Table of Contents

介绍:

Windows 10 和 Windows 11 是开箱即用的侵入性和不安全的操作系统。 组织喜欢 PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency 已建议更改配置以锁定、强化和保护操作系统。这些更改涵盖了广泛的缓解措施,包括阻止遥测、宏、删除过时软件以及防止对系统的许多数字和物理攻击。该脚本旨在自动化这些组织推荐的配置。

注意、警告和注意事项:

警告:

该脚本应该适用于大多数(如果不是全部)系统而不会出现问题。尽管 @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • 此脚本设计用于主要在个人使用环境中运行。考虑到这一点,某些企业配置设置未实施。此脚本并非旨在使系统 100% 合规。相反,它应该被用作完成大部分(如果不是全部)配置更改的垫脚石,这些配置更改可以编写脚本,同时跳过品牌和横幅等问题,即使在强化的个人使用环境中也不应该实施这些问题。
  • 此脚本的设计方式使得优化与其他一些脚本不同,不会破坏核心 Windows 功能。
  • Windows Update、Windows Defender、Windows Store 和 Cortona 等功能受到限制,但不像大多数其他 Windows 10 隐私脚本那样处于功能失调状态。
  • 如果您寻求仅针对商业环境的最小化脚本,请参阅此 GitHub Repository

如果您不了解它的作用,请不要运行此脚本。您有责任在运行之前检查和测试脚本。

例如,如果您在不采取预防措施的情况下运行它,以下内容将会中断:

  • 使用名为“Administrator”的默认管理员帐户被禁用并根据 DoD STIG 重命名

    • 不适用于创建的默认帐户,但适用于使用企业、物联网和 Windows 服务器版本中常见的默认管理员帐户

    • 在“计算机管理”下创建一个新帐户,并根据需要将其设置为管理员。然后在第一次登录新用户后将先前用户文件夹的内容复制到新用户文件夹中,以在运行脚本之前解决此问题。

  • 根据 DoD STIG 禁用使用 Microsoft 帐户登录。

    • 尝试确保安全和私密时,不建议通过 Microsoft 帐户登录本地帐户。这是由这个 repo 强制执行的。

    • 在“计算机管理”下创建一个新帐户,并根据需要将其设置为管理员。然后在第一次登录新用户后将先前用户文件夹的内容复制到新用户文件夹中,以在运行脚本之前解决此问题。

  • 根据 DoD STIG 禁用帐户 PIN

    • 单独使用 PIN 代替密码时是不安全的,并且可以在几小时甚至几秒或几分钟内轻松绕过

    • 运行脚本后从帐户中删除 PIN 和/或使用密码登录。

  • 由于 DoD STIG,Bitlocker 默认值已更改和强化。

    • 由于 bitlocker 的实现方式,当发生此更改时,如果您已经启用了 bitlocker,它将破坏 bitlocker 的实现。

    • 禁用 bitlocker,运行脚本,然后重新启用 bitlocker 以解决此问题。

## 要求:

推荐阅读材料:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

添加、显着更改和错误修复:

此脚本在您的系统上添加、删除和更改设置。请在运行前检查脚本。

浏览器:

  • 浏览器将安装额外的扩展程序以帮助保护隐私和安全。
    • here 了解更多信息。
  • 由于为浏览器实施的 DoD STIG,设置了扩展管理和其他企业设置。有关如何查看这些选项的说明,您需要查看下面的 GPO 说明。

Powershell 模块:

  • 帮助自动化 Windows 更新 PowerShell PSWindowsUpdate 模块将添加到您的系统中。

修复 Microsoft 帐户、商店或 Xbox 服务:

这是因为我们阻止登录 Microsoft 帐户。微软的遥测和身份关联是不受欢迎的。 但是,如果您仍希望使用这些服务,请参阅以下问题单以解决问题:

###事后在本地组策略中编辑策略:

如果您需要修改或更改设置,它们很可能可以通过 GPO 进行配置:

  • 从此导入 ADMX 策略定义 repo 进入您要修改的系统上的 C:\windows\PolicyDefinitions

  • 在您尝试修改的系统上打开“gpedit.msc”。

该集合使用的脚本和工具列表:

第一方:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

### 第三者:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRGs 应用:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

额外的配置被认为来自:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

如何运行脚本:

GUI - 引导式安装:

下载最新版本 here 选择你想要的选项并点击执行。 ### 自动安装:使用这一行自动下载、解压缩所有支持文件,并运行最新版本的脚本。```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false