Automatización del cumplimiento de las STIG de Windows 10 con un script de Powershell

**Descargue todos los archivos necesarios de la página GitHub Repository

**Buscamos ayuda para lo siguiente .Net issue

Introducción: #

Windows 10 es inseguro sistema operativo fuera de la caja y requiere muchos cambios para asegurar FISMA cumplimiento. Organizaciones como Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency han recomendado y exigido cambios de configuración para bloquear, endurecer y asegurar el sistema operativo y garantizar el cumplimiento de la normativa gubernamental. Estos cambios abarcan una amplia gama de mitigaciones, como el bloqueo de la telemetría, las macros, la eliminación del bloatware y la prevención de muchos ataques físicos a un sistema.

Los sistemas autónomos son algunos de los más difíciles y molestos de proteger. Cuando no están automatizados, requieren cambios manuales de cada STIG/SRG. Un total de más de 1000 cambios de configuración en un despliegue típico y una media de 5 minutos por cambio equivalen a 3,5 días de trabajo. Este script pretende acelerar ese proceso significativamente.

Notas: #

• Este script está diseñado para operar en entornos Empresariales y asume que usted tiene soporte de hardware para todos los requerimientos.
  • Para sistemas personales por favor vea esto GitHub Repository
• Este script no está diseñado para llevar un sistema al 100% de cumplimiento, más bien debe ser utilizado como un trampolín para completar la mayoría, si no todos, los cambios de configuración que pueden ser guionizados.
  • Menos la documentación del sistema, esta colección debería llevarle a un 95% de cumplimiento en todos los STIGS/SRGs aplicados.

Requisitos: #

• Windows 10 Enterprise es Requerido por STIG.
• Standards para un dispositivo Windows 10 altamente seguro
• System is fully up to date
  • Actualmente Windows 10 v1909 o v2004.
  • Ejecute el Windows 10 Upgrade Assistant para actualizar y verificar la última versión principal.
• Requisitos de hardware
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Material de lectura recomendado: #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Una lista de scripts y herramientas que utiliza esta colección: #

• Microsoft Security Compliance Toolkit 1.0

• Cyber.mil - Group Policy Objects

• NSACyber - Bitlocker Guidance

Se consideraron configuraciones adicionales de: #

• NSACyber - Hardware-and-Firmware-Security-Guidance

• NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRGs Aplicados: #

• Windows 10 V1R23

• Windows Defender Antivirus V1R9

• Windows Firewall V1R7

• Internet Explorer 11 V1R19

• Adobe Reader Pro DC Continous V1R2

• Microsoft Office 2019/Office 365 Pro Plus V1R2

• Microsoft Office 2016 V1R2

• Microsoft Office 2013 V1R5

• Google Chrome V1R19

• Firefox V4R29

• Microsoft .Net Framework 4 V1R9 - Trabajo en curso

• Oracle JRE 8 V1R5

Cómo ejecutar el script #

**El script puede ser descargado desde GitHub de la siguiente manera

.\secure-standalone.ps1

El script que vamos a utilizar debe lanzarse desde el directorio que contiene todos los demás archivos de la carpeta GitHub Repository