Gorstak-Zadar/GSecurity
GitHub: Gorstak-Zadar/GSecurity
基于微软无人值守安装机制构建的Windows OEM加固与首次启动部署包,将注册表策略、防火墙配置、浏览器管控和安全脚本整合为可引导ISO。
Stars: 0 | Forks: 0
# GSecurity
### Gorstak Windows **OEM 加固** & **首次启动** 工具包
*交付一个包含注册表策略、防火墙姿态、浏览器控制和可选 Gorstak 安全脚本的定制 Windows 镜像——而无需将所有内容散落在随机文件夹中。*
[](#)
[](#)
## 这是什么
**GSecurity** 不是一个单一的可执行文件——它是一个基于 Microsoft 无人值守安装(`autounattend.xml`)和 **`$OEM$` 分发文件夹**构建的 **ISO / 部署包**。它叠加了 **Gorstak 品牌的默认设置**、**激进的系统加固**(主要通过 `.reg` 合并),以及一个 **Bin** 工具箱(包含补充 [GEDR](https://gorstak.eu) 和更广泛 Gorstak 技术栈的 PowerShell 代理)。
在以下情况下使用它:
- 在全新安装 Windows 后需要一个 **可重复的** 基线
- **企业级风格的** 浏览器策略(扩展、PAC、QUIC 开关、SmartScreen 级别)
- 通过一次导入过程完成 **防火墙 / Defender / ASR** 和 **遥测缩减**
- **Shell 生活质量改进**(在此处打开管理员 PowerShell、防火墙桌面菜单、文件哈希、所有权快捷方式)
- 可选的 **PowerShell EDR 编排**(`Antivirus.ps1`),与 GEDR 产品线保持一致
## 仓库结构
```
GSecurity/
L¦¦ Iso/
+¦¦ Autorun.inf # Classic autorun › sources\setup.exe
+¦¦ autounattend.xml # Unattended: locale, OEM info, local Admin, first-logon hooks
L¦¦ sources/
L¦¦ $OEM$/
+¦¦ $1/… # Extra files on disk (e.g. default user desktop extras)
L¦¦ $$/Setup/Scripts/
+¦¦ SetupComplete.cmd # Post-setup: cd Bin, merge *.reg
L¦¦ Bin/ # Core payload
+¦¦ GSecurity.bat # Elevated: import *.reg, ACL hardening, immediate reboot
+¦¦ GSecurity.reg # Main policy blob (browsers, certs, firewall, ASR, …)
+¦¦ Services.reg # Per-service SvcHostSplitDisable entries
+¦¦ Antivirus.ps1 # Large merged EDR / AV orchestrator (PowerShell)
+¦¦ Retaliate.ps1 # Browser-focused connection monitor / “retaliate” logic
+¦¦ RootkitKiller.ps1 # ETW-based unsigned HTTP listener cleanup helper
+¦¦ Install-PasswordRotator.ps1
+¦¦ GSecurity.inf # Driver/catalog placeholder (if used in your build)
L¦¦ … (logs, data, pid files appear at runtime)
```
## 安装程序是如何配置的
### `autounattend.xml`
- **制造商 (Manufacturer)** 设置为 **Gorstak**;**SupportURL** 指向您的 Discord 邀请链接。
- **区域 / 语言**:克罗地亚区域设置,搭配 **en-US** 用户界面(请根据您的受众进行调整)。
- **本地账户**:名为 **`Admin`**,明文密码为空(仅适用于实验室镜像——对于任何实际用途**请更改此项**)。
- **自动登录 (Auto logon)** 已启用,并设置了极高的登录计数(类似 kiosk 模式;在生产环境前请进行审查)。
- **首次登录** 会在 `C:\Windows\Setup\Scripts\…` 下调用一个命令——请验证该路径是否与您的 `$OEM$` 副本落地位置匹配,以及启动器(`cmd` 对比 `PowerShell` 对比 `runas`)是否与您打算运行的脚本相匹配。
### `SetupComplete.cmd`
在安装完成后运行,切换到 **`Bin`**,并按字母顺序 **`reg import`(导入)每个 `.reg` 文件**——因此命名很重要(`GSecurity.reg` 与 `Services.reg` 的顺序是确定的)。
### `GSecurity.bat`(位于 `Bin` 下)
一条 **独立的**、更具侵入性的路径:
1. 通过 UAC 自我提升权限。
2. 导入其目录中的 **所有 `*.reg` 文件**(同样:按字母顺序)。
3. 对选定的系统二进制文件(`WmiPrvSE.exe`、`dllhost.exe`、`conhost.exe`、`winmm.dll` 等)应用 **`takeown` / `icacls`**。
4. **`shutdown /r /t 0`** —— **立即重启**。
## `GSecurity.reg` 涵盖的内容(概述)
该文件设计上很大。它在高层级上配置了:
| 区域 | 示例 |
|------|------------|
| **浏览器** | 针对 Brave, Chrome, Edge, Firefox, Zen, Arc, Vivaldi 的托管策略;强制扩展列表;uBlock 风格的管理 JSON;用于过滤/代理的 PAC URL |
| **信任存储** | 移除或 **禁止** 特定的根证书;添加针对性的信任条目 |
| **防火墙** | Windows 防火墙 **开启**,默认 **入站阻止** / 出站允许配置文件;在策略中禁用常见的远程管理面 |
| **Defender** | 通过策略启用 **攻击面减少 (ASR)** 规则 |
| **隐私 / 遥测** | 减少诊断数据,WER 调整,关闭云剪贴板等 |
| **RDP / 远程协助** | 大部分 **已禁用** / 受限 |
| **加固杂项** | LSASS 缓解选项,SMB 签名路径,WinRM 限制,IPv6 转换开关,关闭 Game DVR,面向游戏的定时器/GPU 调度器调整 |
| **资源管理器 / Shell** | 回收站行为,时钟显示秒数,**上下文菜单**(获取所有权、重置 NTFS 权限、以管理员身份打开 PowerShell/CMD、文件哈希、桌面防火墙子菜单) |
| **IPsec** | 在注册表中嵌入一个 **“GSecurity Policy”** 块(高级功能;请在您的构建上进行验证) |
将 `.reg` 视为 **源代码**:对其进行 diff,剔除您不想要的内容,并在虚拟机上测试。
## `Services.reg`
在非常广泛的 Windows 服务列表中设置 **`SvcHostSplitDisable=1`**,以便每个服务都拥有其 **自己的** `svchost` 实例——以 **RAM** 换取 **隔离性** 和更轻松的 **服务级故障排除**。这是一个 ** deliberate performance / footprint trade-off**(刻意为之的性能/占用权衡);并非每个部署都希望如此。
## `Bin` 中的 PowerShell 工具
| 脚本 | 角色 |
|--------|------|
| **`Antivirus.ps1`** | 单体式 **EDR/防病毒编排器**:托管作业间隔,当存在时向 `AgentsAntivirus\Bin` 分发外部作业,学习模式,混乱/自测开关。标题中的版本行跟踪 **GEDR 对齐情况**(例如 v2.27.x - GEDR 27)。生产环境推荐使用 **`GEDR.exe`** 作为托盘/服务;保留此脚本用于自动化或 ISO 分阶段部署。 |
| **`Retaliate.ps1`** | **仅限浏览器**的网络监控,带有可选的反击逻辑;**游戏和非浏览器应用程序**在设计上被排除。 |
| **`RootkitKiller.ps1`** | 使用 **HTTP.sys ETW** 模式查找可疑的未签名监听器;可选的 **计划任务** 持久化。 |
| **`Install-PasswordRotator.ps1`** | 密码轮换辅助工具(在您的环境中启用前请先审查)。 |
`Antivirus.ps1` 的典型标志(完整列表见脚本标题):
```
.\Antivirus.ps1 # normal run
.\Antivirus.ps1 -Uninstall # remove persistence / stop
.\Antivirus.ps1 -LearningMode
.\Antivirus.ps1 -SelfTest
```
## 构建可启动镜像
1. 从一个 **Windows 安装 ISO** 或解压后的 `sources\install.wim` 开始。
2. 将此仓库的 **`Iso\sources\$OEM$`** 树合并到您媒体的 **`sources\$OEM$`** 中。
3. 将 **`autounattend.xml`** 放置在 **ISO 的根目录**(或根据 Microsoft 文档将其传递给安装程序)。
4. 将 `autounattend.xml` 中的 **`[KEY]`** 替换为有效密钥或您的 KMS/零售流程。
5. 使用 **oscdimg**、**Media Creation Tool** 工作流或您首选的流水线重建 ISO。
在接触物理机器之前,请务必 **在虚拟机中测试**。
## 与 GEDR 的关系
- **[GEDR](https://gorstak.eu)** (`GEDR.exe`) 是具有明确发布版本(例如 **28.0.0.0**)的 **托盘 + 服务** 产品。
- **`Antivirus.ps1`** 的变更日志行记录了与 GEDR 的 **对等目标**;当您发布协调版本时,请同时更新两者。
- 像 `%ProgramData%\GEDR\` 这样的路径预期应从激进的清理工具中 **排除**——这已反映在脚本内较旧的 GEDR 兼容性说明中。
## 安全与道德
- 这些设置非常 **强大**:它们可能 **破坏应用程序**、**阻止网络路径**,并 **更改 TLS 信任**。
- **空的默认密码** 和 **自动登录** 在网络上 **不安全**——将示例 XML 视为 **模板**。
- 某些技术(连接“反击”、杀死进程)可能 **破坏合法软件**。仅在您拥有 **授权** 和 **恢复计划** 的地方运行。
## 支持
`autounattend.xml` 中的 OEM 信息当前引用了 **Gorstak** 和一个 **Discord** 支持 URL——请更新以匹配您的分发渠道。
**GSecurity** · *Gorstak OEM & 加固层*
---
## 全面法律免责声明
本项目仅用于授权的防御、管理、研究或教育用途。
- 仅在您拥有明确许可的系统、网络和环境上使用。
- 滥用可能违反法律、合同、政策或可接受使用条款。
- 运行安全、加固、监控或响应工具可能会影响稳定性,并可能破坏合法软件。
- 在生产使用之前,请在测试环境中验证所有更改。
- 本项目按“原样”提供,不附带任何形式的保证,包括适销性、适用于特定目的和不侵权。
- 作者和贡献者不对直接或间接损害、数据丢失、停机、业务中断、法律风险或合规性影响承担责任。
- 您需独自承担合法操作、配置选择以及您所在司法管辖区的合规义务的责任。
由 Gorstak 精心构建
标签:AI合规, AI红队测试, ASR规则, autounattend, Conpot, EDR编排, ISO镜像打包, MicrosoftDefender, OEM部署, OpenCanary, PE 加载器, PowerShell脚本, Web归档检索, Windows安全, 后端开发, 基线管理, 安全基线, 教学环境, 无人值守安装, 注册表强化, 浏览器策略, 系统加固, 网络安全, 遥测削减, 防火墙配置, 隐私保护, 首次启动工具箱