coelner/gedankensplitter
1
0
Fork 0
Code Pull Requests Releases Activity
master
gedankensplitter/windows_hardening.md
coelner 697e979857 minor
2023-05-07 11:45:26 +02:00

2.5 KiB
Raw Permalink Blame History

Windows Hardening

Bitlocker PIN

ref

guide

  1. activate Bitlocker on systemdrive
  2. change gpo for TPM+PIN Computerkonfiguration Administrative Vorlagen Windows-Komponenten BitLocker-Laufwerksverschlüsselung Betriebssystemlaufwerke Zusätzliche Authentifizierung beim Start anfordern TPM-Systemstart-PIN konfigurieren Start-PIN bei TPM erforderlich ggf Erweiterte PINs für Systemstart zulassen
  3. manage-bde -status
  4. manage-bde -protectors -add c: -TPMAndPIN ggf. ist auch die Bitlocker GUI dazu in der Lage
  5. manage-bde -changepin c:
  6. `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
  7. manage-bde -w Drive: um den freien Speicherplatz zu löschen

hyper-v

to boot a archlinux image you need to deactivate in the kernel line the ibt=off Kernel Bug 216332

driver blocklist

ref

ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md

Kernel DMA Schutz

ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/ Grundsätzlich muss die IOMMU aktiv sein. Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein. [Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]

In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.

The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:


ISA Bridge:
	PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)

Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten. [Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]

guide