Merge pull request #35 from Harvester57/Harvester57/issue34

Add support for KASAN

Author: Harvester57

AdditionalHardening.admx

@@ -1,8 +1,8 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!--  
   Author: Florian Stosse <florian.stosse@gmail.com>
-  Version: 1.0.36
-  Date: 2024-11-03
+  Version: 1.0.37
+  Date: 2024-11-12
 -->
 <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0"
@@ -13,8 +13,9 @@
   </policyNamespaces>
   <resources minRequiredRevision="1.0" />
   <categories>
-    <!-- Main category -->
+    <!-- Main categories -->
     <category name="Cat_AddHard" displayName="$(string.Cat_AddHard)" />
+    <category name="Cat_Debug" displayName="$(string.Cat_Debug)" />
     <!-- Subcategories -->
     <category name="Network" displayName="$(string.Network)">
       <parentCategory ref="Cat_AddHard" />
@@ -70,6 +71,23 @@
   </categories>
   <policies>
     <!-- Hardening policies section -->
+     <!-- 
+
+
+      DEBUG SETTINGS
+
+
+    -->
+    <policy name="EnableKASAN" class="Machine" displayName="$(string.EnableKASAN)" explainText="$(string.EnableKASAN_Explain)" key="SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" valueName="KasanEnabled">
+      <parentCategory ref="Cat_Debug" />
+      <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
+      <enabledValue>
+        <decimal value="1" />
+      </enabledValue>
+      <disabledValue>
+        <decimal value="0" />
+      </disabledValue>
+    </policy>
     <!-- 
 
 
@@ -78,7 +96,7 @@
 
     -->
     <!-- Launch VBS in Mandatory mode -->
-    <policy name="MandatoryVBS" class="Machine" displayName="$(string.MandatoryVBS)" explainText="$(string.MandatoryVBS_Explain)" key="CurrentControlSet\Control\DeviceGuard" valueName="Mandatory">
+    <policy name="MandatoryVBS" class="Machine" displayName="$(string.MandatoryVBS)" explainText="$(string.MandatoryVBS_Explain)" key="SYSTEM\CurrentControlSet\Control\DeviceGuard" valueName="Mandatory">
       <parentCategory ref="System" />
       <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
       <enabledValue>

CHANGELOG.md

@@ -3,6 +3,12 @@ All notable changes to this project will be documented in this file.
 
 The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/).
 
+## [v1.0.37] - 2024-11-12
+### Added
+- New policy to enable or disable the support for KASAN
+### Fixed
+- Fix the Registry path for the Mandatory VBS flag introduced in v1.0.36
+
 ## [v1.0.36] - 2024-11-03
 ### Added
 - New policy to configure the Mandatory mode for Virtualization-Based Security

en-US/AdditionalHardening.adml

@@ -12,6 +12,7 @@
 At least Windows Server 2008 SP2 or Windows Vista SP2 with KB3174644</string>
       <!-- CATEGORIES -->
       <string id="Cat_AddHard">Additional hardening settings</string>
+      <string id="Cat_Debug">Additional debug-related settings</string>
       <string id="System">Additional system hardening settings</string>
       <string id="Network">Additional network hardening settings</string>
       <string id="DomainControllers">Additional Domain Controllers hardening settings</string>
@@ -347,6 +348,12 @@ Enabling this policy will set the Mandatory flag and force the verification of t
 Enabling this policy with UEFI Lock already enabled wil do nothing.
 
 Disabling this policy will disable the verification of the components, only if the UEFI Lock is not enabled. Otherwise, disabling this policy will do nothing.</string>
+      <string id="EnableKASAN">Enable Kernel Address Sanitizer</string>
+      <string id="EnableKASAN_Explain">The Kernel Address Sanitizer (KASAN) is a bug detection technology supported on Windows kernel drivers that enables you to detect several classes of illegal memory accesses, such as buffer overflows and use-after-free events.
+            
+It requires you to enable KASAN on your system, and recompile your kernel driver with a specific MSVC compiler flag.
+
+This policy controls the support of KASAN in the kernel. Enabling this polic will enable the support of KASAN. Disabling this policy will disable the support of KASAN.</string>
       <string id="CoInstallers">Block drivers co-installers applications</string>
       <string id="CoInstallers_Help">A co-installer is a user-mode Win32 DLL that typically writes additional configuration information to the registry, or performs other installation tasks that require information that is not available when an INF is written.
 

fr-FR/AdditionalHardening.adml

@@ -11,6 +11,7 @@
 Au moins Windows Server 2008 SP2 ou Windows Vista SP2 avec KB3174644</string>
 			<!-- CATEGORIES -->
 			<string id="Cat_AddHard">Paramètres de durcissement supplémentaires</string>
+			<string id="Cat_Debug">Paramètres de débuggage supplémentaires</string>
 			<string id="System">Paramètres de durcissement système</string>
 			<string id="Network">Paramètres de durcissement réseau</string>
 			<string id="DomainControllers">Paramètres de durcissement pour contrôleurs de domaine</string>
@@ -349,6 +350,12 @@ Activer cette politique activera le mode Obligatoire et forcera la vérification
 Activer cette politique si le verrouillage UEFI est actif est sans effet.
 
 Désactiver cette politique désactivera le mode Obligatoire, seulement si le verrouillage UEFI n'est pas activé. Autrement, désactiver cette politique est sans effet.</string>
+			<string id="EnableKASAN">Activer l'assainisseur d'adresses du noyau (KASAN)</string>
+			<string id="EnableKASAN_Explain">L'assainisseur d'adresses du noyau (KASAN) est une technologie de détection de bogues prise en charge sur les pilotes de noyau Windows qui vous permet de détecter plusieurs classes d'accès à la mémoire illégale, telles que les dépassements de mémoire tampon et les événements sans utilisation.
+
+Il vous oblige à activer KASAN sur votre système et à recompiler votre pilote de noyau avec un paramètre de compilation MSVC spécifique.
+
+Cette politique contrôle le support de KASAN au niveau du noyau. Activer cette politique activera le support de KASAN. Désactiver cette politique désactivera le support de KASAN.</string>
 			<string id="CoInstallers">Bloquer l'installation des co-installeurs des pilotes matériels</string>
 			<string id="CoInstallers_Help">Un co-installeur est une librairie Win32 en espace utilisateur qui complète l'installation d'un driver en effectuant des tâches de configuration annexes (écriture Registre, installation d'application additionnelle, etc) non disponibles dans un fichier INF standard.