Table of Contents

序章:

Windows 10 および Windows 11 は、そのままでは侵略的で安全ではないオペレーティング システムです。 のような組織 PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency オペレーティング システムをロックダウン、強化、セキュリティ保護するための構成変更を推奨しています。これらの変更は、テレメトリ、マクロのブロック、ブロートウェアの削除、システムに対する多くのデジタル攻撃や物理攻撃の防止など、幅広い緩和策をカバーしています。このスクリプトは、これらの組織が推奨する構成を自動化することを目的としています。

注、警告、および考慮事項:

警告:

このスクリプトは、すべてではないにしても、ほとんどのシステムで問題なく動作するはずです。その間 @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • このスクリプトは、主に 個人使用 環境での動作を目的として設計されています。これを念頭に置いて、特定のエンタープライズ構成設定は実装されていません。このスクリプトは、システムを 100% 準拠させるように設計されていません。むしろ、すべてではないにしても、ほとんどの構成変更を完了するための足がかりとして使用する必要があります。ブランディングやバナーなど、たとえ厳格な個人使用環境であっても実装すべきではない過去の問題をスキップしながら、スクリプトを作成することができます。
  • このスクリプトは、他のスクリプトとは異なり、最適化によって Windows のコア機能が損なわれないように設計されています。
  • Windows Update、Windows Defender、Windows ストア、Cortona などの機能は制限されていますが、他のほとんどの Windows 10 プライバシー スクリプトのような機能不全状態にはありません。
  • 商用環境のみを対象とした最小化されたスクリプトをお探しの場合は、これを参照してください。 GitHub Repository

このスクリプトの動作が理解できない場合は、実行しないでください。スクリプトを実行する前に、スクリプトを確認してテストするのはあなたの責任です。

たとえば、予防措置を講じずにこれを実行すると、次のような問題が発生します:

  • 「Administrator」という名前のデフォルトの管理者アカウントの使用は無効になり、国防総省 STIG に従って名前が変更されます

    • 作成されたデフォルトのアカウントには適用されませんが、Enterprise、IOT、および Windows Server バージョンでよく見られるデフォルトの管理者アカウントの使用には適用されます

    • 必要に応じて、[コンピュータの管理] で新しいアカウントを作成し、管理者として設定します。次に、スクリプトを実行する前に、新しいユーザーに初めてサインインした後、以前のユーザー フォルダーの内容を新しいフォルダーにコピーして、この問題を回避します。

  • Microsoft アカウントを使用したサインインは、国防総省 STIG に従って無効になっています。

    • 安全性とプライバシーを確保したい場合、Microsoft アカウント経由でローカル アカウントにサインインすることはお勧めできません。これはこのリポジトリによって強制されます。

    • 必要に応じて、[コンピュータの管理] で新しいアカウントを作成し、管理者として設定します。次に、スクリプトを実行する前に、新しいユーザーに初めてサインインした後、以前のユーザー フォルダーの内容を新しいフォルダーにコピーして、この問題を回避します。

  • アカウント PIN は国防総省 STIG に従って無効になっています

    • PIN はパスワードの代わりにのみ使用すると安全ではなく、数時間、場合によっては数秒、数分で簡単に回避されてしまう可能性があります。

    • スクリプトの実行後、アカウントから PIN を削除するか、パスワードを使用してサインインします。

  • Bitlocker のデフォルトは、国防総省 STIG により変更され、強化されています。

    • bitlocker の実装方法により、この変更が発生すると、すでに bitlocker が有効になっている場合、bitlocker の実装が中断されます。

    • この問題を回避するには、bitlocker を無効にし、スクリプトを実行してから、bitlocker を再度有効にします。

## 要件:

推奨される書籍:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

追加、注目すべき変更、バグ修正:

このスクリプトは、システム上の設定を追加、削除、および変更します。スクリプトを実行する前に確認してください。

ブラウザ:

  • ブラウザには、プライバシーとセキュリティを強化するために追加の拡張機能がインストールされます。
    • 見る here 追加情報については。
  • ブラウザーに実装された国防総省 STIG により、拡張機能管理およびその他のエンタープライズ設定が設定されます。これらのオプションを確認する方法については、以下の GPO の手順を参照する必要があります。

Powershell モジュール:

  • Windows Update の自動化を支援するための PowerShell PSWindowsUpdate モジュールがシステムに追加されます。

Microsoft アカウント、ストア、または Xbox サービスの修正:

これは、Microsoft アカウントへのサインインがブロックされているためです。 Microsoft のテレメトリと ID の関連付けは眉をひそめています。 ただし、これらのサービスを引き続き使用したい場合は、次の問題チケットを参照して解決策を確認してください。

事後的にローカル グループ ポリシーでポリシーを編集する:

設定を修正または変更する必要がある場合は、ほとんどの場合、GPO を介して構成できます。

  • ここから ADMX ポリシー定義をインポートします repo 変更しようとしているシステム上の C:\windows\PolicyDefinitions に変更します。

  • 変更しようとしているシステム上で「gpedit.msc」を開きます。

このコレクションが使用するスクリプトとツールのリスト:

### 最初のパーティ:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

### 第三者:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRG が適用されました:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

追加の構成は以下から検討されました。

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

スクリプトの実行方法:

GUI - ガイド付きインストール:

最新リリースをダウンロードする here 必要なオプションを選択し、「実行」をクリックします。 ### 自動インストール: このワンライナーを使用して、すべてのサポート ファイルを自動的にダウンロード、解凍し、最新バージョンのスクリプトを実行します。```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false