Table of Contents

Introducció:

Windows 10 i Windows 11 són sistemes operatius invasius i insegurs des de la caixa. Organitzacions com PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency han recomanat canvis de configuració per bloquejar, endurir i protegir el sistema operatiu. Aquests canvis cobreixen una àmplia gamma de mitigacions, com ara el bloqueig de la telemetria, les macros, l’eliminació de bloatware i la prevenció de molts atacs digitals i físics a un sistema. Aquest script pretén automatitzar les configuracions recomanades per aquestes organitzacions.

Notes, advertències i consideracions:

ADVERTIMENT:

Aquest script hauria de funcionar per a la majoria, si no tots, els sistemes sense problemes. Mentre @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • Aquest script està dissenyat per funcionar principalment en entorns d’Ús personal. Tenint això en compte, alguns paràmetres de configuració de l’empresa no estan implementats. Aquest script no està dissenyat per fer que un sistema compleixi al 100%. Més aviat s’hauria d’utilitzar com a trampolí per completar la majoria, si no tots, els canvis de configuració que es poden escriure mentre es salten problemes anteriors com la marca i els bàners on no s’han d’implementar fins i tot en un entorn d’ús personal endurit.
  • Aquest script està dissenyat de manera que les optimitzacions, a diferència d’altres scripts, no trencaran la funcionalitat bàsica de Windows.
  • S’han restringit funcions com Windows Update, Windows Defender, Windows Store i Cortona, però no es troben en un estat disfuncional com la majoria dels altres scripts de privadesa de Windows 10.
  • Si cerqueu un script minimitzat dirigit només a entorns comercials, consulteu això GitHub Repository

No executeu aquest script si no enteneu què fa. És responsabilitat vostra revisar i provar l’script abans d’executar-lo.

PER EXEMPLE, EL SEGÜENT ES TRALLARÀ SI HO EXECUTIU SENSE FER MESURES PREVENTIVAS:

  • L’ús del compte d’administrador predeterminat anomenat “Administrador” està desactivat i canviat de nom segons DoD STIG

    • No s’aplica al compte predeterminat creat, però sí a l’ús del compte d’administrador predeterminat que es troba sovint a les versions Enterprise, IOT i Windows Server

    • Creeu un compte nou a Gestió d’ordinadors i configureu-lo com a administrador si ho voleu. A continuació, copieu el contingut de la carpeta d’usuaris anteriors a la nova després d’iniciar la sessió amb l’usuari nou per primera vegada per solucionar-ho abans d’executar l’script.

  • L’inici de sessió amb un compte de Microsoft està desactivat segons DoD STIG.

    • Quan intenteu ser segur i privat, no es recomana iniciar la sessió al vostre compte local mitjançant un compte de Microsoft. Això s’aplica amb aquest repo.

    • Creeu un compte nou a Gestió d’ordinadors i configureu-lo com a administrador si ho voleu. A continuació, copieu el contingut de la carpeta d’usuaris anteriors a la nova després d’iniciar la sessió amb l’usuari nou per primera vegada per solucionar-ho abans d’executar l’script.

  • Els PIN del compte estan desactivats segons DoD STIG

    • Els PIN són insegurs quan s’utilitzen únicament en lloc d’una contrasenya i es poden evitar fàcilment en qüestió d’hores o fins i tot de segons o minuts

    • Traieu el pin del compte i/o inicieu la sessió amb la contrasenya després d’executar l’script.

  • Els valors predeterminats de Bitlocker es canvien i s’endureixen a causa del DoD STIG.

    • A causa de com s’implementa bitlocker, quan es produeixin aquests canvis i si ja el teniu habilitat, trencarà la implementació de bitlocker.

    • Desactiveu Bitlocker, executeu l’script i, a continuació, torneu a activar Bitlocker per solucionar aquest problema.

Requisits:

Material de lectura recomanat:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Addicions, canvis notables i correccions d’errors:

Aquest script afegeix, elimina i canvia la configuració del vostre sistema. Reviseu l’script abans d’executar-lo.

  • Els navegadors tindran extensions addicionals instal·lades per ajudar a la privadesa i la seguretat.
    • Mira here per obtenir informació addicional.
  • A causa dels STIG del DoD implementats per als navegadors, s’estableix la gestió d’extensions i altres configuracions empresarials. Per obtenir instruccions sobre com veure aquestes opcions, haureu de consultar les instruccions GPO a continuació.

Mòduls Powershell:

  • Per ajudar a automatitzar les actualitzacions de Windows de PowerShell PSWindowsUpdate el mòdul s’afegirà al vostre sistema.

Arreglar el compte de Microsoft, la botiga o els serveis de Xbox:

Això es deu al fet que bloquegem la sessió als comptes de Microsoft. L’associació de telemetria i identitat de Microsoft està mal vista. Tanmateix, si encara voleu utilitzar aquests serveis, consulteu els següents tiquets d’emissió per a la resolució:

Edició de polítiques a la política de grup local després del fet:

Si necessiteu modificar o canviar una configuració, és probable que es puguin configurar mitjançant GPO:

  • Importeu les definicions de la política ADMX d’aquesta repo a C:\windows\PolicyDefinitions al sistema que esteu intentant modificar.

  • Obriu gpedit.msc al sistema que esteu intentant modificar.

Una llista de scripts i eines que utilitza aquesta col·lecció:

Primera part:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Tercera festa:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRG aplicats:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

S’han considerat configuracions addicionals de:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Com executar l’script:

GUI - Instal·lació guiada:

Descarrega l’última versió here trieu les opcions que vulgueu i premeu executa. ### Instal·lació automàtica: utilitzeu aquesta línia única per descarregar automàticament, descomprimir tots els fitxers compatibles i executar la darrera versió de l'script.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false