Программа является генератором скриптов с коллекцией параметров и рекомендаций из бенчмарков CIS и STIGов от DoD с некоторыми доработками.
Все параметры размещены в БД с именами операционных систем, которые содержат параметры для соответствующих систем.
Параметры были вручную проверены и протестированы в соответствии с официальной документацией от Майкрософт и мнениями известных специалистов.
Скрипты генерируются в двух режимах - автоматическом и ручном.
Все БД имеют профили min/med/full, где min - Minimum (только параметры уровня 3 (уровень 2 CIS/уровень 3 STIG)), med - Medium (параметры уровней 2 и 3 (уровени 1 и 2 CIS/уровень 2 STIG)) и Full (все параметры, уровень 1-3).
Для каждой ОС были созданы дополнительные профили, которые можно сгенерировать отдельно либо после генерации основного скрипта:
- Windows XP
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Internet Explorer (версии 6-8)
- Windows Vista
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- Internet Explorer (версии 7-9)
- Windows 7
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- BitLocker
- Internet Explorer (версии 8-11)
- Windows 8
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- BitLocker
- Internet Explorer (версии 10-11)
- Windows 8.1
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- BitLocker
- Internet Explorer (версия 11)
- Windows 10
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- BitLocker
- MS Edge
- Next Generation Security
- Internet Explorer (версия 11)
- Windows 11
- Windows Firewall (Режим ShieldUp имеет отдельное подтверждение)
- Windows Defender
- BitLocker
- MS Edge
- Next Generation Security
- MS Office
- MS Office 2003
- MS Office 2007
- MS Office 2010
- MS Office 2013
- MS Office 2016 (включая 2019 & 2021)
- MS Office 365
Warning
Режим ShieldUp блокирует все входящие соединения, включая исключения, которые находятся в разрешенных в настройках Windows или Панели управления
В ручном режиме вы можете проверить каждый параметр с полным описанием его назначения. Описание будет переведено (спасибо Google Translate) на системный язык при наличии интернет-соединения.
Каждый сгенерированный скрипт имеет команду для создания точки восстановления (если сервис отключен, скрипт включит его (исключая аддоны, там только создание точки)).
Применяемые параметры содержат шаблон secedit и sdb файл к нему, параметры auditpol, отключение некоторых сервисов через PS и параметры реестра из БД.
Все скрипты в виде .bat файлов. Не люблю синтаксис PS :)
Все дополнительные файлы, как шаблон secedit, находятся в папке Templates.
Note
Для использования параметров EMET для Windows 7-8.1 вам необходимо установить EMET 5.52 (в релизе лежит в папке Templates) Параметры для 2016 версии подходят к 2019 и 2021, т.к. используют один ADMX файл для настройки политик. Если у вас 2019 или 2021 версия, используйте параметры харденинга для 2016 версии.
-
Скачать
-
Запустить
python AHWT.py -
Выбрать ОС
-
Ввести имя скрипта
-
Выбрать режим
-
Выбрать профиль харденинга
-
По желанию добавить дополнительные параметры
-
Скопировать необходимые файлы из папки Templates и поместить их рядом со скриптом
-> 
-> 
-
Запустить скрипт на целевой машине
Caution
Перед применением на реальной машине обязательно тестируйте на тестовом ПК или ВМ
- Обогатить БД новыми параметрами для каждой ОС
- Оптимизировать код (да, сейчас это говнокод)
- Добавить поддержку сторонних приложений, серверных версий ОС и всего, что так или иначе может быть полезно и связано с Windows
- Что нибудь еще...
Сделано с желанием помочь сотрудникам ИБ ❤️