Optimiser, renforcer et sécuriser les déploiements de Windows 10 avec des changements de configuration automatisés

Durcir et débloquer les déploiements de Windows 10**

**Téléchargez tous les fichiers nécessaires à partir du site web GitHub Repository

**Nous recherchons de l’aide pour les tâches suivantes .Net issue

Introduction : #

Windows 10 est un système d’exploitation invasif et peu sûr. Des organisations comme PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency ont recommandé des changements de configuration pour verrouiller, durcir et sécuriser le système d’exploitation. Ces changements couvrent un large éventail de mesures d’atténuation, notamment le blocage de la télémétrie et des macros, la suppression des logiciels gonflants et la prévention de nombreuses attaques numériques et physiques sur un système. Ce script vise à automatiser les configurations recommandées par ces organisations.

Notes : #

• Ce script est conçu pour fonctionner dans des environnements principalement à usage personnel. Dans cette optique, certains paramètres de configuration d’entreprise ne sont pas implémentés. Ce script n’est pas conçu pour rendre un système conforme à 100 %. Il doit plutôt être utilisé comme un tremplin pour effectuer la plupart, sinon la totalité, des changements de configuration qui peuvent être scriptés tout en ignorant des questions telles que les marques et les bannières, qui ne doivent pas être mises en œuvre, même dans un environnement d’utilisation personnelle renforcé.
• Ce script est conçu de manière à ce que les optimisations, contrairement à d’autres scripts, ne cassent pas les fonctionnalités de base de Windows.
• Des fonctionnalités telles que Windows Update, Windows Defender, le Windows Store et Cortona ont été restreintes, mais ne sont pas dans un état de dysfonctionnement comme la plupart des autres scripts de confidentialité de Windows 10.
• Si vous recherchez un script minimisé ciblant uniquement les environnements commerciaux, veuillez consulter ce document. GitHub Repository

Exigences : #

• Windows 10 Enterprise (Preferred) ou Windows 10 Professional
  • Windows 10 Home ne permet pas les configurations GPO.
  • Les éditions “N” de Windows 10 ne sont pas testées.
• Standards pour un appareil Windows 10 hautement sécurisé
• System is fully up to date
  • Actuellement Windows 10 v1909, v2004, ou 20H2.
  • Exécutez l’application Windows 10 Upgrade Assistant pour mettre à jour et vérifier la dernière version majeure.
• X] Bitlocker doit être suspendu ou désactivé avant l’exécution de ce script, il peut être réactivé après le redémarrage.
  • Les exécutions suivantes de ce script peuvent être exécutées sans désactiver Bitlocker.
• X] Configuration matérielle requise
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Virtualization-Based Security
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Matériel de lecture recommandé : #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Liste des scripts et des outils utilisés par cette collection : #

• Cyber.mil - Group Policy Objects
• Microsoft Security Compliance Toolkit 1.0

Des configurations supplémentaires ont été prises en compte à partir de : #

• BuiltByBel - PrivateZilla
• CERT - IE Scripting Engine Memory Corruption
• Dirteam - SSL Hardening
• Microsoft - Managing Windows 10 Telemetry and Callbacks
• Microsoft - Reduce attack surfaces with attack surface reduction rules
• Microsoft - Recommended block rules
• Microsoft - Recommended driver block rules
• Microsoft - Specture and Meltdown Mitigations
• Microsoft - Windows 10 Privacy
• Microsoft - Windows 10 VDI Recomendations
• Microsoft - Windows Defender Application Control
• Mirinsoft - SharpApp
• Mirinsoft - debotnet
• NSACyber - Application Whitelisting Using Microsoft AppLocker
• NSACyber - Bitlocker Guidance
• NSACyber - Hardware-and-Firmware-Security-Guidance
• NSACyber - Windows Secure Host Baseline
• UnderGroundWires - Privacy.S**Y
• Sycnex - Windows10Debloater
• The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool
• TheVDIGuys - Windows 10 VDI Optimize
• W4H4WK - Debloat Windows 10
• Whonix - Disable TCP Timestamps

STIGS/SRGs appliqués : #

• Adobe Reader Pro DC Classic V1R3
• Adobe Reader Pro DC Continous V1R2
• Firefox V4R29
• Google Chrome V1R19
• Internet Explorer 11 V1R19
• Microsoft .Net Framework 4 V1R9 - Travaux en cours
• Microsoft Office 2013 V1R5
• Microsoft Office 2016 V1R2
• Microsoft Office 2019/Office 365 Pro Plus V1R2
• Microsoft OneDrive STIG V2R1
• Oracle JRE 8 V1R5
• Windows 10 V2R1
• Windows Defender Antivirus V2R1
• Windows Firewall V1R7

Comment exécuter le script #

Installation manuelle : #

S’il est téléchargé manuellement, le script doit être lancé à partir d’un power-shell d’administration dans le répertoire contenant tous les fichiers du fichier GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-optimize-windows.ps1

Installation automatisée : #

Le script peut être lancé à partir du téléchargement GitHub extrait comme suit :

iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'))