gedankensplitter/windows_hardening.md

## Windows Hardening

- ref: https://github.com/carlospolop/PEASS-ng
- ref: https://github.com/ hardeningKitty/


### Bitlocker PIN
#### ref
- ref: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures?WT.mc_id=EM-MVP-5003177
- ref: https://pulsesecurity.co.nz/articles/TPM-sniffing
- ref: https://dys2p.com/de/2021-12-tamper-evident-protection.html
- ref: https://github.com/proninyaroslav/blink-comparison
- ref: https://github.com/Aorimn/dislocker
- ref: https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc

#### guide
1. activate Bitlocker on systemdrive
2. change gpo for TPM+PIN
    Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke
    Zusätzliche Authentifizierung beim Start anfordern
    TPM-Systemstart-PIN konfigurieren
    Start-PIN bei TPM erforderlich
    ggf Erweiterte PINs für Systemstart zulassen
3. `manage-bde -status`
4. `manage-bde -protectors -add c: -TPMAndPIN` ggf. ist auch die Bitlocker GUI dazu in der Lage
5. `manage-bde -changepin c:`
6. `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
7. `manage-bde -w Drive:` um den freien Speicherplatz zu löschen

### hyper-v 
to boot a archlinux image you need to deactivate in the kernel line the `ibt=off` Kernel Bug 216332

### driver blocklist
#### ref
ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md

### Kernel DMA Schutz
ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/
Grundsätzlich muss die IOMMU aktiv sein.
Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein.
    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]`

In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.
```
The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:


ISA Bridge:
	PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)
```
Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten.
    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]`

#### guide
-												windows hardening

											
										
										
											2022-10-20 09:02:58 +00:00
+								## Windows Hardening
-												minor

											
										
										
											2023-05-07 09:45:26 +00:00
+								- ref: https://github.com/carlospolop/PEASS-ng
 								- ref: https://github.com/ hardeningKitty/
-												small challenges

											
										
										
											2022-10-21 10:47:14 +00:00
 								### Bitlocker PIN
 								#### ref
-												minor

											
										
										
											2023-05-07 09:45:26 +00:00
+								- ref: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures?WT.mc_id=EM-MVP-5003177
 								- ref: https://pulsesecurity.co.nz/articles/TPM-sniffing
 								- ref: https://dys2p.com/de/2021-12-tamper-evident-protection.html
 								- ref: https://github.com/proninyaroslav/blink-comparison
 								- ref: https://github.com/Aorimn/dislocker
 								- ref: https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc
-												windows hardening

											
										
										
											2022-10-20 09:02:58 +00:00
-												small challenges

											
										
										
											2022-10-21 10:47:14 +00:00
+								#### guide
-												windows hardening

											
										
										
											2022-10-20 09:02:58 +00:00
+. activate Bitlocker on systemdrive
 . change gpo for TPM+PIN
 								    Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke
 								    Zusätzliche Authentifizierung beim Start anfordern
 								    TPM-Systemstart-PIN konfigurieren
 								    Start-PIN bei TPM erforderlich
 								    ggf Erweiterte PINs für Systemstart zulassen
 . `manage-bde -status`
 . `manage-bde -protectors -add c: -TPMAndPIN` ggf. ist auch die Bitlocker GUI dazu in der Lage
 . `manage-bde -changepin c:`
 . `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
-												small challenges

											
										
										
											2022-10-21 10:47:14 +00:00
+. `manage-bde -w Drive:` um den freien Speicherplatz zu löschen
-												hyper-v archlin ux bug

											
										
										
											2023-04-12 09:02:04 +00:00
+								### hyper-v
 								to boot a archlinux image you need to deactivate in the kernel line the `ibt=off` Kernel Bug 216332
-												small challenges

											
										
										
											2022-10-21 10:47:14 +00:00
 								### driver blocklist
 								#### ref
 								ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md
-												Kernel DMA protection whitelist

											
										
										
											2023-01-21 13:43:55 +00:00
+								### Kernel DMA Schutz
 								ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/
 								Grundsätzlich muss die IOMMU aktiv sein.
 								Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein.
 								    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]`
 								In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.
 								```
 								The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:
 								ISA Bridge:
 									PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)
 								```
 								Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten.
 								    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]`
-												small challenges

											
										
										
											2022-10-21 10:47:14 +00:00
 								#### guide