Optimice, refuerce y proteja las implementaciones de Windows 10 con cambios de configuración automatizados

Endurecer y desinstalar las implantaciones de Windows 10**

**Descargue todos los archivos necesarios de la página GitHub Repository

**Buscamos ayuda para lo siguiente .Net issue

Introducción: #

Windows 10 es un sistema operativo invasivo e inseguro fuera de la caja. Organizaciones como PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency han recomendado cambios de configuración para bloquear, endurecer y proteger el sistema operativo. Estos cambios cubren una amplia gama de mitigaciones, incluyendo el bloqueo de telemetría, macros, eliminación de bloatware, y la prevención de muchos ataques digitales y físicos en un sistema. Este script pretende automatizar las configuraciones recomendadas por esas organizaciones.

Notas: #

• Este script está diseñado para operar principalmente en entornos de Uso Personal. Con esto en mente, ciertas configuraciones empresariales no están implementadas. Este script no está diseñado para llevar un sistema al 100% de cumplimiento. Más bien debe ser utilizado como un trampolín para completar la mayoría, si no todos, los cambios de configuración que pueden ser guionizados mientras se omiten cuestiones como la marca y los banners, que no deben ser implementados incluso en un entorno de uso personal reforzado.
• Este script está diseñado de tal manera que las optimizaciones, a diferencia de otros scripts, no romperán la funcionalidad central de Windows.
• Características como Windows Update, Windows Defender, la Tienda Windows, y Cortona han sido restringidas, pero no están en un estado disfuncional como la mayoría de otros scripts de Privacidad de Windows 10.
• Si usted busca un script minimizado dirigido sólo a entornos comerciales, por favor vea esto GitHub Repository

Requisitos: #

• Windows 10 Enterprise (Preferido) o Windows 10 Professional.
  • Windows 10 Home no permite configuraciones GPO.
  • Las ediciones “N” de Windows 10 no se han probado.
• Standards para un dispositivo Windows 10 altamente seguro
• System is fully up to date
  • Actualmente Windows 10 v1909, v2004, o 20H2.
  • Ejecute el Windows 10 Upgrade Assistant para actualizar y verificar la última versión mayor.
• X] Bitlocker debe ser suspendido o desactivado antes de implementar este script, puede ser activado de nuevo después de reiniciar.
  • Las siguientes ejecuciones de este script pueden realizarse sin desactivar bitlocker.
• X] Requisitos de hardware
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Material de lectura recomendado: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Una lista de scripts y herramientas que utiliza esta colección: #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Se consideraron configuraciones adicionales de: #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

STIGS/SRGs Applied: #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Trabajo en curso
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Cómo ejecutar el script #

Instalación manual: #

Si se descarga manualmente, el script debe lanzarse desde un powershell administrativo en el directorio que contiene todos los archivos del archivo GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Instalación automatizada: #

El script puede ser lanzado desde la descarga extraída de GitHub así:

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))