edizioni Home di Windows 10/11 non supportano le configurazioni GPO e non sono testate.
  • Le edizioni Window “N” non sono testate. -[x] Standards per un dispositivo Windows 10 altamente sicuro -[x] System is fully up to date and supported
  • Corri il Windows Upgrade Assistant per aggiornare e verificare l’ultima major release.
• Bitlocker deve essere sospeso o disattivato prima di implementare questo script, può essere riattivato dopo il riavvio.
  • Le esecuzioni successive di questo script possono essere eseguite senza disabilitare il bitlocker.
• Requisiti hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Virtualization-Based Security - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Materiale di lettura consigliato: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Aggiunte, modifiche importanti e correzioni di bug: #

Questo script aggiunge, rimuove e modifica le impostazioni del tuo sistema. Si prega di rivedere lo script prima di eseguirlo.

Browser: #

• I browser avranno estensioni aggiuntive installate per favorire la privacy e la sicurezza.
  • Vedere here per ulteriori informazioni.
• A causa degli STIG DoD implementati per i browser, vengono impostate la gestione delle estensioni e altre impostazioni aziendali. Per istruzioni su come visualizzare queste opzioni, è necessario consultare le istruzioni dell’oggetto Criteri di gruppo di seguito.

Moduli PowerShell: #

• Per aiutare ad automatizzare gli aggiornamenti di Windows PowerShell PSWindowsUpdate verrà aggiunto al tuo sistema.

Correzione dell’account Microsoft, dello Store o dei servizi Xbox: #

Questo perché blocchiamo l’accesso agli account Microsoft. La telemetria e l’associazione di identità di Microsoft sono disapprovate. Tuttavia, se desideri ancora utilizzare questi servizi, consulta i seguenti ticket di emissione per la risoluzione:

• https://github.com/simeononsecurity/Windows-Optimize-Debloat/issues/1
• https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat/issues/16
• https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat/issues/22

Modifica dei criteri in Criteri di gruppo locali dopo il fatto: #

Se è necessario modificare o modificare un’impostazione, molto probabilmente sono configurabili tramite GPO:

• Importa le definizioni dei criteri ADMX da questo repo in C:\windows\PolicyDefinitions sul sistema che stai tentando di modificare.

• Apri gpedit.msc sul sistema che stai tentando di modificare.

Un elenco di script e strumenti utilizzati da questa raccolta: #

Prima festa: #

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Terzo: #

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRG applicati: #

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

Ulteriori configurazioni sono state prese in considerazione da: #

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Come eseguire lo script: #

GUI - Installazione guidata: #

Scarica l’ultima versione here scegli le opzioni che desideri e premi esegui. ### Installazione automatica: usa questo one-liner per scaricare automaticamente, decomprimere tutti i file di supporto ed eseguire l'ultima versione dello script.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex

<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false