windows_hardening

該項目最初是Windows 10的簡單硬化列表。一段時間後，創建了HardeningKitty來簡化Windows的硬化。現在，HardeningKitty支持Microsoft，CIS基準，DoD Stig和BSI Sisyphus Win10的指南。當然還有我自己的硬化清單。

這是一個硬化清單，可在私人和商業環境中用於硬化Windows 10。清單可用於所有Windows版本，但是在Windows 10 Home中，組策略編輯器未集成，並且必須在註冊表中直接進行調整。為此，有來自HardeningKitty的冰雹模式。

設置應被視為安全性和隱私建議，應仔細檢查它們是否會影響基礎架構的操作或影響關鍵功能的可用性。權衡安全性與可用性很重要。

該項目始於為Windows 10創建一個簡單的硬化清單。隨著HardeningKitty的開發，重點已轉移到對各種知名框架 /基準測試的審核中。同時，支持各種CIS基準和Microsoft安全基線。隨著冰雹模式的開發，還可以在Windows系統上應用任何硬化清單的設置。

HardeningKitty支持Windows系統的硬化。使用查找列表檢索和評估系統的配置。另外，可以根據預定義值硬化系統。 HardeningKitty讀取註冊表的設置，並使用其他模塊來讀取註冊表之外的配置。

該腳本是為英語系統開發的。在其他語言中，分析可能是不正確的。如果發生這種情況，請創建一個問題。

HardeningKitty的發展發生在此存儲庫中。在SCIP AG的存儲庫中是HardeningKitty的穩定版本，已通過SCIP AG的代碼簽名證書簽名。這意味著HardeningKitty也可以在僅允許簽名腳本的系統上運行。

運行具有管理特權以訪問機器設置的腳本。對於用戶設置，最好使用普通用戶帳戶執行它們。理想情況下，用戶帳戶用於日常工作。

下載HardeningKitty並將其複製到目標系統（腳本和列表）。然後可以進口和執行HardeningKitty：

PS C:tmp > Import-Module .HardeningKitty.psm1
PS C:tmp > Invoke-HardeningKitty - EmojiSupport


         = ^ ._ .^ =
        _ (      ) /  HardeningKitty 0.9 . 0 - 1662273740


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting HardeningKitty


[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Getting user information
[ * ] Hostname: DESKTOP - DG83TOD
[ * ] Domain: WORKGROUP

...

[ * ] [ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category Account Policies
[?] ID 1103 , Store passwords using reversible encryption , Result = 0 , Severity = Passed
[?] ID 1100 , Account lockout threshold , Result = 10 , Severity = Passed
[?] ID 1101 , Account lockout duration , Result = 30 , Severity = Passed

...

[ * ] 9 / 4 / 2022 8 : 54 : 12 AM - Starting Category User Rights Assignment
[?] ID 1200 , Access this computer from the network , Result = BUILTINAdministrators;BUILTINUsers , Recommended = BUILTINAdministrators , Severity = Medium

...

[ * ] 9 / 4 / 2022 8 : 54 : 14 AM - Starting Category Administrative Templates: Printer
[?] ID 1764 , Point and Print Restrictions: When installing drivers for a new connection (CVE - 2021 - 34527 ) , Result = 1 , Recommended = 0 , Severity = High
[?] ID 1765 , Point and Print Restrictions: When updating drivers for an existing connection (CVE - 2021 - 34527 ) , Result = 2 , Recommended = 0 , Severity = High

...

[ * ] 9 / 4 / 2022 8 : 54 : 19 AM - Starting Category MS Security Guide
[?] ID 2200 , LSA Protection , Result = , Recommended = 1 , Severity = Medium
[?] ID 2201 , Lsass.exe audit mode , Result = , Recommended = 8 , Severity = Low

...

[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - HardeningKitty is done
[ * ] 9 / 4 / 2022 8 : 54 : 25 AM - Your HardeningKitty score is: 4.82 . HardeningKitty Statistics: Total checks: 325 - Passed: 213 , Low: 33 , Medium: 76 , High: 3 .

首先創建Directory HardeningKitty ，對於每個版本，在PSModulePath環境變量中列出的路徑中的子目錄中的一個子目錄。

將模塊hardeningkitty.psm1 ， hardeningkitty.psd1和列表目錄複製到此新目錄。

PS C:tmp > $Version = " 0.9.3 "
PS C:tmp > New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
PS C:tmp > Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse

有關更多信息，請參見Microsoft的文章安裝PowerShell模塊。

您可以使用下面的腳本下載並安裝HardeningKitty的最新版本。

 Function InstallHardeningKitty () {
    $Version = ((( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).Name).SubString( 2 )
    $HardeningKittyLatestVersionDownloadLink = (( Invoke-WebRequest " https://api.github.com/repos/0x6d69636b/windows_hardening/releases/latest " - UseBasicParsing) | ConvertFrom-Json ).zipball_url
    $ProgressPreference = ' SilentlyContinue '
    Invoke-WebRequest $HardeningKittyLatestVersionDownloadLink - Out HardeningKitty $Version .zip
    Expand-Archive - Path " .HardeningKitty $Version .zip " - Destination " .HardeningKitty $Version " - Force
    $Folder = Get-ChildItem .HardeningKitty $Version | Select-Object Name - ExpandProperty Name
    Move-Item " .HardeningKitty $Version  $Folder * " " .HardeningKitty $Version  "
    Remove-Item " .HardeningKitty $Version  $Folder  "
    New-Item - Path $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version - ItemType Directory
    Set-Location .HardeningKitty $Version
    Copy-Item - Path .HardeningKitty.psd1 , .HardeningKitty.psm1 , .lists - Destination $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version  - Recurse
    Import-Module " $ Env: ProgramFiles WindowsPowerShellModulesHardeningKitty $Version HardeningKitty.psm1 "
}
InstallHardeningKitty

默認模式是審核。 HardeningKitty執行審核，將結果保存到CSV文件並創建日誌文件。文件自動命名並接收時間戳。使用參數ReportFile或LogFile ，也可以分配您自己的名稱和路徑。

濾波器參數可用於過濾硬化列表。為此，必須使用PowerShell ScriptBlock語法，例如{ $_.ID -eq 4505 } 。以下元素可用於過濾：ID，類別，名稱，方法和嚴重性。

 Invoke-HardeningKitty - Mode Audit - Log - Report

HardeningKitty可以使用由參數FileFindingList定義的特定列表執行。如果HardeningKitty在同一系統上運行多次，則隱藏機器信息可能很有用。參數Skipmachineformation用於此目的。

 Invoke-HardeningKitty - FileFindingList .listsfinding_list_0x6d69636b_user.csv - SkipMachineInformation

HardeningKitty使用默認列表，僅使用嚴重性介質檢查測試。

 Invoke-HardeningKitty - Filter { $_ .Severity -eq " Medium " }

模式配置重新檢索系統的所有當前設置。如果尚未配置設置，則HardeningKitty將使用查找列表中存儲的默認值。該模式可以與其他功能結合使用，例如創建備份。

HardeningKitty獲取當前設置並將其存儲在報告中：

 Invoke-HardeningKitty - Mode Config - Report - ReportFile C:tmpmy_hardeningkitty_report.csv

備份很重要。真的很重要。因此，HardeningKitty還具有檢索當前配置並以可以部分恢復的形式保存的功能。

免責聲明： HardeningKitty試圖恢復原始配置。這與註冊表鍵和硬化小貓非常有效。但是備份功能不是快照，也不能替換真實的系統備份。在冰雹之後，不可能單獨使用HardeningKitty恢復系統1：1。如果這是必需的，請創建圖像或系統備份並恢復它。

備份開關指定文件是以查找列表的形式編寫的，因此可以用於冰雹模式。備份的名稱和路徑可以使用參數備份文件指定。

 Invoke-HardeningKitty - Mode Config - Backup

請測試此功能，以查看其在進行任何嚴重更改之前是否真的在目標系統上正常工作。 Schrödinger的備份很危險。

請注意，如果未指定-FileFindingList ，則將備份轉介給默認查找列表。在以冰雹模式部署特定列表之前，請務必創建一個轉介到該特定列表的備份。

 Invoke-HardeningKitty - Mode Config - Backup - BackupFile " .myBackup.csv " - FileFindingList " .list{list}.csv " 

備份開關以查找列表的形式創建一個文件，以在任何查找列表中以冰雹模式恢復備份加載它：

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList " .myBackup.csv " 

冰雹方法非常強大。它可用於在系統上部署查找列表。所有發現均按照列表中的建議在此系統上設置。權力帶來責任。僅當您知道自己在做什麼時，請使用此模式。確保對系統進行備份。

目前，僅在審核和配置模式下支持過濾器功能。由於冰雹模式是一個微妙的問題，請創建自己的文件並刪除要過濾的所有線條。

 Invoke-HardeningKitty - Mode HailMary - Log - Report - FileFindingList .listsfinding_list_0x6d69636b_machine.csv

在冰雹運行之前，必須選擇一個發現清單。重要的是檢查設置是否對系統的穩定性和功能有影響。在運行冰雹之前，應進行備份。

多虧了@gderybel，HardeningKitty可以將查找列表轉換為組策略。作為基本要求，必須安裝組策略管理PowerShell模塊。目前，只有註冊表設置才能轉換，並且並非所有內容都已進行了測試。只要沒有將其分配給對象，就可以創建一個新的策略，就不會對系統進行更改。謹慎使用它。

 Invoke-HardeningKitty - Mode GPO - FileFindingList .listsfinding_list_0x6d69636b_machine.csv - GPOName HardeningKitty - Machine - 01

每個通過的發現給出了4分，一個低的發現給出了2分，一個介質發現給出1分，一個高發現給出0分。

HardeningKitty評分的公式為（達到點 /最大點） * 5 + 1 。

@Ataumo構建了一個基於Web的界面，用於HardeningKitty。該工具可用於創建自己的列表，並提供有關硬化設置的其他信息。源代碼在AGPL許可下，並且有一個演示站點。

HardeningKitty可用於針對以下基準 /基準測試系統審核系統：

• 順式基準
• 安全基線（最終）：Windows 10和Windows Server，版本2004
• Windows 10和Windows Server的安全基線（最終），版本20H2
• Windows 10，版本21H1的安全基線（最終）
• Windows 10，版本21H2的安全基線
• Windows Server 2022安全基線
• Windows 11安全基線
• Windows 11，版本22H2安全基線
• Windows 11，版本23H2安全基線
• Windows 11，版本24H2安全基線
• 內核DMA保護雷電3
• Bitlocker對策
• 阻止SBP-2驅動程序和雷電控制器，以減少1394 DMA和Thunderbolt DMA威脅Bitlocker
• 管理Windows Defender憑證守衛
• 減少攻擊表面的攻擊表面減少規則
• 配置其他LSA保護
• 安全打開包含動態數據交換（DDE）字段的Microsoft Office文檔
• DDE註冊表設置
• 系統
• Swiftonsecurity/sysmon-config
• Dane Stuckey- @ @cryps1s端點隔離與Windows防火牆
• Microsoft安全合規性工具包1.0
• 政策分析儀
• Office 365 Proplus的安全基線（V1908，2019年9月） - 決賽
• Microsoft 365應用程序的安全基線，用於Enterprise V2104-最終
• Microsoft 365應用程序的安全基線，用於Enterprise V2106-最終
• Microsoft 365應用程序的安全基線，v2112
• Microsoft 365應用程序的安全基線，用於企業V2206
• Microsoft 365應用程序的安全基線，用於企業V2306
• Microsoft 365應用程序的安全基線，用於企業V2312
• mackwage/windows_hardening.cmd
• Microsoft Edge版本87的安全基線
• Microsoft Edge版本89的安全基線
• Microsoft Edge V92的安全基線
• Microsoft Edge V93的安全基線
• Microsoft Edge V95的安全基線
• Microsoft Edge V96的安全基線
• Microsoft Edge V97的安全基線
• Microsoft Edge V98的安全基線
• Microsoft Edge V99的安全基線
• Microsoft Edge V100的安全基線
• Microsoft Edge V101的安全基線
• Microsoft Edge V102的安全基線
• Microsoft Edge V103的安全基線
• Microsoft Edge V104的安全基線
• Microsoft Edge V105的安全基線
• Microsoft Edge V106的安全基線
• Microsoft Edge V107的安全基線
• Microsoft Edge V108的安全基線
• Microsoft Edge V109的安全基線
• Microsoft Edge V110的安全基線
• Microsoft Edge V111的安全基線
• Microsoft Edge V112的安全基線
• Microsoft Edge V113的安全基線
• Microsoft Edge V114的安全基線
• Microsoft Edge V115的安全基線
• Microsoft Edge V116的安全基線
• Microsoft Edge V117的安全基線
• Microsoft Edge V118的安全基線
• Microsoft Edge V119的安全基線
• Microsoft Edge V120的安全基線
• Microsoft Edge V121的安全基線
• Microsoft Edge V122的安全基線
• Microsoft Edge V123的安全基線
• Microsoft Edge V124的安全基線
• Microsoft Edge V125的安全基線
• Microsoft Edge V126的安全基線
• Microsoft Edge V127的安全基線
• Microsoft Edge V128的安全基線
• Microsoft Edge V129的安全基線
• Microsoft Edge V130的安全基線
• Microsoft Edge-政策
• 辦公室365遙測提示
• BSI：Microsoft Office遙測分析報告
• 使用策略設置來管理Microsoft 365應用程序的隱私控件
• 國防部網絡交換公共 - 安全技術實施指南（stigs） - 小組策略對象
• BSI Sisyphus Win10：Windows 10硬化指南
• 設置Microsoft Windows或IIS for SSL Perfect Exprance Secrecy和TLS 1.2
• NARTAC軟件-IIS加密
• 使用.NET框架的運輸層安全性（TLS）最佳實踐
• Windows Server 2022中的TLS密碼套件
• 運輸層安全性（TLS）註冊表設置
• Windows Defender Antivirus現在可以在沙箱中運行
• KB5005010：應用於2021年7月6日更新後，限制了新的打印機驅動程序的安裝
• ADMX.HELP-組策略管理模板目錄
• 如何通過SMB客戶辯護來捍衛用戶免受攔截攻擊
• 從Windows Powershell 5.1遷移到PowerShell 7
• 數據安全和python在Excel中
• Windows客戶端的棄用功能