Gorstak-Zadar/GSecurityBaseline

# 🛡️ GSecurityBaseline ## 📋 概述 GSecurityBaseline 为企业部署提供了全面的 Windows 安全策略基线。它包含预配置的安全模板、本地组策略对象 (LGPO) 工具以及注册表策略文件，用于加固 Windows 系统以抵御常见的攻击向量。 该项目专为需要跨多个 Windows 端点快速部署一致安全配置的安全管理员而设计。 ## 🎯 功能特性 - 📜 **策略导入/导出** - 自动化安全策略部署 - 🏢 **企业基线** - 预配置的安全模板 - 🔧 **LGPO 集成** - Microsoft 支持的策略管理 - 📝 **注册表策略** - 计算机和用户级别的安全设置 - 🔄 **策略转换** - 在 POL 和 REG 格式之间转换 - 📊 **审计追踪** - 策略应用日志记录 ## 📁 项目结构 | 文件 | 描述 | |------|-------------| | `ComputerPolicy.reg` | 计算机 (HKLM) 安全策略注册表文件 | | `UserPolicy.reg` | 用户 (HKCU) 安全策略注册表文件 | | `ExportPolicy.cmd` | 将当前策略导出为 REG 文件 | | `ImportPolicy.cmd` | 将策略 REG 文件导入系统 | | `LGPO.exe` | Microsoft 本地组策略对象实用程序 | | `PolicyPlusLatest.exe` | PolicyPlus - 高级策略编辑器 | | `{GUID}/` 文件夹 | Policy registry.pol 存储容器 | ## 🚀 快速开始 ### 导入安全基线 ``` :: Run as Administrator ImportPolicy.cmd ``` 这将同时应用计算机和用户安全策略。 ### 导出当前策略 ``` :: Run as Administrator ExportPolicy.cmd ``` 将当前策略导出到 `ComputerPolicy.reg` 和 `UserPolicy.reg`。 ### 使用 LGPO.exe ``` :: Export current GPO to backup LGPO.exe /b C:\GPOBackup :: Import GPO from backup LGPO.exe /g C:\GPOBackup :: Parse registry.pol files LGPO.exe /parse /m C:\Windows\System32\GroupPolicy\Machine\Registry.pol LGPO.exe /parse /u C:\Windows\System32\GroupPolicy\User\Registry.pol ``` ### 使用 PolicyPlus ``` :: Launch advanced policy editor PolicyPlusLatest.exe ``` ## 📋 策略类别 ### 计算机策略 | 类别 | 设置 | |----------|----------| | **Windows Defender** | 实时保护、行为监控、云端提供的保护 | | **攻击面减少 (ASR)** | Office 宏阻止、脚本执行控制、凭据保护 | | **防火墙** | 默认入站阻止、日志记录、通知设置 | | **安全选项** | UAC 级别、管理员批准模式、安全桌面 | | **审核策略** | 登录事件、特权使用、对象访问、策略更改 | | **用户权限** | 本地登录、远程访问、关机权限 | | **注册表安全** | 受限注册表项、写入保护 | ### 用户策略 | 类别 | 设置 | |----------|----------| | **隐私设置** | 遥测减少、广告 ID、云内容 | | **资源管理器设置** | 上下文菜单、文件扩展名、隐藏文件 | | **软件限制** | 执行策略、被阻止的应用程序 | | **桌面安全** | 屏幕保护程序、壁纸限制 | | **开始菜单** | 建议内容、推荐、提示 | ## 🔧 策略 GUID 文件夹 `{GUID}` 文件夹包含原始的 Windows registry.pol 文件： ``` {3DF46A41-B1F8-4617-8FCC-316EB03F8EF8}/ ├── Backup.xml ├── GptTmpl.inf ├── Registry.pol # Machine policy binary └── ... {FB17569F-2609-4572-A75E-97B10FE140EF}/ ├── Backup.xml ├── GptTmpl.inf ├── Registry.pol # User policy binary └── ... ``` 这些是组策略对象 的提取/备份副本，可以还原或迁移。 ## 📊 安全基线详情 ### Defender/安全设置 - ✅ 实时保护：已启用 - ✅ 行为监控：已启用 - ✅ 云端提供的保护：已启用 - ✅ 自动提交样本：已启用 - ✅ 潜在不受欢迎的应用程序阻止：已启用 ### 攻击面减少 - ✅ 阻止来自 Internet 的 Office 宏 - ✅ 阻止来自电子邮件附件的 Office 宏 - ✅ 阻止来自电子邮件客户端的可执行内容 - ✅ 阻止从 LSASS 窃取凭据 - ✅ 阻止从 Office 宏创建进程 ### 防火墙配置 - ✅ 域配置文件：入站阻止，出站允许 - ✅ 专用配置文件：入站阻止，出站允许 - ✅ 公用配置文件：入站阻止，出站允许 - ✅ 已启用丢弃数据包的日志记录 ### UAC 设置 - ✅ 管理员批准模式：已启用 - ✅ 安全桌面：已启用 - ✅ 提升提示：同意提示 ### 审核策略 - ✅ 审核登录事件：成功，失败 - ✅ 审核特权使用：成功，失败 - ✅ 审核策略更改：成功，失败 - ✅ 审核系统事件：成功，失败 ## ⚙️ 使用场景 ### 场景 1：新部署 1. 在目标机器上安装 Windows 2. 以管理员身份运行 `ImportPolicy.cmd` 3. 重启以应用所有策略 4. 使用 `LGPO.exe /r` 验证设置 ### 场景 2：策略迁移 1. 在源机器上：`ExportPolicy.cmd` 2. 将导出的 REG 文件复制到目标 3. 在目标上：`ImportPolicy.cmd` ### 场景 3：企业部署 1. 自定义 `ComputerPolicy.reg` 和 `UserPolicy.reg` 2. 使用部署工具 (SCCM, Intune, GPO) 打包 3. 通过 `LGPO.exe /t` 或 `ImportPolicy.cmd` 部署 ## 📝 系统要求 - Windows 10/11 Pro, Enterprise, 或 Education - Windows Server 2016/2019/2022 - 管理员权限 - 本地组策略支持（不支持家庭版） ## ⚠️ 重要说明 ### ⚠️ 版本兼容性 - 家庭版对组策略的支持有限 - 某些策略需要 Pro/Enterprise/Education 版本 - LGPO.exe 适用于所有版本，但某些设置可能无法应用 ### ⚠️ 策略冲突 - 域 GPO 会覆盖本地策略 - 在生产部署前进行测试 - 某些策略需要重启才能生效 ### ⚠️ 应用程序影响 - ASR 规则可能会阻止合法的宏 - 防火墙设置可能会影响远程管理 - 审核策略会产生日志量 ### ⚠️ 先备份 在应用基线之前始终备份当前策略： ``` LGPO.exe /b C:\GPOBackup-$(Get-Date -Format yyyyMMdd) ``` ## 🔧 高级用法 ### 自定义策略创建 1. 编辑 `ComputerPolicy.reg` 或 `UserPolicy.reg` 2. 使用正确的注册表路径： - 计算机：`HKEY_LOCAL_MACHINE\...` - 用户：`HKEY_CURRENT_USER\...` 3. 在部署前在虚拟机中测试 4. 使用 `reg import` 或 `LGPO.exe` 导入 ### 将 REG 转换为 POL ``` :: Use LGPO to convert and apply LGPO.exe /t ComputerPolicy.reg LGPO.exe /t UserPolicy.reg ``` ### 策略验证 ``` :: Parse and verify policy files LGPO.exe /parse /m C:\Windows\System32\GroupPolicy\Machine\Registry.pol > MachinePolicy.txt LGPO.exe /parse /u C:\Windows\System32\GroupPolicy\User\Registry.pol > UserPolicy.txt ``` ## 📚 相关项目 - **GSecurity** - 完整的 OEM 加固工具包，包含 $OEM$ 结构 - **GEDR** - 企业 EDR 平台 - **AgentsAntivirus** - 模块化检测代理 ## 📜 许可证与免责声明 ## 综合法律免责声明 本项目仅用于授权的防御、管理、研究或教育目的。 - 仅在您拥有明确许可的系统、网络和环境上使用。 - 滥用可能违反法律、合同、政策或可接受使用条款。 - 运行安全、加固、监控或响应工具可能会影响稳定性，并可能中断合法软件。 - 在生产使用之前，请在测试环境中验证所有更改。 - 本项目按“原样”提供，不提供任何形式的保证，包括适销性、适用于特定用途和非侵权性。 - 作者和贡献者不对直接或间接损害、数据丢失、停机、业务中断、法律风险或合规影响承担责任。 - 您需全权负责您所在司法管辖区的合法操作、配置选择和合规义务。

_{由 Gorstak 用心构建}

标签：Awesome, Conpot, CSV导出, GPO, LGPO, PB级数据处理, PolicyPlus, Windows安全, 人工智能安全, 企业安全, 合规性, 基线部署, 安全基线, 安全模板, 安全运维, 攻击面减少, 教学环境, 注册表策略, 系统加固, 系统管理, 组策略, 终端安全, 网络资产管理, 脚本