Table of Contents

Introdução:

O Windows 10 e o Windows 11 são sistemas operacionais invasivos e inseguros prontos para uso. Organizações como PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency recomendaram alterações de configuração para bloquear, fortalecer e proteger o sistema operacional. Essas alterações abrangem uma ampla gama de mitigações, incluindo bloqueio de telemetria, macros, remoção de bloatware e prevenção de muitos ataques físicos e digitais em um sistema. Este script visa automatizar as configurações recomendadas por essas organizações.

Notas, Advertências e Considerações:

AVISO:

Este script deve funcionar para a maioria dos sistemas, se não todos, sem problemas. Enquanto @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • Este script foi projetado para operação principalmente em ambientes de uso pessoal. Com isso em mente, certas definições de configuração corporativa não são implementadas. Este script não foi projetado para levar um sistema a 100% de conformidade. Em vez disso, deve ser usado como um trampolim para concluir a maioria, se não todas, as alterações de configuração que podem ser roteirizadas, ignorando problemas anteriores como branding e banners, nos quais não devem ser implementados, mesmo em um ambiente de uso pessoal rígido.
  • Este script foi projetado de forma que as otimizações, ao contrário de alguns outros scripts, não interrompam a funcionalidade principal do Windows.
  • Recursos como Windows Update, Windows Defender, Windows Store e Cortona foram restritos, mas não estão em um estado disfuncional como a maioria dos outros scripts de privacidade do Windows 10.
  • Se você busca um script minimizado direcionado apenas para ambientes comerciais, consulte este GitHub Repository

Não execute este script se você não entender o que ele faz. É sua responsabilidade revisar e testar o script antes de executá-lo.

** POR EXEMPLO, O SEGUINTE QUEBRARÁ SE VOCÊ EXECUTAR ISSO SEM TOMAR MEDIDAS PREVENTIVAS: **

  • O uso da conta de administrador padrão chamada “Administrador” é desativado e renomeado por DoD STIG

    • Não se aplica à conta padrão criada, mas se aplica ao uso da conta de administrador padrão frequentemente encontrada nas versões Enterprise, IOT e Windows Server

    • Crie uma nova conta em Gerenciamento do computador e defina-a como administrador, se desejar. Em seguida, copie o conteúdo da pasta de usuários anterior para a nova depois de entrar no novo usuário pela primeira vez para contornar isso antes de executar o script.

  • Entrar usando uma conta da Microsoft está desabilitado por DoD STIG.

    • Ao tentar ser seguro e privado, não é recomendável entrar em sua conta local por meio de uma conta da Microsoft. Isso é imposto por este repositório.

    • Crie uma nova conta em Gerenciamento do computador e defina-a como administrador, se desejar. Em seguida, copie o conteúdo da pasta de usuários anterior para a nova depois de entrar no novo usuário pela primeira vez para contornar isso antes de executar o script.

  • Os PINs da conta estão desabilitados por DoD STIG

    • Os PINs são inseguros quando usados apenas no lugar de uma senha e podem ser facilmente ignorados em questão de horas ou até mesmo segundos ou minutos

    • Remova o pin da conta e/ou entre usando a senha após executar o script.

  • Os padrões do Bitlocker foram alterados e reforçados devido ao DoD STIG.

    • Devido à forma como o bitlocker é implementado, quando essas alterações ocorrerem e se você já tiver o bitlocker ativado, isso interromperá a implementação do bitlocker.

    • Desative o bitlocker, execute o script e reative o bitlocker para solucionar esse problema.

Requisitos:

Material de leitura recomendado:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Adições, mudanças notáveis e correções de bugs:

Este script adiciona, remove e altera as configurações do seu sistema. Revise o script antes de executá-lo.

  • Os navegadores terão extensões adicionais instaladas para auxiliar na privacidade e segurança.
    • Ver here para informações adicionais.
  • Devido aos STIGs do DoD implementados para navegadores, o gerenciamento de extensões e outras configurações corporativas são definidas. Para obter instruções sobre como ver essas opções, você precisará consultar as instruções do GPO abaixo.

Módulos Powershell:

  • Para auxiliar na automatização das atualizações do Windows, o PowerShell PSWindowsUpdate módulo será adicionado ao seu sistema.

Consertando conta, loja ou serviços do Xbox da Microsoft:

Isso ocorre porque bloqueamos o login em contas da Microsoft. A associação de telemetria e identidade da Microsoft é desaprovada. No entanto, se você ainda deseja usar esses serviços, consulte os seguintes tickets de emissão para a resolução:

Editando políticas na Política de Grupo Local após o fato:

Se você precisar modificar ou alterar uma configuração, eles provavelmente podem ser configurados via GPO:

  • Importe as definições de política ADMX deste repo em C:\windows\PolicyDefinitions no sistema que você está tentando modificar.

  • Abra gpedit.msc no sistema que você está tentando modificar.

Uma lista de scripts e ferramentas que esta coleção utiliza:

Primeira festa:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Terceiro:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRGs aplicados:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

Foram consideradas configurações adicionais de:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Como executar o script:

GUI - Instalação guiada:

Baixe a versão mais recente here escolha as opções desejadas e clique em executar. ### Instalação automatizada: use este one-liner para baixar automaticamente, descompactar todos os arquivos de suporte e executar a versão mais recente do script.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false