Automatització del compliment de Windows 10 STIG amb Powershell Script

** Baixeu tots els fitxers necessaris des del GitHub Repository

** Estem buscant ajuda amb el següent .Net issue

Introducció: #

Windows 10 és un sistema operatiu insegur des de la caixa i requereix molts canvis per assegurar-lo FISMA compliment. Organitzacions com Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency han recomanat i requerit canvis de configuració per bloquejar, endurir i assegurar el sistema operatiu i garantir el compliment del govern. Aquests canvis cobreixen una àmplia gamma de mitigacions, com ara el bloqueig de la telemetria, les macros, l’eliminació de bloatware i la prevenció de molts atacs físics a un sistema.

Els sistemes autònoms són alguns dels sistemes més difícils i molestos de protegir. Quan no estan automatitzats, requereixen canvis manuals de cada STIG/SRG. En total, més de 1.000 canvis de configuració en una implementació típica i una mitjana de 5 minuts per canvi equivalent a 3,5 dies de treball. Aquest script pretén accelerar aquest procés de manera significativa.

Notes: #

• Aquest script està dissenyat per funcionar en entorns Empresa i suposa que teniu suport de maquinari per a tots els requisits.
  • Per a sistemes personals, consulteu això GitHub Repository
• Aquest script no està dissenyat per fer que un sistema compleixi al 100%, sinó que s’hauria d’utilitzar com a trampolí per completar la majoria, si no tots, els canvis de configuració que es poden programar.
  • Menys la documentació del sistema, aquesta recollida us hauria d’aportar fins a un 95% de compliment de tots els STIGS/SRG aplicats.

Requisits: #

• Windows 10 Enterprise és obligatori per STIG. -[x] Standards per a un dispositiu Windows 10 altament segur -[x] System is fully up to date
  • Actualment Windows 10 v1909 o v2004.
  • Executar el Windows 10 Upgrade Assistant per actualitzar-se i verificar la darrera versió principal.
• Requisits de maquinari - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Material de lectura recomanat: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Una llista de scripts i eines que utilitza aquesta col·lecció: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

S’han considerat configuracions addicionals de: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRG aplicats: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Obres en curs

- Oracle JRE 8 V1R5

Com executar l’script #

L’script es pot llançar des de la descàrrega de GitHub extreta així:

.\secure-standalone.ps1

L’script que farem servir s’ha de llançar des del directori que conté tots els altres fitxers de l’ GitHub Repository