Automatiser la conformité à la STIG de Windows 10 avec un script Powershell

**Téléchargez tous les fichiers nécessaires à partir du site web GitHub Repository

**Nous recherchons de l’aide pour les tâches suivantes .Net issue

Introduction : #

Windows 10 est un système d’exploitation non sécurisé dès sa sortie de l’emballage et nécessite de nombreux changements pour assurer la sécurité de l’utilisateur. FISMA la conformité. Des organisations comme Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency ont recommandé et exigé des changements de configuration pour verrouiller, durcir et sécuriser le système d’exploitation et assurer la conformité avec le gouvernement. Ces modifications couvrent un large éventail de mesures d’atténuation, notamment le blocage de la télémétrie et des macros, la suppression des logiciels gonflants et la prévention de nombreuses attaques physiques sur un système.

Les systèmes autonomes sont parmi les plus difficiles et les plus ennuyeux à sécuriser. Lorsqu’ils ne sont pas automatisés, ils nécessitent des modifications manuelles de chaque STIG/SRG. Cela représente plus de 1000 changements de configuration pour un déploiement typique et une moyenne de 5 minutes par changement, ce qui équivaut à 3,5 jours de travail. Ce script a pour but d’accélérer ce processus de manière significative.

Notes : #

• Ce script est conçu pour fonctionner dans des environnements Entreprise et suppose que vous disposez d’un support matériel pour toutes les exigences.
  • Pour les systèmes personnels, veuillez consulter le document suivant GitHub Repository
• Ce script n’est pas conçu pour amener un système à 100% de conformité, il devrait plutôt être utilisé comme un tremplin pour compléter la plupart, sinon la totalité, des changements de configuration qui peuvent être scriptés.
  • Sans la documentation du système, cette collection devrait vous amener à une conformité d’environ 95 % pour tous les STIGS/SRG appliqués.

Exigences : #

• Windows 10 Enterprise est Exigé par STIG.
• Standards pour un appareil Windows 10 hautement sécurisé
• System is fully up to date
  • Actuellement Windows 10 v1909 ou v2004.
  • Exécutez l’application Windows 10 Upgrade Assistant à mettre à jour et à vérifier la dernière version majeure.
• Configuration matérielle requise
  • Hardware Requirements for Memory Integrity
  • Hardware Requirements for Windows Defender Application Guard
  • Hardware Requirements for Windows Defender Credential Guard

Matériel de lecture recommandé : #

• System Guard Secure Launch
• System Guard Root of Trust
• Hardware-based Isolation
• Memory integrity
• Windows Defender Application Guard
• Windows Defender Credential Guard

Une liste de scripts et d’outils utilisés par cette collection : #

• Microsoft Security Compliance Toolkit 1.0

• Cyber.mil - Group Policy Objects

• NSACyber - Bitlocker Guidance

D’autres configurations ont été prises en compte à partir de : #

• NSACyber - Hardware-and-Firmware-Security-Guidance

• NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRGs appliqués : #

• Windows 10 V1R23

• Windows Defender Antivirus V1R9

• Windows Firewall V1R7

• Internet Explorer 11 V1R19

• Adobe Reader Pro DC Continous V1R2

• Microsoft Office 2019/Office 365 Pro Plus V1R2

• Microsoft Office 2016 V1R2

• Microsoft Office 2013 V1R5

• Google Chrome V1R19

• Firefox V4R29

• Microsoft .Net Framework 4 V1R9 - Travaux en cours

• Oracle JRE 8 V1R5

Comment exécuter le script #

Le script peut être lancé à partir du téléchargement GitHub extrait comme ceci:

.\secure-standalone.ps1

Le script que nous allons utiliser doit être lancé à partir du répertoire contenant tous les autres fichiers de l’application GitHub Repository