Table of Contents

مقدمة:

يعتبر نظاما التشغيل Windows 10 و Windows 11 نظام تشغيل غير آمن وغير آمن. منظمات مثل PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency تغييرات التكوين الموصى بها لإغلاق نظام التشغيل وتقويته وتأمينه. تغطي هذه التغييرات مجموعة واسعة من وسائل التخفيف بما في ذلك حظر القياس عن بعد ووحدات الماكرو وإزالة bloatware ومنع العديد من الهجمات الرقمية والمادية على النظام. يهدف هذا البرنامج النصي إلى أتمتة التكوينات الموصى بها من قبل تلك المؤسسات.

ملاحظات وتحذيرات واعتبارات:

تحذير:

يجب أن يعمل هذا البرنامج النصي مع معظم ، إن لم يكن كل ، الأنظمة التي لا تحتوي على مشكلة. بينما @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • تم تصميم هذا البرنامج النصي للتشغيل في بيئات ** الاستخدام الشخصي ** بشكل أساسي. مع أخذ ذلك في الاعتبار ، لا يتم تنفيذ بعض إعدادات تكوين المؤسسة. هذا البرنامج النصي غير مصمم لتحقيق الامتثال بنسبة 100٪ في النظام. بدلاً من ذلك ، يجب استخدامه كنقطة انطلاق لإكمال معظم ، إن لم يكن كل ، تغييرات التكوين التي يمكن كتابتها أثناء تخطي المشكلات السابقة مثل العلامات التجارية واللافتات حيث لا ينبغي تنفيذها حتى في بيئة الاستخدام الشخصي القوية.
  • تم تصميم هذا البرنامج النصي بحيث لا تؤدي التحسينات ، على عكس بعض البرامج النصية الأخرى ، إلى تعطيل وظائف Windows الأساسية.
  • تم تقييد ميزات مثل Windows Update و Windows Defender و Windows Store و Cortona ، ولكنها ليست في حالة خلل وظيفي مثل معظم البرامج النصية الأخرى لخصوصية Windows 10.
  • إذا كنت تبحث عن نص مصغر يستهدف البيئات التجارية فقط ، فيرجى الاطلاع على هذا GitHub Repository

** لا تقم بتشغيل هذا البرنامج النصي إذا كنت لا تفهم ما يفعله. تقع على عاتقك مسؤولية مراجعة واختبار النص قبل تشغيله. **

** على سبيل المثال ، سوف ينكسر ما يلي إذا قمت بتشغيل هذا دون اتخاذ خطوات وقائية: **

  • تم تعطيل استخدام حساب المسؤول الافتراضي المسمى “Administrator” وإعادة تسميته وفقًا لـ DoD STIG

    • لا ينطبق على الحساب الافتراضي الذي تم إنشاؤه ولكنه ينطبق على استخدام حساب المسؤول الافتراضي الموجود غالبًا في إصدارات Enterprise و IOT و Windows Server

    • قم بإنشاء حساب جديد تحت إدارة الكمبيوتر وقم بتعيينه كمسؤول إذا كنت ترغب في ذلك. ثم انسخ محتويات مجلد المستخدمين السابقين إلى المجلد الجديد بعد تسجيل الدخول إلى المستخدم الجديد لأول مرة للتغلب على هذا قبل تشغيل البرنامج النصي.

  • تم تعطيل تسجيل الدخول باستخدام حساب Microsoft وفقًا لـ DoD STIG.

    • عند محاولة أن تكون آمنًا وخاصًا ، لا يُنصح بتسجيل الدخول إلى حسابك المحلي عبر حساب Microsoft. يتم فرض هذا من خلال هذا الريبو.

    • قم بإنشاء حساب جديد تحت إدارة الكمبيوتر وقم بتعيينه كمسؤول إذا كنت ترغب في ذلك. ثم انسخ محتويات مجلد المستخدمين السابقين إلى المجلد الجديد بعد تسجيل الدخول إلى المستخدم الجديد لأول مرة للتغلب على هذا قبل تشغيل البرنامج النصي.

  • يتم تعطيل أرقام التعريف الشخصية للحساب وفقًا لـ DoD STIG

    • تكون أرقام التعريف الشخصية غير آمنة عند استخدامها فقط بدلاً من كلمة المرور ويمكن تجاوزها بسهولة في غضون ساعات أو ربما حتى ثوانٍ أو دقائق

    • قم بإزالة رقم التعريف الشخصي من الحساب و / أو تسجيل الدخول باستخدام كلمة المرور بعد تشغيل البرنامج النصي.

  • يتم تغيير الإعدادات الافتراضية لـ Bitlocker وتقويتها بسبب DoD STIG.

    • نظرًا لكيفية تنفيذ bitlocker ، عند حدوث هذه التغييرات وإذا كان لديك بالفعل تمكين bitlocker ، فسيؤدي ذلك إلى تعطيل تنفيذ bitlocker.

    • قم بتعطيل bitlocker ، قم بتشغيل البرنامج النصي ، ثم أعد تمكين bitlocker لحل هذه المشكلة.

متطلبات:

مواد القراءة الموصى بها:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

الإضافات والتغييرات الملحوظة وإصلاح الأخطاء:

** يضيف هذا البرنامج النصي إعدادات نظامك ويزيلها ويغيرها. يرجى مراجعة البرنامج النصي قبل تشغيله. **

المتصفحات:

  • سيكون لدى المستعرضات امتدادات إضافية مثبتة للمساعدة في الخصوصية والأمان.
    • يرى here للحصول على معلومات إضافية.
  • بسبب DoD STIGs المطبقة للمتصفحات ، تم تعيين إدارة الامتدادات وإعدادات المؤسسة الأخرى. للحصول على إرشادات حول كيفية رؤية هذه الخيارات ، ستحتاج إلى إلقاء نظرة على تعليمات GPO أدناه.

وحدات باورشيل:

  • للمساعدة في أتمتة تحديثات Windows على PowerShell PSWindowsUpdate ستتم إضافة وحدة إلى نظامك.

إصلاح حساب Microsoft أو المتجر أو خدمات Xbox:

هذا لأننا نحظر تسجيل الدخول إلى حسابات Microsoft. اقتران الهوية والقياس عن بُعد من Microsoft أمر مستاء. ومع ذلك ، إذا كنت لا تزال ترغب في استخدام هذه الخدمات ، فراجع تذاكر الإصدار التالية للحصول على الحل:

تحرير السياسات في نهج المجموعة المحلية بعد الحقيقة:

إذا كنت بحاجة إلى تعديل أو تغيير أحد الإعدادات ، فمن المرجح أن تكون قابلة للتكوين عبر GPO:

  • استيراد تعريفات سياسة ADMX من هذا repo إلى C: \ windows \ PolicyDefinitions على النظام الذي تحاول تعديله.

  • افتح “gpedit.msc” على النظام الذي تحاول تعديله.

قائمة النصوص والأدوات التي تستخدمها هذه المجموعة:

الطرف الأول:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

طرف ثالث:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

تطبيق STIGS / SRGs:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

تم اعتبار التكوينات الإضافية من:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

كيفية تشغيل البرنامج النصي:

واجهة المستخدم الرسومية - التثبيت الموجه:

قم بتنزيل أحدث إصدار here اختر الخيارات التي تريدها واضغط على تنفيذ. ### التثبيت التلقائي: استخدم هذا المكون من سطر واحد للتنزيل تلقائيًا وفك ضغط جميع الملفات الداعمة وتشغيل أحدث إصدار من البرنامج النصي.```powershell iwr -useb ‘ https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1' |iex


<img src="https://raw.githubusercontent.com/simeononsecurity/Windows-Optimize-Harden-Debloat/master/.github/images/w10automatic.gif" alt="Example of 
Windows-Optimize-Harden-Debloat automatic install">

### Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the [GitHub Repository](https://github.com/simeononsecurity/Windows-Optimize-Harden-Debloat)

The script "sos-optimize-windows.ps1" includes several parameters that allow for customization of the optimization process. Each parameter is a boolean value that defaults to true if not specified.

- **cleargpos**: Clears Group Policy Objects settings.
- **installupdates**: Installs updates to the system.
- **adobe**: Implements the Adobe Acrobat Reader STIGs.
- **firefox**: Implements the FireFox STIG.
- **chrome**: Implements the Google Chrome STIG.
- **IE11**: Implements the Internet Explorer 11 STIG.
- **edge**: Implements the Microsoft Chromium Edge STIG.
- **dotnet**: Implements the Dot Net 4 STIG.
- **office**: Implements the Microsoft Office Related STIGs.
- **onedrive**: Implements the Onedrive STIGs.
- **java**: Implements the Oracle Java JRE 8 STIG.
- **windows**: Implements the Windows Desktop STIGs.
- **defender**: Implements the Windows Defender STIG.
- **firewall**: Implements the Windows Firewall STIG.
- **mitigations**: Implements General Best Practice Mitigations.
- **defenderhardening**: Implements and Hardens Windows Defender Beyond STIG Requirements.
- **pshardening**: Implements PowerShell Hardening and Logging.
- **sslhardening**: Implements SSL Hardening.
- **smbhardening**: Hardens SMB Client and Server Settings.
- **applockerhardening**: Installs and Configures Applocker (In Audit Only Mode).
- **bitlockerhardening**: Harden Bitlocker Implementation.
- **removebloatware**: Removes unnecessary programs and features from the system.
- **disabletelemetry**: Disables data collection and telemetry.
- **privacy**: Makes changes to improve privacy.
- **imagecleanup**: Cleans up unneeded files from the system.
- **nessusPID**: Resolves Unquoted System Strings in Path.
- **sysmon**: Installs and configures sysmon to improve auditing capabilities.
- **diskcompression**: Compresses the system disk.
- **emet**: Implements STIG Requirements and Hardening for EMET on Windows 7 Systems.
- **updatemanagement**: Changes the way updates are managed and improved on the system.
- **deviceguard**: Enables Device Guard Hardening.
- **sosbrowsers**: Optimizes the system's web browsers.

An example of how to launch the script with specific parameters would be:

```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false