windows_hardening

O projeto começou como uma lista de endurecimento simples para o Windows 10. Depois de algum tempo, o HardeningKitty foi criado para simplificar o endurecimento do Windows. Agora, o HardeningKitty suporta diretrizes da Microsoft, CIS Benchmarks, DOD Stig e BSI Sisyphus Win10. E, claro, minha própria lista de endurecimento.

Esta é uma lista de verificação de endurecimento que pode ser usada em ambientes privados e de negócios para endurecer o Windows 10. A lista de verificação pode ser usada para todas as versões do Windows, mas no Windows 10 Home o editor de políticas de grupo não está integrado e o ajuste deve ser feito diretamente no registro. Para isso, existe o modo Hailmary de Hardeningkitty .

As configurações devem ser vistas como recomendação de segurança e privacidade e devem ser cuidadosamente verificadas se afetarão a operação de sua infraestrutura ou afetarão a usabilidade das principais funções. É importante pesar a segurança contra a usabilidade.

O projeto começou com a criação de uma lista de verificação de endurecimento simples para o Windows 10. O foco mudou para a auditoria de várias estruturas / benchmarks bem conhecidos com o desenvolvimento do Hardeningkitty . Enquanto isso, vários benchmarks cis e linhas de base da Microsoft Security são suportadas. Com o desenvolvimento do modo Hailmary , também será possível aplicar configurações de qualquer lista de verificação de endurecimento em um sistema Windows.

HardeningKitty suporta o endurecimento de um sistema Windows. A configuração do sistema é recuperada e avaliada usando uma lista de descobertas. Além disso, o sistema pode ser endurecido de acordo com valores predefinidos. HardeningKitty lê configurações do registro e usa outros módulos para ler configurações fora do registro.

O script foi desenvolvido para sistemas ingleses. É possível que em outros idiomas a análise esteja incorreta. Crie um problema se isso ocorrer.

O desenvolvimento de Hardeningkitty acontece neste repositório. No repositório da Scip AG, há uma versão estável do HardeningKitty que foi assinada com o certificado de assinatura de código da Scip AG . Isso significa que o HardeningKitty também pode ser executado em sistemas que permitem apenas scripts assinados.

Execute o script com privilégios administrativos para acessar as configurações da máquina. Para as configurações do usuário, é melhor executá -las com uma conta de usuário normal. Idealmente, a conta de usuário é usada para o trabalho diário.

Faça o download do HardeningKitty e copie -o para o sistema de destino (script e listas). Em seguida, HardeningKitty pode ser importado e executado:

PS C:tmp > Import-Module .HardeningKitty.psm1
PS C:tmp > Invoke-HardeningKitty - EmojiSupport


         = ^ ._ .^ =
        _ (      ) /  HardeningKitty 0.9 . 0 - 1662273740


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting HardeningKitty


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Getting user information
[ * ] Hostname: DESKTOP - DG83TOD
[ * ] Domain: WORKGROUP

...

[ * ] [ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category Account Policies
[?] ID 1103 , Store passwords using reversible encryption , Result = 0 , Severity = Passed
[?] ID 1100 , Account lockout threshold , Result = 10 , Severity = Passed
[?] ID 1101 , Account lockout duration , Result = 30 , Severity = Passed

...

[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category User Rights Assignment
[?] ID 1200 , Access this computer from the network , Result = BUILTINAdministrators;BUILTINUsers , Recommended = BUILTINAdministrators , Severity = Medium

...

[ * ] 9 / 4 / 2022 8 : 54 : 14 AM - Starting Category Administrative Templates: Printer
[?] ID 1764 , Point and Print Restrictions: When installing drivers for a new connection (CVE - 2021 - 34527 ) , Result = 1 , Recommended = 0 , Severity = High
[?] ID 1765 , Point and Print Restrictions: When updating drivers for an existing connection (CVE - 2021 - 34527 ) , Result = 2 , Recommended = 0 , Severity = High

...

[ * ] 9 / 4 / 2022 8 : 54 : 19 AM - Starting Category MS Security Guide
[?] ID 2200 , LSA Protection , Result = , Recommended = 1 , Severity = Medium
[?] ID 2201 , Lsass.exe audit mode , Result = , Recommended = 8 , Severity = Low

...

[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - HardeningKitty is done
[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - Your HardeningKitty score is: 4.82 . HardeningKitty Statistics: Total checks: 325 - Passed: 213 , Low: 33 , Medium: 76 , High: 3 .

Primeiro, crie o diretório HardeningKitty e, para cada versão, um sub -diretório como 0.9.3 em um caminho listado na variável de ambiente PSMODULEPATH .

Copie o módulo endureningkitty.psm1 , hardeningkitty.psd1 e o diretório da lista para este novo diretório.

PS C:tmp > $Version = " 0.9.3 "
PS C:tmp > New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
PS C:tmp > Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse

Para obter mais informações, consulte o artigo da Microsoft instalando um módulo PowerShell.

Você pode usar o script abaixo para baixar e instalar o lançamento mais recente do HardeningKitty .

 Function InstallHardeningKitty () {
    $Version = ((( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).Name).SubString( 2 )
    $HardeningKittyLatestVersionDownloadLink = (( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).zipball_url
    $ProgressPreference = ' SilentlyContinue '
    Invoke-WebRequest $HardeningKittyLatestVersionDownloadLink - Out HardeningKitty $Version .zip
    Expand-Archive - Path " .HardeningKitty $Version .zip " - Destination " .HardeningKitty $Version " - Force
    $Folder = Get-ChildItem .HardeningKitty $Version | Select-Object Name - ExpandProperty Name
    Move-Item " .HardeningKitty $Version  $Folder * " " .HardeningKitty $Version  "
    Remove-Item " .HardeningKitty $Version  $Folder  "
    New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
    Set-Location .HardeningKitty $Version
    Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse
    Import-Module " $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version HardeningKitty.psm1 "
}
InstallHardeningKitty

O modo padrão é auditoria . HardeningKitty executa uma auditoria, salva os resultados em um arquivo CSV e cria um arquivo de log. Os arquivos são nomeados automaticamente e recebem um registro de data e hora. Usando os parâmetros ReportFile ou LogFile , também é possível atribuir seu próprio nome e caminho.

O parâmetro do filtro pode ser usado para filtrar a lista de endurecimento. Para esse fim, a sintaxe PowerShell ScriptBlock deve ser usada, por exemplo, { $_.ID -eq 4505 } . Os seguintes elementos são úteis para filtragem: ID, categoria, nome, método e gravidade.

 Invoke-HardeningKitty - Mode Audit - Log - Report

HardeningKitty pode ser executado com uma lista específica definida pelo parâmetro FileFindingList . Se o HardeningKitty for executado várias vezes no mesmo sistema, pode ser útil ocultar as informações da máquina. A parâmetro skipmachineInformation é usada para esse fim.

 Invoke-HardeningKitty - FileFindingList .listsfinding_list_0x6d69636b_user.csv - SkipMachineInformation

HardeningKitty usa a lista padrão e verifica apenas testes com o meio de gravidade.

 Invoke-HardeningKitty - Filter { $_ .Severity -eq " Medium " }

A configuração do modo recupera todas as configurações atuais de um sistema. Se uma configuração não tiver sido configurada, o HardeningKitty usará um valor padrão armazenado na lista de descobertas. Esse modo pode ser combinado com outras funções, por exemplo, para criar um backup.

Hardeningkitty obtém as configurações atuais e as armazena em um relatório:

 Invoke-HardeningKitty - Mode Config - Report - ReportFile C:tmpmy_hardeningkitty_report.csv

Os backups são importantes. Realmente importante. Portanto, HardeningKitty também tem uma função para recuperar a configuração atual e salvá -la em um formulário que pode ser parcialmente restaurado.

Isenção de responsabilidade: HardeningKitty tenta restaurar a configuração original. Isso funciona muito bem com as chaves do registro e o endurecimento de Kitty realmente tenta o melhor. Mas a função de backup não é um instantâneo e não substitui um backup do sistema real. Não é possível restaurar o sistema 1: 1 com Hardeningkitty sozinho após o Hailmary. Se isso for um requisito, crie um backup de imagem ou sistema e restaure -o.

O interruptor de backup especifica que o arquivo é gravado na forma de uma lista de descobertas e, portanto, pode ser usado para o modo Hailmary . O nome e o caminho do backup podem ser especificados com o parâmetro backupfile .

 Invoke-HardeningKitty - Mode Config - Backup

Teste esta função para ver se ela realmente funciona corretamente no sistema de destino antes de fazer alterações sérias. O backup de um Schrödinger é perigoso.

Observe que, se -FileFindingList não for especificado, o backup será referido na lista de descobertas padrão. Antes de implantar uma lista específica no modo Hailmary , sempre crie um backup referido a essa lista específica .

 Invoke-HardeningKitty - Mode Config - Backup - BackupFile " .myBackup.csv " - FileFindingList " .list{list}.csv " 

O interruptor de backup cria um arquivo na forma de uma lista de descobertas, para restaurar a carga de backup no modo Hailmary , como qualquer lista de localização:

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList " .myBackup.csv " 

O método Hailmary é muito poderoso. Ele pode ser usado para implantar uma lista de localização em um sistema. Todas as descobertas são definidas neste sistema, conforme recomendado na lista. Com o poder vem a responsabilidade. Por favor, use este modo apenas se você souber o que está fazendo. Certifique -se de ter um backup do sistema.

Por enquanto, a função de filtro é suportada apenas no modo de auditoria e configuração. Como o modo Hailmary é uma questão delicada, crie seu próprio arquivo e remova todas as linhas que você deseja filtrar.

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList .listsfinding_list_0x6d69636b_machine.csv

Antes que o Hailmary seja executado, uma lista de descobertas deve ser escolhida. É importante verificar se as configurações influenciam a estabilidade e a funcionalidade do sistema. Antes de executar o Hailmary, um backup deve ser feito.

Graças a @Gderybel, o HardeningKitty pode converter uma lista de descobertas em uma política de grupo. Como requisito básico, o módulo PowerShell de gerenciamento de políticas de grupo deve ser instalado. No momento, apenas as configurações do registro podem ser convertidas e nem tudo foi testado ainda. Uma nova política é criada, desde que não seja atribuída a um objeto, nenhuma alteração é feita no sistema. Use -o com cuidado.

 Invoke-HardeningKitty - Mode GPO - FileFindingList .listsfinding_list_0x6d69636b_machine.csv - GPOName HardeningKitty - Machine - 01

Cada descoberta passada dá 4 pontos, uma descoberta baixa dá 2 pontos, uma descoberta média dá 1 ponto e uma descoberta alta dá 0 pontos.

A fórmula para a pontuação do HardeningKitty é (pontos alcançados / pontos máximos) * 5 + 1 .

@ataumo Construa uma interface baseada na Web para HardeningKitty. A ferramenta pode ser usada para criar suas próprias listas e fornece informações adicionais sobre as configurações de endurecimento. O código -fonte está sob licença AGPL e há um site de demonstração.

HardeningKitty pode ser usado para auditar sistemas em relação às seguintes linhas de base / benchmarks:

• Benchmarks cis
• Linha de segurança de segurança (final): Windows 10 e Windows Server, versão 2004
• Linha de segurança (final) para Windows 10 e Windows Server, versão 20H2
• Linha de base de segurança (final) para Windows 10, versão 21H1
• Linha de segurança para o Windows 10, versão 21h2
• Windows Server 2022 Security Baseline
• Linha de base de segurança do Windows 11
• Windows 11, versão 22H2 Security Baseline
• Windows 11, versão 23h2 Security Baseline
• Windows 11, versão 24H2 Secução de linha de segurança
• Proteção DMA do Kernel para Thunderbolt 3
• Contramedidas de bitlocker
• Bloqueando os controladores de driver SBP-2 e Thunderbolt para reduzir as ameaças de 1394 DMA e Thunderbolt DMA para Bitlocker
• Gerencie o Windows Defender Credencial Guard
• Reduza as superfícies de ataque com regras de redução de superfície de ataque
• Configurando proteção de LSA adicional
• Abrindo com segurança documentos do Microsoft Office que contêm campos dinâmicos de troca de dados (DDE)
• Configurações de registro DDE
• Sysmon
• Swiftonsecurity/Sysmon-Config
• Dane Stuckey - @Cryps1s Endpoint Isolation com o Windows Firewall
• Microsoft Security Compliance Toolkit 1.0
• Analisador de políticas
• Linha de segurança do Office 365 Proplus (v1908, setembro de 2019) - Final
• Secução de linha de segurança para aplicativos Microsoft 365 para Enterprise V2104 - Final
• Linha de segurança de segurança para aplicativos Microsoft 365 para Enterprise v2106 - final
• Linha de segurança para aplicativos Microsoft 365 para Enterprise, V2112
• Secução de linha de segurança para aplicativos Microsoft 365 para Enterprise V2206
• Secução de linha de segurança para aplicativos Microsoft 365 para Enterprise V2306
• Linha de segurança para aplicativos Microsoft 365 para Enterprise v2312
• mackwage/windows_hardening.cmd
• Linha de segurança para o Microsoft Edge versão 87
• Linha de segurança para o Microsoft Edge versão 89
• Linha de segurança para o Microsoft Edge v92
• Linha de segurança para Microsoft Edge v93
• Linha de segurança de segurança para Microsoft Edge v95
• Linha de segurança para o Microsoft Edge v96
• Linha de segurança para o Microsoft Edge v97
• Linha de segurança para o Microsoft Edge v98
• Linha de segurança para o Microsoft Edge v99
• Linha de segurança de segurança para o Microsoft Edge v100
• Linha de segurança para o Microsoft Edge v101
• Linha de segurança para o Microsoft Edge v102
• Linha de segurança para o Microsoft Edge v103
• Linha de segurança para o Microsoft Edge v104
• Linha de segurança para o Microsoft Edge v105
• Linha de segurança para o Microsoft Edge v106
• Linha de segurança para o Microsoft Edge v107
• Linha de segurança de segurança para Microsoft Edge v108
• Linha de segurança para o Microsoft Edge v109
• Linha de segurança para o Microsoft Edge v110
• Linha de segurança para o Microsoft Edge v111
• Linha de segurança de segurança para Microsoft Edge v112
• Linha de segurança de segurança para Microsoft Edge v113
• Linha de segurança para o Microsoft Edge v114
• Linha de segurança para o Microsoft Edge v115
• Linha de segurança para o Microsoft Edge v116
• Linha de segurança para Microsoft Edge v117
• Linha de segurança para Microsoft Edge v118
• Linha de segurança para o Microsoft Edge v119
• Linha de segurança de segurança para Microsoft Edge v120
• Linha de segurança para o Microsoft Edge v121
• Linha de segurança para o Microsoft Edge v122
• Linha de segurança para o Microsoft Edge v123
• Linha de segurança para o Microsoft Edge v124
• Linha de segurança para o Microsoft Edge v125
• Linha de segurança para o Microsoft Edge v126
• Linha de segurança para o Microsoft Edge v127
• Linha de segurança para Microsoft Edge v128
• Linha de segurança para o Microsoft Edge v129
• Linha de segurança para o Microsoft Edge v130
• Microsoft Edge - Políticas
• Uma dica para o Office 365 Telemetria
• BSI: Relatório de análise de telemetria do Microsoft Office
• Use configurações de política para gerenciar controles de privacidade para aplicativos Microsoft 365 para Enterprise
• DOD Cyber ​​Exchange Public - Guias de Implementação Técnica de Segurança (STIGs) - Objetos de Política de Grupo
• BSI Sisyphus Win10: Diretriz de endurecimento do Windows 10
• Configure o Microsoft Windows ou IIS para SSL Perfect Forward Secrecy e TLS 1.2
• Software Nartac - IIS cripto
• As melhores práticas de segurança da camada de transporte (TLS) com a estrutura .NET
• TLS Cipher Suites no Windows Server 2022
• Configurações de registro de segurança da camada de transporte (TLS)
• O Antivírus do Defender do Windows agora pode ser executado em uma caixa de areia
• KB5005010: Restringindo a instalação de novos drivers de impressora após a aplicação das atualizações de 6 de julho de 2021
• ADMX.HELP - Catálogo administrativo de política de grupo
• Como defender os usuários dos ataques de interceptação via SMB Client Defense
• Migrando do Windows PowerShell 5.1 para PowerShell 7
• Segurança de dados e Python no Excel
• Recursos depreciados para o Windows Client