Automatizando a conformidade do Windows 10 STIG com o script Powershell

**Baixe todos os arquivos necessários do GitHub Repository

**Estamos buscando ajuda com o seguinte .Net issue

Introdução: #

O Windows 10 é um sistema operacional inseguro pronto para uso e requer muitas alterações para garantir FISMA conformidade. Organizações como Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency recomendaram e exigiram alterações de configuração para bloquear, fortalecer e proteger o sistema operacional e garantir a conformidade do governo. Essas alterações abrangem uma ampla gama de mitigações, incluindo bloqueio de telemetria, macros, remoção de bloatware e prevenção de muitos ataques físicos em um sistema.

Os sistemas autônomos são alguns dos sistemas mais difíceis e irritantes de proteger. Quando não automatizados, requerem alterações manuais de cada STIG/SRG. Totalizando mais de 1.000 alterações de configuração em uma implantação típica e uma média de 5 minutos por alteração, o que equivale a 3,5 dias de trabalho. Este script visa acelerar significativamente esse processo.

Notas: #

• Este script foi projetado para operação em ambientes Enterprise e pressupõe que você tenha suporte de hardware para todos os requisitos.
  • Para sistemas pessoais, consulte isto GitHub Repository
• Este script não foi projetado para levar um sistema a 100% de conformidade, mas deve ser usado como um trampolim para concluir a maioria, se não todas, as alterações de configuração que podem ser roteirizadas.
  • Menos a documentação do sistema, esta coleção deve trazer até cerca de 95% de conformidade em todos os STIGS/SRGs aplicados.

Requisitos: #

• Windows 10 Enterprise é Obrigatório por STIG. -[x] Standards para um dispositivo Windows 10 altamente seguro -[x] System is fully up to date
  • Atualmente Windows 10 v1909 ou v2004.
  • Execute o Windows 10 Upgrade Assistant para ser atualizado e verificar a versão principal mais recente.
• Requisitos de hardware - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

Material de leitura recomendado: #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Uma lista de scripts e ferramentas que esta coleção utiliza: #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

Foram consideradas configurações adicionais de: #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRGs aplicados: #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - Trabalho em progresso

- Oracle JRE 8 V1R5

Como executar o script #

O script pode ser iniciado a partir do download extraído do GitHub assim:

.\secure-standalone.ps1

O script que usaremos deve ser iniciado a partir do diretório que contém todos os outros arquivos do GitHub Repository