STIG スクリプトによる Windows Server STIG 準拠の自動化
**必要なファイルをすべて次の場所からダウンロードします。 GitHub Repository
注意: このスクリプトは、すべてではないにしても、ほとんどのシステムで問題なく動作するはずです。その間 @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue このスクリプトの動作が理解できない場合は、実行しないでください。スクリプトを実行する前に、スクリプトを確認してテストするのはあなたの責任です。
アンシブル:
このスクリプトのプレイブック コレクションを提供するようになりました。以下を参照してください。 - Github Repo - Ansible Galaxy
## 序章:
Windows 10 は、そのままでは安全ではないオペレーティング システムであり、安全性を確保するには多くの変更が必要です。 FISMA コンプライアンス。 のような組織 Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency オペレーティング システムをロックダウン、強化、保護し、政府のコンプライアンスを確保するために、構成変更を推奨および要求しています。これらの変更は、テレメトリ、マクロのブロック、ブロートウェアの削除、システムに対する多くの物理攻撃の防止など、幅広い緩和策をカバーしています。
スタンドアロン システムは、セキュリティを確保するのが最も困難で面倒なシステムの 1 つです。自動化されていない場合は、各 STIG/SRG を手動で変更する必要があります。一般的な展開では合計 1,000 件を超える構成変更があり、変更ごとに平均 5 分、つまり 3.5 日分の作業に相当します。このスクリプトは、そのプロセスを大幅に高速化することを目的としています。
## ノート:
- このスクリプトは エンタープライズ 環境で動作するように設計されており、すべての要件に対するハードウェア サポートがあることを前提としています。
- 個人向けシステムについては、こちらを参照してください。 GitHub Repository
- このスクリプトは、システムを 100% 準拠させるように設計されたものではなく、スクリプト化できる構成変更のすべてではないにしても、ほとんどを完了するための足がかりとして使用する必要があります。
- システム ドキュメントを除くと、このコレクションでは、適用されるすべての STIGS/SRG に対して最大約 95% の準拠が得られます。
## 要件:
- STIG ごとに Windows 10 Enterprise が必要です。
-[X]
Standards
安全性の高い Windows 10 デバイスの場合
-[X] System is
fully up to date
- を実行します Windows 10 Upgrade Assistant 最新のメジャー リリースを更新して確認します。
- このスクリプトを実装する前に、Bitlocker を一時停止するかオフにする必要があります。再起動後に再び有効にすることができます。
- このスクリプトのフォローアップ実行は、bitlocker を無効にせずに実行できます。
- ハードウェア要件 - Hardware Requirements for Memory Integrity - Hardware Requirements for Virtualization-Based Security - Hardware Requirements for Windows Defender Application Guard - Hardware Requirements for Windows Defender Credential Guard
推奨される書籍:
- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard
このコレクションが使用するスクリプトとツールのリスト:
- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0
追加の構成は以下から検討されました。
- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline
STIGS/SRG が適用されました:
- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Firewall V1R7
事後的にローカル グループ ポリシーでポリシーを編集する:
- ここから ADMX ポリシー定義をインポートします repo 変更しようとしているシステム上の C:\windows\PolicyDefinitions にコピーします。
- 開ける
gpedit.mscon on the system you’re trying to modify.
How to run the script:
Automated Install:
The script may be launched from the extracted GitHub download like this:
iex ((New-Object System.Net.WebClient).DownloadString('https://simeononsecurity.com/scripts/standalonewindows.ps1'))
Manual Install:
If manually downloaded, the script must be launched from the directory containing all the other files from the GitHub Repository
All of the parameters in the “secure-standalone.ps1” script are optional, with a default value of $true. This means that if no value is specified for a parameter when the script is run, it will be treated as if it were set to $true.
The script takes the following parameters, all of which are optional and default to $true if not specified:
- cleargpos: (Boolean) Clear GPOs not being used
- installupdates: (Boolean) Install updates and reboot if necessary
- adobe: (Boolean) STIG Adobe Reader
- firefox: (Boolean) STIG Firefox
- chrome: (Boolean) STIG Chrome
- IE11: (Boolean) STIG Internet Explorer 11
- edge: (Boolean) STIG Edge
- dotnet: (Boolean) STIG .NET Framework
- office: (Boolean) STIG Office
- onedrive: (Boolean) STIG OneDrive
- java: (Boolean) STIG Java
- windows: (Boolean) STIG Windows
- defender: (Boolean) STIG Windows Defender
- firewall: (Boolean) STIG Windows Firewall
- mitigations: (Boolean) STIG Mitigations
- nessusPID: (Boolean) Resolve Unquoted Strings in Path
- horizon: (Boolean) STIG VMware Horizon
- sosoptional: (Boolean) Optional STIG/Hardening items
An example of how to run the script with all default parameters would be:
.\secure-standalone.ps1
If you want to specify a different value for one or more of the parameters, you can include them in the command along with their desired value. For example, if you wanted to run the script and set the $firefox parameter to $false, the command would be:
.\secure-standalone.ps1 -firefox $false
You can also specify multiple parameters in the command like this:
.\secure-standalone.ps1 -firefox $false -chrome $false
この例では、Firefox と Chrome の両方のパラメーターが $false に設定されていることに注意してください。
