windows_hardening

このプロジェクトは、Windows 10のシンプルな硬化リストとして始まりました。しばらくして、Windowsの硬化を簡素化するためにHardeningKittyが作成されました。現在、HardeningKittyは、Microsoft、CIS Benchmarks、Dod Stig、BSI Sisyphus Win10のガイドラインをサポートしています。そしてもちろん、私自身の強化リスト。

これは、Windows 10を強化するためにプライベートおよびビジネス環境で使用できる強化チェックリストです。チェックリストはすべてのWindowsバージョンに使用できますが、Windows 10 Homeではグループポリシーエディターは統合されておらず、調整はレジストリで直接実行する必要があります。このためには、 HardeningKittyからのailmaryモードがあります。

設定は、セキュリティとプライバシーの推奨と見なされるべきであり、インフラストラクチャの運用に影響を与えるか、重要な機能の使いやすさに影響を与えるかどうかを慎重に確認する必要があります。ユーザビリティに対してセキュリティを比較検討することが重要です。

このプロジェクトは、Windows 10の単純な硬化チェックリストの作成から始まりました。焦点は、 HardeningKittyの開発を伴うさまざまな有名なフレームワーク /ベンチマークの監査に移行しました。一方、さまざまなCISベンチマークとMicrosoftセキュリティベースラインがサポートされています。 Hailmaryモードの開発により、Windowsシステムに硬化チェックリストの設定を適用することもできます。

HardeningKittyは、Windowsシステムの硬化をサポートします。システムの構成が取得され、検索リストを使用して評価されます。さらに、定義された値に応じてシステムを強化できます。 HardeningKittyはレジストリから設定を読み取り、他のモジュールを使用してレジストリの外側の構成を読み取ります。

スクリプトは英語システム用に開発されました。他の言語では、分析が正しくない可能性があります。これが発生した場合は問題を作成してください。

HardeningKittyの開発は、このリポジトリで発生します。 SCIP AGのリポジトリには、 SCIP AGのコード署名証明書に署名されたHardeningKittyの安定したバージョンがあります。これは、 HardeningKittyを署名されたスクリプトのみを許可するシステムでも実行できることを意味します。

マシンの設定にアクセスするには、管理権を使用してスクリプトを実行します。ユーザー設定の場合は、通常のユーザーアカウントを使用して実行することをお勧めします。理想的には、ユーザーアカウントは毎日の作業に使用されます。

hardeningkittyをダウンロードして、ターゲットシステム（スクリプトとリスト）にコピーします。その後、HardeningKittyをインポートして実行できます。

PS C:tmp > Import-Module .HardeningKitty.psm1
PS C:tmp > Invoke-HardeningKitty - EmojiSupport


         = ^ ._ .^ =
        _ (      ) /  HardeningKitty 0.9 . 0 - 1662273740


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting HardeningKitty


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Getting user information
[ * ] Hostname: DESKTOP - DG83TOD
[ * ] Domain: WORKGROUP

...

[ * ] [ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category Account Policies
[?] ID 1103 , Store passwords using reversible encryption , Result = 0 , Severity = Passed
[?] ID 1100 , Account lockout threshold , Result = 10 , Severity = Passed
[?] ID 1101 , Account lockout duration , Result = 30 , Severity = Passed

...

[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category User Rights Assignment
[?] ID 1200 , Access this computer from the network , Result = BUILTINAdministrators;BUILTINUsers , Recommended = BUILTINAdministrators , Severity = Medium

...

[ * ] 9 / 4 / 2022 8 : 54 : 14 AM - Starting Category Administrative Templates: Printer
[?] ID 1764 , Point and Print Restrictions: When installing drivers for a new connection (CVE - 2021 - 34527 ) , Result = 1 , Recommended = 0 , Severity = High
[?] ID 1765 , Point and Print Restrictions: When updating drivers for an existing connection (CVE - 2021 - 34527 ) , Result = 2 , Recommended = 0 , Severity = High

...

[ * ] 9 / 4 / 2022 8 : 54 : 19 AM - Starting Category MS Security Guide
[?] ID 2200 , LSA Protection , Result = , Recommended = 1 , Severity = Medium
[?] ID 2201 , Lsass.exe audit mode , Result = , Recommended = 8 , Severity = Low

...

[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - HardeningKitty is done
[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - Your HardeningKitty score is: 4.82 . HardeningKitty Statistics: Total checks: 325 - Passed: 213 , Low: 33 , Medium: 76 , High: 3 .

最初にディレクトリを作成し、すべてのバージョンについて、 PSModulePath環境変数にリストされているパスに0.9.3のようなサブディレクトリを作成します。

モジュールhardeningkitty.psm1 、 hardeningkitty.psd1 、およびリストディレクトリをこの新しいディレクトリにコピーします。

PS C:tmp > $Version = " 0.9.3 "
PS C:tmp > New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
PS C:tmp > Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse

詳細については、PowerShellモジュールをインストールするMicrosoftの記事を参照してください。

以下のスクリプトを使用して、 HardeningKittyの最新リリースをダウンロードしてインストールできます。

 Function InstallHardeningKitty () {
    $Version = ((( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).Name).SubString( 2 )
    $HardeningKittyLatestVersionDownloadLink = (( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).zipball_url
    $ProgressPreference = ' SilentlyContinue '
    Invoke-WebRequest $HardeningKittyLatestVersionDownloadLink - Out HardeningKitty $Version .zip
    Expand-Archive - Path " .HardeningKitty $Version .zip " - Destination " .HardeningKitty $Version " - Force
    $Folder = Get-ChildItem .HardeningKitty $Version | Select-Object Name - ExpandProperty Name
    Move-Item " .HardeningKitty $Version  $Folder * " " .HardeningKitty $Version  "
    Remove-Item " .HardeningKitty $Version  $Folder  "
    New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
    Set-Location .HardeningKitty $Version
    Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse
    Import-Module " $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version HardeningKitty.psm1 "
}
InstallHardeningKitty

デフォルトモードは監査です。 HardeningKittyは監査を実行し、結果をCSVファイルに保存し、ログファイルを作成します。ファイルは自動的に名前が付けられ、タイムスタンプが受信されます。パラメーターReportFileまたはLogFileを使用して、独自の名前とパスを割り当てることもできます。

フィルターパラメーターを使用して、硬化リストをフィルタリングできます。この目的のために、 { $_.ID -eq 4505 }など、PowerShell Scriptblock構文を使用する必要があります。次の要素は、フィルタリングに役立ちます：ID、カテゴリ、名前、方法、および重大度。

 Invoke-HardeningKitty - Mode Audit - Log - Report

hardeningkittyは、パラメーターfilefindinglistで定義された特定のリストで実行できます。 HardeningKittyが同じシステムで数回実行される場合、マシン情報を非表示にすると便利かもしれません。この目的のために、パラメーターSkipMachineInformationが使用されます。

 Invoke-HardeningKitty - FileFindingList .listsfinding_list_0x6d69636b_user.csv - SkipMachineInformation

HardeningKittyはデフォルトリストを使用し、重大度媒体でのみテストをチェックします。

 Invoke-HardeningKitty - Filter { $_ .Severity -eq " Medium " }

モード構成は、システムのすべての現在の設定をリトリックします。設定が構成されていない場合、hardeningkittyは、結果リストに保存されているデフォルト値を使用します。このモードは、バックアップを作成するなど、他の関数と組み合わせることができます。

HardeningKittyは現在の設定を取得し、レポートに保存します。

 Invoke-HardeningKitty - Mode Config - Report - ReportFile C:tmpmy_hardeningkitty_report.csv

バックアップは重要です。本当に重要です。したがって、HardeningKittyには、現在の構成を取得し、部分的に復元できる形式に保存する機能もあります。

免責事項： HardeningKittyは、元の構成を復元しようとします。これはレジストリキーで非常にうまく機能し、硬化キティは本当にそのベストを試しています。しかし、バックアップ関数はスナップショットではなく、実際のシステムバックアップを置き換えません。 Hailmaryの後にHardeningKittyだけでシステム1：1を復元することはできません。これが要件である場合は、画像またはシステムのバックアップを作成して復元します。

バックアップスイッチは、ファイルが発見リストの形式で記述されているため、 aillmaryモードに使用できることを指定します。バックアップの名前とパスは、パラメーターバックアップファイルで指定できます。

 Invoke-HardeningKitty - Mode Config - Backup

この関数をテストして、深刻な変更を加える前に、ターゲットシステムで実際に適切に機能するかどうかを確認してください。 Schrödingerのバックアップは危険です。

-filefindinglistが指定されていない場合、バックアップはデフォルトの結果リストに参照されることに注意してください。 Hailmaryモードで特定のリストを展開する前に、常にその特定のリストに言及されたバックアップを作成してください。

 Invoke-HardeningKitty - Mode Config - Backup - BackupFile " .myBackup.csv " - FileFindingList " .list{list}.csv " 

バックアップスイッチは、発見リストの形式でファイルを作成し、バックアップロードを任意の検索リストと同様にhailmaryモードで復元します。

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList " .myBackup.csv " 

大hy式方法は非常に強力です。システムに発見リストを展開するために使用できます。すべての調査結果は、リストで推奨されているように、このシステムに設定されています。権力とともに責任があります。あなたが何をしているのかを知っている場合にのみ、このモードを使用してください。システムのバックアップを必ず用意してください。

今のところ、フィルター関数は監査モードと構成モードでのみサポートされています。 Hailmaryモードは繊細な問題であるため、独自のファイルを作成し、フィルタリングするすべての行を削除します。

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList .listsfinding_list_0x6d69636b_machine.csv

Hailmaryが実行される前に、発見リストを選択する必要があります。設定がシステムの安定性と機能に影響を与えるかどうかを確認することが重要です。 Hailmaryを実行する前に、バックアップを作成する必要があります。

@gderybelのおかげで、Hardeningkittyは調査結果リストをグループポリシーに変換できます。基本的な要件として、グループポリシー管理PowerShellモジュールをインストールする必要があります。現時点では、レジストリの設定のみを変換でき、すべてがまだテストされているわけではありません。オブジェクトに割り当てられない限り、新しいポリシーが作成されます。システムに変更は行われません。注意して使用してください。

 Invoke-HardeningKitty - Mode GPO - FileFindingList .listsfinding_list_0x6d69636b_machine.csv - GPOName HardeningKitty - Machine - 01

パスされた各発見は4ポイントを与え、低い発見は2ポイントを与え、中程度の発見は1ポイントを与え、高い結果は0ポイントを与えます。

HardeningKittyスコアの式は（ポイントの達成 /最大ポイント） * 5 + 1です。

@ataumoは、hardeningkitty用のWebベースのインターフェイスを構築します。このツールは、独自のリストを作成するために使用でき、硬化設定に関する追加情報を提供できます。ソースコードはAGPLライセンスの下にあり、デモサイトがあります。

HardeningKittyは、次のベースライン /ベンチマークに対してシステムを監査するために使用できます。

• CISベンチマーク
• セキュリティベースライン（最終）：Windows10およびWindows Server、バージョン2004
• Windows 10およびWindows Serverのセキュリティベースライン（最終）、バージョン20H2
• Windows 10のセキュリティベースライン（最終）、バージョン21H1
• Windows 10のセキュリティベースライン、バージョン21H2
• Windows Server 2022セキュリティベースライン
• Windows 11セキュリティベースライン
• Windows 11、バージョン22H2セキュリティベースライン
• Windows 11、バージョン23H2セキュリティベースライン
• Windows 11、バージョン24H2セキュリティベースライン
• Thunderbolt 3のカーネルDMA保護
• ビットロッカー対策
• SBP-2ドライバーとThunderboltコントローラーをブロックして、1394 DMAおよびThunderbolt DMAの脅威をBitLockerに減らします
• Windows Defender Credential Guardを管理します
• 攻撃の表面削減ルールで攻撃表面を削減します
• 追加のLSA保護の構成
• 動的データ交換（DDE）フィールドを含むMicrosoft Office文書を安全に開く
• DDEレジストリ設定
• sysmon
• swiftonsecurity/sysmon-config
• Dane Stuckey - @cryps1sのエンドポイント分離Windowsファイアウォール
• Microsoft Security Compliance Toolkit 1.0
• ポリシーアナライザー
• Office 365 ProPlusのセキュリティベースライン（V1908、2019年9月） - 最終
• Microsoft 365 Apps for Enterprise V2104 -Finalのセキュリティベースライン
• Microsoft 365エンタープライズV2106のアプリのセキュリティベースライン - 最終
• Microsoft 365 Apps for Enterpriseのセキュリティベースライン、V2112
• Microsoft 365 Apps for Enterprise V2206のセキュリティベースライン
• Microsoft 365 Apps for Enterprise V2306のセキュリティベースライン
• Microsoft 365 Apps for Enterprise V2312のセキュリティベースライン
• mackwage/windows_hardening.cmd
• Microsoft Edgeバージョン87のセキュリティベースライン
• Microsoft Edgeバージョン89のセキュリティベースライン
• Microsoft Edge V92のセキュリティベースライン
• Microsoft Edge V93のセキュリティベースライン
• Microsoft Edge V95のセキュリティベースライン
• Microsoft Edge V96のセキュリティベースライン
• Microsoft Edge V97のセキュリティベースライン
• Microsoft Edge V98のセキュリティベースライン
• Microsoft Edge V99のセキュリティベースライン
• Microsoft Edge V100のセキュリティベースライン
• Microsoft Edge V101のセキュリティベースライン
• Microsoft Edge V102のセキュリティベースライン
• Microsoft Edge V103のセキュリティベースライン
• Microsoft Edge V104のセキュリティベースライン
• Microsoft Edge V105のセキュリティベースライン
• Microsoft Edge V106のセキュリティベースライン
• Microsoft Edge V107のセキュリティベースライン
• Microsoft Edge V108のセキュリティベースライン
• Microsoft Edge V109のセキュリティベースライン
• Microsoft Edge V110のセキュリティベースライン
• Microsoft Edge V111のセキュリティベースライン
• Microsoft Edge V112のセキュリティベースライン
• Microsoft Edge V113のセキュリティベースライン
• Microsoft Edge V114のセキュリティベースライン
• Microsoft Edge V115のセキュリティベースライン
• Microsoft Edge V116のセキュリティベースライン
• Microsoft Edge V117のセキュリティベースライン
• Microsoft Edge V118のセキュリティベースライン
• Microsoft Edge V119のセキュリティベースライン
• Microsoft Edge V120のセキュリティベースライン
• Microsoft Edge V121のセキュリティベースライン
• Microsoft Edge V122のセキュリティベースライン
• Microsoft Edge V123のセキュリティベースライン
• Microsoft Edge V124のセキュリティベースライン
• Microsoft Edge V125のセキュリティベースライン
• Microsoft Edge V126のセキュリティベースライン
• Microsoft Edge V127のセキュリティベースライン
• Microsoft Edge V128のセキュリティベースライン
• Microsoft Edge V129のセキュリティベースライン
• Microsoft Edge V130のセキュリティベースライン
• Microsoft Edge-ポリシー
• Office 365テレメトリのヒント
• BSI：Microsoft Office Telemetry Analysis Report
• ポリシー設定を使用して、Microsoft 365アプリのエンタープライズのプライバシー制御を管理する
• Dod Cyber​​ Exchange Public-セキュリティ技術実装ガイド（STIG） - グループポリシーオブジェクト
• BSI Sisyphus Win10：Windows 10硬化ガイドライン
• SSLのためのMicrosoft WindowsまたはIISをセットアップPerfect Forward SecrecyとTLS 1.2
• NARTACソフトウェア-IIS Crypto
• .NETフレームワークを使用した輸送層のセキュリティ（TLS）ベストプラクティス
• Windows Server 2022のTLS暗号スイート
• 輸送層セキュリティ（TLS）レジストリ設定
• Windows Defender Antivirusは、サンドボックスで実行できるようになりました
• KB5005010：2021年7月6日の更新を適用した後、新しいプリンタードライバーのインストールを制限する
• ADMX.HELP-グループポリシー管理テンプレートカタログ
• SMBクライアントの防御を介してインターセプト攻撃からユーザーを守る方法
• Windows PowerShell 5.1からPowerShell 7に移動します
• ExcelのデータセキュリティとPython
• Windowsクライアント向けの非推奨機能