HardeningKitty

Ceci est la version stable de Hardeningkitty du projet Windows Hardening de Michael Schneider. La version stable de Hardeningkitty est signée avec le certificat de signature de code de Scip AG . Comme il s'agit de la version stable, nous n'acceptons pas les demandes de traction dans ce dépôt, veuillez les envoyer au dépôt de développement .

HardeningKitty prend en charge le durcissement d'un système Windows. La configuration du système est récupérée et évaluée à l'aide d'une liste de recherche. De plus, le système peut être durci en fonction des valeurs prédéfinies. HardeningKitty lit Paramètres du registre et utilise d'autres modules pour lire les configurations en dehors du registre.

Le script a été développé pour les systèmes anglais. Il est possible que dans d'autres langues, l'analyse soit incorrecte. Veuillez créer un problème si cela se produit.

Exécutez le script avec des privilèges administratifs pour accéder aux paramètres de la machine. Pour les paramètres de l'utilisateur, il est préférable de les exécuter avec un compte utilisateur normal. Idéalement, le compte d'utilisateur est utilisé pour le travail quotidien.

Téléchargez HardeningKitty et copiez-le dans le système cible (script et listes). Ensuite, HardeningKitty peut être importé et exécuté:

PS C:tmp > Import-Module .HardeningKitty.psm1
PS C:tmp > Invoke-HardeningKitty - EmojiSupport


         = ^ ._ .^ =
        _ (      ) /  HardeningKitty 0.9 . 0 - 1662273740


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting HardeningKitty


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Getting user information
[ * ] Hostname: DESKTOP - DG83TOD
[ * ] Domain: WORKGROUP

...

[ * ] [ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category Account Policies
[?] ID 1103 , Store passwords using reversible encryption , Result = 0 , Severity = Passed
[?] ID 1100 , Account lockout threshold , Result = 10 , Severity = Passed
[?] ID 1101 , Account lockout duration , Result = 30 , Severity = Passed

...

[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category User Rights Assignment
[?] ID 1200 , Access this computer from the network , Result = BUILTINAdministrators;BUILTINUsers , Recommended = BUILTINAdministrators , Severity = Medium

...

[ * ] 9 / 4 / 2022 8 : 54 : 14 AM - Starting Category Administrative Templates: Printer
[?] ID 1764 , Point and Print Restrictions: When installing drivers for a new connection (CVE - 2021 - 34527 ) , Result = 1 , Recommended = 0 , Severity = High
[?] ID 1765 , Point and Print Restrictions: When updating drivers for an existing connection (CVE - 2021 - 34527 ) , Result = 2 , Recommended = 0 , Severity = High

...

[ * ] 9 / 4 / 2022 8 : 54 : 19 AM - Starting Category MS Security Guide
[?] ID 2200 , LSA Protection , Result = , Recommended = 1 , Severity = Medium
[?] ID 2201 , Lsass.exe audit mode , Result = , Recommended = 8 , Severity = Low

...

[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - HardeningKitty is done
[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - Your HardeningKitty score is: 4.82 . HardeningKitty Statistics: Total checks: 325 - Passed: 213 , Low: 33 , Medium: 76 , High: 3 .

Créez d'abord le répertoire HardeningKitty et pour chaque version, un sous-répertoire comme 0.9.2 dans un chemin répertorié dans la variable d'environnement PSModulePath .

Copiez le module HardeningKitty.PSM1 , Hardeningkitty.PSD1 et le répertoire des listes de ce nouveau répertoire.

PS C:tmp > $Version = " 0.9.2 "
PS C:tmp > New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
PS C:tmp > Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse

Pour plus d'informations, voir l'article de Microsoft Installation d'un module PowerShell.

Vous pouvez utiliser le script ci-dessous pour télécharger et installer la dernière version de Hardeningkitty .

 Function InstallHardeningKitty () {
    $Version = ((( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).Name).SubString( 2 )
    $HardeningKittyLatestVersionDownloadLink = (( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).zipball_url
    $ProgressPreference = ' SilentlyContinue '
    Invoke-WebRequest $HardeningKittyLatestVersionDownloadLink - Out HardeningKitty $Version .zip
    Expand-Archive - Path " .HardeningKitty $Version .zip " - Destination " .HardeningKitty $Version " - Force
    $Folder = Get-ChildItem .HardeningKitty $Version | Select-Object Name - ExpandProperty Name
    Move-Item " .HardeningKitty $Version  $Folder * " " .HardeningKitty $Version  "
    Remove-Item " .HardeningKitty $Version  $Folder  "
    New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
    Set-Location .HardeningKitty $Version
    Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse
    Import-Module " $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version HardeningKitty.psm1 "
}
InstallHardeningKitty

Le mode par défaut est l'audit . HardeningKitty effectue un audit, enregistre les résultats dans un fichier CSV et crée un fichier journal. Les fichiers sont automatiquement nommés et reçoivent un horodatage. En utilisant les paramètres ReportFile ou LogFile , il est également possible d'attribuer votre propre nom et chemin.

Le paramètre du filtre peut être utilisé pour filtrer la liste de durcissement. À cette fin, la syntaxe PowerShell ScriptBlock doit être utilisée, par exemple { $_.ID -eq 4505 } . Les éléments suivants sont utiles pour le filtrage: ID, catégorie, nom, méthode et gravité.

 Invoke-HardeningKitty - Mode Audit - Log - Report

HardeningKitty peut être exécuté avec une liste spécifique définie par le paramètre FileFindingList . Si HardeningKitty est exécuté plusieurs fois sur le même système, il peut être utile de masquer les informations de la machine. Le paramètre SkipMachineInformation est utilisé à cet effet.

 Invoke-HardeningKitty - FileFindingList .listsfinding_list_0x6d69636b_user.csv - SkipMachineInformation

HardeningKitty utilise la liste par défaut et vérifie uniquement les tests avec le support de gravité.

 Invoke-HardeningKitty - Filter { $_ .Severity -eq " Medium " }

Le mode config réduit tous les paramètres actuels d'un système. Si un paramètre n'a pas été configuré, HardeningKitty utilisera une valeur par défaut stockée dans la liste de recherche. Ce mode peut être combiné avec d'autres fonctions, par exemple pour créer une sauvegarde.

HardeningKitty obtient les paramètres actuels et les stocke dans un rapport:

 Invoke-HardeningKitty - Mode Config - Report - ReportFile C:tmpmy_hardeningkitty_report.csv

Les sauvegardes sont importantes. Vraiment important. Par conséquent, HardeningKitty a également une fonction pour récupérer la configuration actuelle et l'enregistrer dans un formulaire qui peut être partiellement restauré.

Avertissement: HardeningKitty essaie de restaurer la configuration d'origine. Cela fonctionne assez bien avec les clés de registre et Hardening Kitty essaie vraiment de son mieux. Mais la fonction de sauvegarde n'est pas un instantané et ne remplace pas une sauvegarde du système réelle. Il n'est pas possible de restaurer le système 1: 1 avec Hardeningkitty seul après Hailmary. S'il s'agit d'une exigence, créez une sauvegarde d'image ou du système et restaurez-la.

Le commutateur de sauvegarde spécifie que le fichier est écrit sous forme de liste de recherche et peut donc être utilisé pour le mode Hailmary . Le nom et le chemin de la sauvegarde peuvent être spécifiés avec le paramètre Backupfile .

 Invoke-HardeningKitty - Mode Config - Backup

Veuillez tester cette fonction pour voir si elle fonctionne vraiment correctement sur le système cible avant d'apporter des modifications sérieuses. Le sauvegarde d'un Schrödinger est dangereux.

Notez que si -FileFindingList n'est pas spécifié, la sauvegarde est renvoyée à la liste de recherche par défaut. Avant de déployer une liste spécifique en mode Hailmary , créez toujours une sauvegarde référée à cette liste spécifique .

 Invoke-HardeningKitty - Mode Config - Backup - BackupFile " .myBackup.csv " - FileFindingList " .list{list}.csv " 

Le commutateur de sauvegarde crée un fichier sous forme d'une liste de recherche, pour restaurer le chargement de sauvegarde en mode Hailmary comme n'importe quelle liste de recherche:

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList " .myBackup.csv " 

La méthode Hailmary est très puissante. Il peut être utilisé pour déployer une liste de recherche sur un système. Toutes les résultats sont définis sur ce système comme recommandé dans la liste. Avec le pouvoir vient la responsabilité. Veuillez utiliser ce mode uniquement si vous savez ce que vous faites. Assurez-vous d'avoir une sauvegarde du système.

Pour l'instant, la fonction de filtre n'est prise en charge qu'en mode Audit et config. Comme le mode Hailmary est une question délicate, créez votre propre fichier et supprimez toutes les lignes que vous souhaitez filtrer.

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList .listsfinding_list_0x6d69636b_machine.csv

Avant que Hailmary ne soit exécutée, une liste de recherche doit être choisie. Il est important de vérifier si les paramètres ont une influence sur la stabilité et la fonctionnalité du système. Avant de courir Hailmary, une sauvegarde doit être effectuée.

Grâce à @gderybel, HardeningKitty peut convertir une liste de constatation en politique de groupe. En tant qu'obligation de base, le module de gestion de la politique de stratégie de groupe doit être installé. À l'heure actuelle, seuls les paramètres de registre peuvent être convertis et tout n'a pas encore été testé. Une nouvelle stratégie est créée, tant qu'elle n'est pas affectée à un objet, aucun changement n'est apporté au système. Utilisez-le avec soin.

 Invoke-HardeningKitty - Mode GPO - FileFindingList .listsfinding_list_0x6d69636b_machine.csv - GPOName HardeningKitty - Machine - 01 

Chaque découverte passée donne 4 points, une faible découverte donne 2 points, une découverte moyenne donne 1 point et une constatation élevée donne 0 points.

La formule pour le score Hardeningkitty est (points obtenus / points maximum) * 5 + 1 .

ATAMO créent une interface Web pour HardeningKitty. L'outil peut être utilisé pour créer vos propres listes et fournit des informations supplémentaires sur les paramètres de durcissement. Le code source est sous la licence AGPL et il existe un site de démonstration.

HardeningKitty peut être utilisé pour auditer des systèmes par rapport aux lignes de base / repères suivantes:

• Benchmarks CIS
• Sécurité Baseline (Final): Windows 10 et Windows Server, version 2004
• Sécurité Baseline (Final) pour Windows 10 et Windows Server, version 20h2
• Ligne de base de sécurité (finale) pour Windows 10, version 21h1
• Base de base pour Windows 10, version 21h2
• Base de base de Windows Server 2022
• Base de base de Windows 11
• Windows 11, version 22h2 de base de sécurité
• Windows 11, version 23H2 de base de sécurité
• Windows 11, version 24h2 de base de la sécurité
• Protection DMA du noyau pour Thunderbolt 3
• Bitlocker contre-mesures
• Bloquer le conducteur SBP-2 et les contrôleurs Thunderbolt pour réduire les menaces de 1394 DMA et Thunderbolt DMA à Bitlocker
• Gérer Windows Defender Indentiel Guard
• Réduire les surfaces d'attaque avec les règles de réduction de la surface d'attaque
• Configuration de la protection LSA supplémentaire
• Ouvrant en toute sécurité des documents Microsoft Office contenant des champs d'échange de données dynamiques (DDE)
• Paramètres du registre DDE
• Sysmon
• Swiftonsecurity / sysmon-config
• Dane Stuckey - @ CRYPS1S Isolement de point de terminaison avec le pare-feu Windows
• Microsoft Security Compliance Toolkit 1.0
• Analyseur de politique
• Base de base de la sécurité pour Office 365 Proplus (V1908, septembre 2019) - Final
• Base de base pour les applications Microsoft 365 pour Enterprise V2104 - Final
• Référence de sécurité pour les applications Microsoft 365 pour Enterprise V2106 - Final
• Base de base pour les applications Microsoft 365 pour l'entreprise, V2112
• BASELLE DE SÉCURITÉ POUR Microsoft 365 Applications pour Enterprise V2206
• Base de base pour les applications Microsoft 365 pour Enterprise V2306
• Base de base pour les applications Microsoft 365 pour Enterprise V2312
• mackwage / windows_hardeing.cmd
• Base de base pour Microsoft Edge Version 87
• Base de base pour Microsoft Edge Version 89
• Base de base pour Microsoft Edge V92
• Base de base pour Microsoft Edge V93
• Base de base pour Microsoft Edge V95
• Base de base pour Microsoft Edge V96
• Base de base pour Microsoft Edge V97
• Base de base pour Microsoft Edge V98
• Base de base pour Microsoft Edge V99
• Base de base pour Microsoft Edge V100
• Base de base pour Microsoft Edge V101
• Base de base pour Microsoft Edge V102
• Base de base pour Microsoft Edge V103
• Base de base pour Microsoft Edge V104
• Base de base pour Microsoft Edge V105
• Base de base pour Microsoft Edge V106
• Base de base pour Microsoft Edge V107
• Base de base pour Microsoft Edge V108
• Base de base pour Microsoft Edge V109
• Base de base pour Microsoft Edge V110
• Base de base pour Microsoft Edge V111
• Base de base pour Microsoft Edge V112
• Base de base pour Microsoft Edge V113
• Base de base pour Microsoft Edge V114
• Base de base pour Microsoft Edge V115
• Base de base pour Microsoft Edge V116
• Base de base pour Microsoft Edge V117
• Base de base pour Microsoft Edge V118
• Base de base pour Microsoft Edge V119
• Base de base pour Microsoft Edge V120
• Base de base pour Microsoft Edge V121
• Base de base pour Microsoft Edge V122
• Base de base pour Microsoft Edge V123
• Base de base pour Microsoft Edge V124
• Base de base pour Microsoft Edge V125
• Base de base pour Microsoft Edge V126
• Base de base pour Microsoft Edge V127
• Base de base pour Microsoft Edge V128
• Base de base pour Microsoft Edge V129
• Base de base pour Microsoft Edge V130
• Microsoft Edge - Politiques
• Un indice pour la télémétrie Office 365
• BSI: Rapport d'analyse de la télémétrie Microsoft Office
• Utilisez des paramètres de stratégie pour gérer les contrôles de confidentialité pour les applications Microsoft 365 pour l'entreprise
• DOD Cyber ​​Exchange public - Guides de mise en œuvre technique de sécurité (STIGS) - Objets de politique de groupe
• BSI Sisyphus Win10: Guide de durcissement de Windows 10
• Configurer Microsoft Windows ou IIS pour SSL Perfect Forward Secrecy et TLS 1.2
• Software Nartac - IIS crypto
• Les meilleures pratiques de sécurité de la couche de transport (TLS) avec le .NET Framework
• TLS Cipher Suites dans Windows Server 2022
• Paramètres de registre de la sécurité de la couche de transport (TLS)
• L'antivirus Windows Defender peut désormais fonctionner dans un bac à sable
• KB5005010: restreindre l'installation de nouveaux conducteurs d'imprimante après avoir appliqué les mises à jour du 6 juillet 2021
• admx.help - Catalogue de modèles administratifs de politique de groupe
• Comment défendre les utilisateurs contre les attaques d'interception via la défense du client SMB
• Migration de Windows PowerShell 5.1 à PowerShell 7
• Sécurité des données et Python dans Excel
• Fonctionnalités obsolètes pour le client Windows