Una mica de hardering…
REM Limita l'accés anònim a recursos del sistema (com llistes d'usuaris o recursos compartits).
REM Amb valor 1, es bloquegen certes consultes anònimes (nivell bàsic de restricció).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictAnonymous /t REG_DWORD /d 1 /f
REM Fa que el grup "Everyone" NO inclogui usuaris anònims.
REM Això evita que usuaris sense autenticar tinguin permisos assignats a "Everyone".
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v EveryoneIncludesAnonymous /t REG_DWORD /d 0 /f
REM Restringeix l'accés remot a la base de dades SAM (comptes d'usuari).
REM Només permet accés als administradors (BA = Built-in Administrators).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictRemoteSAM /t REG_SZ /d "O:BAG:BAD:(A;;RC;;;BA)" /f
REM Fa que el sistema utilitzi un identificador únic de màquina (Machine ID) en operacions de seguretat/autenticació.
REM Pot ajudar a reforçar la traçabilitat i coherència en autenticacions.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v UseMachineId /t REG_DWORD /d 1 /f
REM Impedeix que comptes amb contrasenya en blanc es puguin utilitzar per iniciar sessió remotament.
REM Només es podran usar localment (millora de seguretat important).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 1 /f
REM Evita que el sistema faci fallback a sessions nulles (sense autenticació) si falla l'autenticació.
REM Redueix el risc d'accés no autoritzat.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0" /v allownullsessionfallback /t REG_DWORD /d 0 /f
REM Habilita la signatura SMB al client (equip que es connecta).
REM Garanteix la integritat de les comunicacions SMB (protecció contra manipulació).
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
REM Obliga a que el servidor SMB requereixi signatura en totes les connexions.
REM Evita connexions SMB sense signar (augmenta seguretat, pot afectar compatibilitat amb sistemes antics).
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 1
REM Desactiva la possibilitat de demanar assistència remota (Remote Assistance) a través de Terminal Services.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fAllowToGetHelp /t REG_DWORD /d 0 /f
REM Obliga a xifrar el trànsit RPC (Remote Procedure Call) en connexions de serveis d'escriptori remot, millorant la seguretat.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEncryptRPCTraffic /t REG_DWORD /d 1 /f
REM Desactiva la redirecció de dispositius locals (com discos, USB, etc.) en sessions remotes.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fDisableCdm /t REG_DWORD /d 1 /f
REM Desactiva l'AutoPlay per a dispositius que no es consideren volums (per exemple, alguns dispositius externs o multimèdia).
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explorer" /v NoAutoplayfornonVolume /t REG_DWORD /d 1 /f
REM Desactiva l'AutoRun per a tots els tipus de dispositius (USB, CD/DVD, xarxa, etc.).
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
REM Desactiva completament la funcionalitat d'AutoRun al sistema.
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoAutorun /t REG_DWORD /d 1 /f
REM Deshabilita el driver SMBv1 (protocol antic de compartició de fitxers) evitant que s'iniciï.
reg add "HKLM\SYSTEM\CurrentControlSet\Services\mrxsmb10" /v Start /t REG_DWORD /d 4 /f
REM Desactiva el suport del protocol SMBv1 al servidor SMB de Windows.
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v SMB1 /t REG_DWORD /d 0 /f
REM Impedeix l'accés anònim (sessions nulles) als recursos compartits del servidor.
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v RestrictNullSessAccess /t REG_DWORD /d 1 /f
REM Restringeix que usuaris anònims puguin consultar la base de dades SAM (comptes d'usuari).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictAnonymousSAM /t REG_DWORD /d 1
REM Desactiva la característica SMBv1 (protocol antic i insegur de compartició de fitxers) sense reiniciar el sistema.
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol -norestart
REM Activa el tallafoc de Windows per a tots els perfils (domini, privat i públic).
netsh Advfirewall set allprofiles state on
REM Defineix el fitxer on es guardaran els logs del tallafoc per al perfil actual.
netsh advfirewall set currentprofile logging filename %systemroot%\system32\LogFiles\Firewall\pfirewall.log
REM Estableix la mida màxima del fitxer de logs del tallafoc (en KB, aquí 4 MB).
netsh advfirewall set currentprofile logging maxfilesize 4096
REM Activa el registre de connexions bloquejades pel tallafoc.
netsh advfirewall set currentprofile logging droppedconnections enable
REM Configura el perfil públic del tallafoc per bloquejar totes les connexions entrants i permetre les sortints.
netsh advfirewall set publicprofile firewallpolicy blockinboundalways,allowoutbound
REM Afegeix una regla al tallafoc que permet rebre pings (ICMP Echo Request) només des de la IP 10.95.9.8 (Zabbix Proxy).
netsh advfirewall firewall add rule name="Allow Ping from Zabbix Proxy" protocol=icmpv4:8,any dir=in action=allow remoteip=10.0.0.33
REM Activa la protecció de xarxa de Microsoft Defender, que bloqueja connexions a dominis/IPs maliciosos coneguts.
Set-MpPreference -EnableNetworkProtection Enabled