Software Open Source per hardening Sistemi Windows

AlessandroFiori · 16 Novembre 2018, 8:40am

Gentilissimi,
ho provveduto a rilasciare su GitHub un software Open Source per aiutare gli Amministratori delle PA a mettere in sicurezza i propri sistemi Windows.

Il software è presente in questo repository:
Repository

Questo repository conta di 2 software, “Sec” e “Fire”.
“Sec” è il software per effettuare l’hardening del sistema operativo in maniera semplice, mentre “Fire” crea delle regole personalizzate per Windows Firewall (il software è ancora in fase di sviluppo e testing).

Utilizzando “Sec” è possibile importare o generare delle regole, le quali sono distribuite nel pacchetto come “BASE”, “USGCB” e “ULTRA”.
In questa cartella è possibile trovare le configurazioni “BASE” e “USGCB” più il software già compilato, mentre nella root è possibile trovare la configurazione “ULTRA”.

Tramite i file sopra descritti vengono applicate le seguenti regole:

“BASE” - Nessuna configurazione particolare. Riporta ilk sistema nel suo stato iniziale (viene mantenuta l’obbligatorietà di premere la combinazione CTRL+ALT+CANC per accedere alla schermata di Login di Windows).

“USGCB” - Questa configurazione imposta le regole definite nel United States Government Configuration Baseline.
Da prendere come una configurazione di medio livello.

“ULTRA” - Questa configurazione permette di impostare il sistema in maniera molto restrittiva.
In questa configurazione, per fare un esempio, non funzionerà il servizio audio, in quanto non ha i permessi necessari per avviarsi.
Per permettere un collegamento in Desktop Remoto, ad esempio, è necessario impostare il nome utente in “secpol.msc” sia nella impostazione “Accedi al computer dalla rete”, che nella impostazione “Consenti accesso tramite Servizi Desktop Remoto”, sia nelle impostazioni Desktop Remoto presenti nel pannello di controllo.

Il software è stato testato nelle versioni disponibili da Windows 7 a Windows 10, compreso Windows Server 2012 R2.
Le impostazioni sono funzionanti anche nelle versioni “Home Edition”, le quali però non hanno “secpol.msc” disponibile.

Il funzionamento più consono per la configurazione più sicura, è il seguente:

Aprire il programma e cliccare “Importa Modello”.
Selezionare “ULTRA.inf” e attendere il completamento delle operazioni.
Dopo l’importazione del modello, controllare che le impostazioni selezionate siano quelle desiderate, quindi selezionare “Genera e installa”.

Fatto questo, il sistema è “rafforzato”.

Oltre ad applicare le regole di sicurezza, nel Firewall di Windows vengono azzerate tutte le regole, in maniera tale da non poter ricevere connessioni in ingresso, ma poter comunque garantire la connettività del sistema come client.

Dal momento che questo software e queste configurazioni sono particolari, prima di utilizzarlo in ambiente di produzione, è necessario testarlo a fondo su una macchina test o su una macchina virtuale.

Fatemi sapere cosa ne pensate, qualsiasi suggerimento/correzione/integrazione sono ben accette.

Questo software non vuole essere una soluzione a tutti i problemi di sicurezza (anche perchè sarebbe un’utopia), ma vuole essere un pezzo del puzzle per aiutare la PA nel tema della sicurezza, che ultimamente sta facendo molto parlare.

giannirelativo · 19 Novembre 2018, 3:42pm

Grazie! Utilissimo!
ciao, Gianni

AlessandroFiori · 16 Dicembre 2018, 2:01am

UPDATE 20/12/2018 - Aggiunto Wizard per aiuto agli Utenti alla configurazione

Salve a tutti,
per aggiornare il progetto già discusso in precedenza, Dal momento che il NIST ha pubblicato il “National Checklist Program” (NCP), e dal momento che non ci sono strumenti sul web (o forse non li ho trovati), ho deciso di scrivere il mio strumento.

Dal momento che voglio semplificare il processo di sicurezza, questo progetto mira a portare “semplicità” a questa complessa questione.

Il NIST rilascia molte regole, GPO e configurazioni per quasi tutti i tipi di dispositivi. Ho deciso di iniziare con Windows, poiché questo progetto è focalizzato su di esso.

Rilascerò strumenti periodicamente aggiornati che applicano l’ultima versione di regole da NIST per Windows. Ci sono regole focalizzate per IE o SQL Server, le implementerò nel prossimo futuro.

È possibile trovare il software nelle cartelle “SCAP”, denominate in base alla data di rilascio (formato del nome della versione: “SCAP_YYYY_MM_DD”). Ad esempio, puoi trovare la cartella “SCAP_2018_12_16”. In una “versione”, puoi trovare il software, le regole NIST e lo strumento Microsoft, per rilasciare una singola cartella che contiene tutto.

Puoi trovare il software qui: https://github.com/randomtable/Sec/tree/master/SCAP_2018_12_16/SCAP/bin/Release

È possibile applicare tutte le regole semplicemente facendo doppio clic su “SCAP.exe” e fare clic sul pulsante “START” sul form. È necessario riavviare il sistema, dopo aver applicato le regole.

Lo strumento che ho creato, importa tutti i file ADMX e ADML, e tramite “LGPO.exe” applica gli oggetti Criteri di gruppo al sistema locale.

La connessione Internet non è necessaria, quindi puoi facilmente copiare l’intera cartella e applicare le regole direttamente anche alle immagini di sistema.

Ulteriori informazioni su SCAP e Checklist Program sono disponibili qui: https://csrc.nist.gov/projects/security-content-automation-protocol/scap-releases/scap-1-3 https://nvd.nist.gov/ncp/repository

Ulteriori informazioni sulla Security Technical Implementation Guide (STIG): https://iase.disa.mil/stigs/Pages/index.aspx

Lo strumento “LGPO.exe” può essere trovato qui: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/

E’ necessario testare il tutto in un ambiente di prova, prima di rilasciare queste regole in un ambiente di produzione.