Optimice y endurezca su sistema Windows con el script Windows-Optimize-Harden-Debloat
Table of Contents
Introducción:
Windows 10 y Windows 11 son sistemas operativos invasivos e inseguros listos para usar. Organizaciones como PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency tienen cambios de configuración recomendados para bloquear, fortalecer y proteger el sistema operativo. Estos cambios cubren una amplia gama de mitigaciones, incluido el bloqueo de telemetría, macros, la eliminación de bloatware y la prevención de muchos ataques digitales y físicos en un sistema. Este script tiene como objetivo automatizar las configuraciones recomendadas por esas organizaciones.
Notas, advertencias y consideraciones:
ADVERTENCIA:
Este script debería funcionar para la mayoría de los sistemas, si no todos, sin problemas. Mientras @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue
- Este script está diseñado para funcionar principalmente en entornos de Uso personal. Con eso en mente, ciertas opciones de configuración empresarial no están implementadas. Este script no está diseñado para llevar un sistema al 100% de cumplimiento. Más bien, debe usarse como un trampolín para completar la mayoría, si no todos, los cambios de configuración que se pueden programar mientras se saltan problemas pasados como la marca y los banners que no deben implementarse incluso en un entorno de uso personal reforzado.
- Este script está diseñado de tal manera que las optimizaciones, a diferencia de otros scripts, no interrumpirán la funcionalidad principal de Windows.
- Funciones como Windows Update, Windows Defender, Windows Store y Cortona se han restringido, pero no se encuentran en un estado disfuncional como la mayoría de los otros scripts de privacidad de Windows 10.
- Si busca una secuencia de comandos minimizada dirigida solo a entornos comerciales, consulte esto GitHub Repository
No ejecute este script si no entiende lo que hace. Es su responsabilidad revisar y probar el script antes de ejecutarlo.
POR EJEMPLO, LO SIGUIENTE SE ROMPERÁ SI UTILIZA ESTO SIN TOMAR MEDIDAS PREVENTIVAS:
El uso de la cuenta de administrador predeterminada llamada “Administrador” está deshabilitado y renombrado por DoD STIG
No se aplica a la cuenta predeterminada creada, pero sí se aplica al uso de la cuenta de administrador predeterminada que se encuentra a menudo en las versiones Enterprise, IOT y Windows Server
Cree una nueva cuenta en Administración de equipos y configúrela como administrador si lo desea. Luego, copie el contenido de la carpeta de usuarios anteriores en la nueva después de iniciar sesión en el nuevo usuario por primera vez para solucionar esto antes de ejecutar el script.
El inicio de sesión con una cuenta de Microsoft está deshabilitado por DoD STIG.
Cuando intente ser seguro y privado, no se recomienda iniciar sesión en su cuenta local a través de una cuenta de Microsoft. Esto se aplica mediante este repositorio.
Cree una nueva cuenta en Administración de equipos y configúrela como administrador si lo desea. Luego, copie el contenido de la carpeta de usuarios anteriores en la nueva después de iniciar sesión en el nuevo usuario por primera vez para solucionar esto antes de ejecutar el script.
Los PIN de cuenta están deshabilitados por DoD STIG
Los PIN son inseguros cuando se usan únicamente en lugar de una contraseña y se pueden eludir fácilmente en cuestión de horas o incluso segundos o minutos.
Elimine el pin de la cuenta y/o inicie sesión con la contraseña después de ejecutar el script.
Los valores predeterminados de Bitlocker se cambiaron y endurecieron debido a DoD STIG.
Debido a cómo se implementa BitLocker, cuando se produzcan estos cambios y si ya tiene habilitado BitLocker, se romperá la implementación de BitLocker.
Deshabilite BitLocker, ejecute el script y luego vuelva a habilitar BitLocker para solucionar este problema.
Requisitos:
- Windows 10/11 Enterprise (Preferido) o Profesional
- Las ediciones de Windows 10/11 Home no admiten configuraciones de GPO y no se han probado.
- Las ediciones de la ventana “N” no se prueban. -[x] Standards para un dispositivo Windows 10 altamente seguro -[x] System is fully up to date and supported
- Ejecutar el Windows Upgrade Assistant para actualizar y verificar la última versión importante.
- Bitlocker debe suspenderse o apagarse antes de implementar este script, se puede volver a habilitar después de reiniciar.
- Las ejecuciones de seguimiento de este script se pueden ejecutar sin deshabilitar BitLocker.
- Requisitos de hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Virtualization-Based Security - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard
Material de lectura recomendado:
- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard
Adiciones, cambios notables y correcciones de errores:
Este script agrega, elimina y cambia la configuración de su sistema. Revise el script antes de ejecutarlo.
Navegadores:
- Los navegadores tendrán extensiones adicionales instaladas para ayudar en la privacidad y la seguridad.
- Ver here para informacion adicional.
- Debido a las STIG del Departamento de Defensa implementadas para los navegadores, se establecen la administración de extensiones y otras configuraciones empresariales. Para obtener instrucciones sobre cómo ver estas opciones, deberá consultar las instrucciones de GPO a continuación.
Módulos Powershell:
- Para ayudar a automatizar las actualizaciones de Windows, PowerShell PSWindowsUpdate El módulo se agregará a su sistema.
Corrección de la cuenta de Microsoft, la tienda o los servicios de Xbox:
Esto se debe a que bloqueamos el inicio de sesión en las cuentas de Microsoft. La asociación de telemetría e identidad de Microsoft está mal vista. Sin embargo, si aún desea utilizar estos servicios, consulte los siguientes tickets de emisión para la resolución:
- https://github.com/simeononsecurity/Windows-Optimize-Debloat/issues/1
- https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat/issues/16
- https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat/issues/22
Edición de políticas en la Política de grupo local después del hecho:
Si necesita modificar o cambiar una configuración, lo más probable es que se pueda configurar a través de GPO:
Importe las definiciones de la política ADMX de este repo en C:\windows\PolicyDefinitions en el sistema que está tratando de modificar.
Abra
gpedit.msc
en el sistema que está tratando de modificar.
Una lista de scripts y herramientas que utiliza esta colección:
Primera fiesta:
- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat
Tercero:
- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon
STIGS/SRG aplicados:
- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7
Se consideraron configuraciones adicionales de:
- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps
Cómo ejecutar el script:
GUI - Instalación guiada:
Descargar la última versión here elige las opciones que quieras y presiona ejecutar. ### Instalación automatizada: utilice este resumen para descargar automáticamente, descomprimir todos los archivos compatibles y ejecutar la última versión del script.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex
<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of
Windows-Optimize-Harden-Debloat automatic install">
### Manual Install:
If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)
The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.
- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.
An example of how to launch the script with specific parameters would be:
```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false