使用 Powershell 脚本自动化 Windows 10 STIG 合规性

**从下载所有需要的文件 GitHub Repository

**我们正在寻求以下帮助 .Net issue

＃＃ 介绍：

Windows 10 是开箱即用的不安全操作系统，需要进行许多更改才能确保 FISMA 遵守。 组织喜欢 Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency 建议并要求更改配置以锁定、强化和保护操作系统并确保政府合规。这些更改涵盖了广泛的缓解措施，包括阻止遥测、宏、删除过时软件以及防止对系统的许多物理攻击。

独立系统是最难保护的系统之一。如果不是自动化的，它们需要手动更改每个 STIG/SRG。在典型部署中总共进行了 1000 多次配置更改，每次更改平均需要 5 分钟，相当于 3.5 天的工作量。该脚本旨在显着加快该过程。

注意事项： #

• 此脚本专为在 Enterprise 环境中运行而设计，并假定您拥有满足所有要求的硬件支持。
  • 对于个人系统，请参阅此 GitHub Repository
• 此脚本并非旨在使系统 100% 合规，而是应将其用作完成大部分（如果不是全部）可以编写脚本的配置更改的垫脚石。
  • 减去系统文档，此集合应使您对所有应用的 STIGS/SRG 的合规性达到约 95%。

＃＃ 要求：

• 根据 STIG，Windows 10 Enterprise 是必需的。 -[x] Standards 适用于高度安全的 Windows 10 设备 -[x] System is fully up to date
  • 目前是 Windows 10 v1909 或 v2004。
  • 跑过 Windows 10 Upgrade Assistant 更新并验证最新的主要版本。
• 硬件要求 - Hardware Requirements for Memory Integrity - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard

推荐阅读材料： #

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

该集合使用的脚本和工具列表： #

- Microsoft Security Compliance Toolkit 1.0

- Cyber.mil - Group Policy Objects

- NSACyber - Bitlocker Guidance

额外的配置被认为来自： #

- NSACyber - Hardware-and-Firmware-Security-Guidance

- NSACyber - Application Whitelisting Using Microsoft AppLocker

STIGS/SRGs 应用： #

- Windows 10 V1R23

- Windows Defender Antivirus V1R9

- Windows Firewall V1R7

- Internet Explorer 11 V1R19

- Adobe Reader Pro DC Continous V1R2

- Microsoft Office 2019/Office 365 Pro Plus V1R2

- Microsoft Office 2016 V1R2

- Microsoft Office 2013 V1R5

- Google Chrome V1R19

- Firefox V4R29

- Microsoft .Net Framework 4 V1R9 - 工作正在进行中

- Oracle JRE 8 V1R5

如何运行脚本 #

脚本可以从提取的 GitHub 下载中启动，如下所示：

.\secure-standalone.ps1

我们将使用的脚本必须从包含所有其他文件的目录中启动 GitHub Repository