个人Windows 10和Windows 11的隐私和安全基线

项目地址

https://github.com/troennes/private-secure-windows

个人 Windows 10 和 Windows 11 的隐私和安全基线

快速开始

这将为 Windows 10 和 Windows 11 应用基本的隐私和安全设置。

powershell.exe -ExecutionPolicy Unrestricted -File .\Install.ps1 -Level Basic

这是什么？

这是一个为独立的 Windows 10 和 Windows 11 系统精选的隐私和安全设置的集合，它试图在隐私、安全和可用性之间取得良好的平衡。它使用组策略，并主要基于 Microsoft 的 Windows 安全基线 和 Windows 受限流量限制功能基线。

它带有两个安全级别，基于您的威胁模型：

基本安全和隐私

包含限制共享个人信息和改善安全配置的隐私和安全设置，而不会大幅度降低性能或可用性。

• 👤 适用于独立和个人使用的系统
• 🪲 帮助防御被动攻击（恶意软件和针对多人的攻击）

高级安全和隐私

包括额外的安全设置，适用于威胁模型更高的个人。这包括企业级安全设置和防御物理攻击的保护措施。与基本级别相比，这可能会降低可用性和性能。

• 👥 适用于独立、个人使用的系统和小型域/企业
• 🎯 帮助防御定向攻击（专门针对您的设备进行攻击的黑客或其他恶意行为）

如何使用

安装基本的安全和隐私基线：

1. （可选，但建议）从Microsoft安全合规工具包下载最新的LGPO.exe工具，并将其放置在Tools文件夹中。
2. （可选，但建议）备份您当前的设置，以便以后可以还原。从Utils文件夹运行Backup.ps1。例如：.\Backup.ps1 -OutputDir C:\tmp\
3. （可选，但建议）查看List/SettingsOverview.xlsx中更改的设置列表。
4. 使用管理员权限的PowerShell运行Install.ps1。

.\Install.ps1 -Level Basic

使用另一个值作为 -Level 来选择另一个基线：

-Level Basic                 [默认] 基本的安全和隐私
-Level HighSecurity          高级安全设置（假定已设置基本安全设置）

高级用法和更精细的控制：
-Level BasicSecurity         基本安全，没有添加隐私设置
-Level BasicPrivacy          基本隐私，没有添加安全设置
-Level HighSecurityBitlocker 高级安全设置的子集：磁盘加密设置
-Level HighSecurityCredGuard 高级安全设置的子集：基于虚拟化的安全
-Level HighSecurityComputer  高级安全设置的子集：计算机设置
-Level HighSecurityDomain    高级安全设置的子集：域计算机设置
-Level ExtremePrivacy        [实验性的] 降低了安全和可用性的隐私设置。

常见问题解答

支持哪些Windows版本？

安装脚本将检测您的版本并应用支持的设置。目前支持以下版本：

• Windows 10（21H1、21H2和22H2）
• Windows 11（21H2和22H2）

在两种情况下，建议使用Windows的企业版或教育版。专业版部分工作，但某些设置（如遥测）无法设置为所需的级别。

不支持Windows Home版。

为什么要使用此工具而不是CIS基准或Microsoft的安全基线？

尽管CIS和Microsoft的安全基线都很好，但它们针对使用域联接计算机的组织。此基线是为个人/独立计算机而制作的，并包括增加隐私的其他设置。

隐私和安全哪个更重要？

两者都很重要。这个基线试图在两者之间取得平衡，但它们之间存在冲突。在以下情况下，隐私优先于安全：

• Windows Defender不会将样本发送到Microsoft。
• Smartscreen已禁用。

在某些情况下，安全和可用性胜过隐私，如下所述：

这个基线是否阻止所有发送到Microsoft服务的流量？

不是。对Microsoft的流量受到限制，但出于可用性和安全原因，以下服务仍会向Microsoft发送信息：

• 启用Windows更新以自动下载安全更新
• 启用Windows Defender签名更新以自动下载反恶意软件定义更新
• 启用自动根证书更新以自动检查Windows更新上的受信任机构列表，以查看是否有更新可用
• 网络连接状态指示器（NCSI）向http://www.msftconnecttest.com/connecttest.txt发送DNS请求和HTTP查询，以确定设备是否可以与Internet通信。这是获取Windows更新和某些其他功能所必需的。
• 启用了“Microsoft帐户登录助手”服务（wlidsvc）。这是获取Windows更新所必需的。
• 遥测设置为您的Windows版本可用的最低级别。如果您没有企业/教育版，则仍会向Microsoft发送一些遥测数据。
• 这个基线可能存在缺陷，并不能涵盖所有可能性。如果您认为有改进的空间，请提交问题。

安装此基线有哪些可用性影响？

与Microsoft帐户、Cortana、OneDrive、Store、云、反馈和客户体验改进相关的功能被禁用或减少。

我想更改一些设置

通过组策略可以自定义一切：

1. 运行 gpresult.exe /h GPreport.html 以管理员权限获取当前设置的概述。然后在浏览器中打开报告并单击“显示全部”。确定您要更改的设置并注意它们的路径。
2. 以管理员权限运行 gpedit.msc，并更改上一步中确定的设置。GPreport中的路径与gpedit工具对应。要将设置重置为其默认状态，请将其设置为“未配置”。

基本和高级安全级别有什么区别？

相较于基本安全级别，高级安全级别具有以下安全改进：

• 更强的用户账户控制（UAC）设置
• 增强防御物理攻击的能力（禁用直接内存访问（DMA）保护，禁用睡眠模式，限制机器闲置时间）
• 启用基于虚拟化的安全功能（Hypervisor-Protected Code Integrity（HVCI），Secure launch）
• 启用增强的日志记录（审计、PowerShell、防火墙）
• 强化企业/域功能（域安全设置，远程访问，如RDP和WinRM）
• 更严格的密码策略

隐私设置在两个级别中都是相等的。

如何在安装前验证更改的设置？

从Security Compliance Toolkit下载Microsoft的策略分析器工具，然后导入GPO以查看它们更改了哪些设置。

这个基线是否改进了任何应用程序？

没有。仅涵盖Windows操作系统和内置Windows组件。这里没有包括对Microsoft Edge和Internet Explorer的改进。

贡献

请不要害怕做出贡献！现在，如果您认为有改进的空间，请创建一个问题，我们会从那里开始。

致谢

该基线的主要组成部分是

• Microsoft的Windows安全基线和Microsoft安全合规工具包
• Microsoft的Restricted Traffic Limited Functionality Baseline

我从mxk的Windows 10 and Server 2019 Secure Baseline GPO中学到了很多东西，并基于该基线做出了一些调整。

标签：工具分享, 学习笔记, 主机安全