Optimieren, härten und sichern Sie Windows 10-Bereitstellungen mit automatisierten Konfigurationsänderungen

Härten und Debloaten von Windows 10-Bereitstellungen**

**Laden Sie alle erforderlichen Dateien von der GitHub Repository

**Wir suchen Hilfe bei folgenden Aufgaben .Net issue

Einführung: #

Windows 10 ist von Haus aus ein invasives und unsicheres Betriebssystem. Organisationen wie PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency haben Konfigurationsänderungen empfohlen, um das Betriebssystem abzuschotten, zu härten und zu sichern. Diese Änderungen decken ein breites Spektrum von Maßnahmen ab, darunter das Blockieren von Telemetrie, Makros, das Entfernen von Bloatware und das Verhindern zahlreicher digitaler und physischer Angriffe auf ein System. Dieses Skript zielt darauf ab, die von diesen Organisationen empfohlenen Konfigurationen zu automatisieren.

Hinweise: #

• Dieses Skript ist in erster Linie für den Einsatz in Personal Use-Umgebungen konzipiert. Aus diesem Grund sind bestimmte Konfigurationseinstellungen für Unternehmen nicht implementiert. Dieses Skript ist nicht dazu gedacht, ein System auf 100%ige Konformität zu bringen. Es sollte vielmehr als Sprungbrett dienen, um die meisten, wenn nicht sogar alle Konfigurationsänderungen, die per Skript vorgenommen werden können, zu vervollständigen, wobei Probleme wie Branding und Banner übersprungen werden, die selbst in einer gehärteten persönlichen Umgebung nicht implementiert werden sollten.
• Dieses Skript ist so konzipiert, dass die Optimierungen, im Gegensatz zu anderen Skripten, die Kernfunktionen von Windows nicht beeinträchtigen.
• Funktionen wie Windows Update, Windows Defender, der Windows Store und Cortona wurden zwar eingeschränkt, sind aber nicht in einem funktionsuntüchtigen Zustand wie die meisten anderen Skripte zum Schutz der Privatsphäre in Windows 10.
• Wenn Sie ein minimiertes Skript suchen, das nur auf kommerzielle Umgebungen ausgerichtet ist, lesen Sie bitte dieses GitHub Repository

Anforderungen: #

• Windows 10 Enterprise (Bevorzugt) oder Windows 10 Professional
  • Windows 10 Home lässt keine GPO-Konfigurationen zu.
  • Windows 10 “N”-Editionen werden nicht getestet.
• Standards für ein hochsicheres Windows 10-Gerät
• System is fully up to date
  • Derzeit Windows 10 v1909, v2004, oder 20H2.
  • Führen Sie die Windows 10 Upgrade Assistant um die letzte Hauptversion zu aktualisieren und zu verifizieren.
• X] Bitlocker muss vor der Implementierung dieses Skripts angehalten oder deaktiviert werden, es kann nach einem Neustart wieder aktiviert werden.
  • Nachfolgende Durchläufe dieses Skripts können ohne Deaktivierung von Bitlocker ausgeführt werden.
• X] Hardware-Anforderungen
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Empfohlenes Lesematerial: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Eine Liste der Skripte und Werkzeuge, die diese Sammlung verwendet: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Zusätzliche Konfigurationen wurden berücksichtigt von: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

Angewandte STIGS/SRGs: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Arbeiten in Arbeit
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

So führen Sie das Skript aus #

Manuelle Installation: #

Wenn das Skript manuell heruntergeladen wird, muss es von einer administrativen Powershell aus in dem Verzeichnis gestartet werden, das alle Dateien aus der GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Automatisierte Installation: #

Das Skript kann aus dem extrahierten GitHub-Download wie folgt gestartet werden:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))