## Windows Hardening

- ref: https://github.com/carlospolop/PEASS-ng
- ref: https://github.com/ hardeningKitty/


### Bitlocker PIN
#### ref
- ref: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures?WT.mc_id=EM-MVP-5003177
- ref: https://pulsesecurity.co.nz/articles/TPM-sniffing
- ref: https://dys2p.com/de/2021-12-tamper-evident-protection.html
- ref: https://github.com/proninyaroslav/blink-comparison
- ref: https://github.com/Aorimn/dislocker
- ref: https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc

#### guide
1. activate Bitlocker on systemdrive
2. change gpo for TPM+PIN
    Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke
    Zusätzliche Authentifizierung beim Start anfordern
    TPM-Systemstart-PIN konfigurieren
    Start-PIN bei TPM erforderlich
    ggf Erweiterte PINs für Systemstart zulassen
3. `manage-bde -status`
4. `manage-bde -protectors -add c: -TPMAndPIN` ggf. ist auch die Bitlocker GUI dazu in der Lage
5. `manage-bde -changepin c:`
6. `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
7. `manage-bde -w Drive:` um den freien Speicherplatz zu löschen

### hyper-v 
to boot a archlinux image you need to deactivate in the kernel line the `ibt=off` Kernel Bug 216332

### driver blocklist
#### ref
ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md

### Kernel DMA Schutz
ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/
Grundsätzlich muss die IOMMU aktiv sein.
Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein.
    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]`

In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.
```
The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:


ISA Bridge:
	PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)
```
Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten.
    `[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]`

#### guide