coelner/gedankensplitter
1
0
Fork 0
Code Pull Requests Releases Activity
de35a55090
gedankensplitter/windows_hardening.md
coelner 697e979857 minor
2023-05-07 11:45:26 +02:00

54 lines
2.5 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

## Windows Hardening
- ref: https://github.com/carlospolop/PEASS-ng
- ref: https://github.com/ hardeningKitty/
### Bitlocker PIN
#### ref
- ref: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures?WT.mc_id=EM-MVP-5003177
- ref: https://pulsesecurity.co.nz/articles/TPM-sniffing
- ref: https://dys2p.com/de/2021-12-tamper-evident-protection.html
- ref: https://github.com/proninyaroslav/blink-comparison
- ref: https://github.com/Aorimn/dislocker
- ref: https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc
#### guide
1. activate Bitlocker on systemdrive
2. change gpo for TPM+PIN
Computerkonfiguration Administrative Vorlagen Windows-Komponenten BitLocker-Laufwerksverschlüsselung Betriebssystemlaufwerke
Zusätzliche Authentifizierung beim Start anfordern
TPM-Systemstart-PIN konfigurieren
Start-PIN bei TPM erforderlich
ggf Erweiterte PINs für Systemstart zulassen
3. `manage-bde -status`
4. `manage-bde -protectors -add c: -TPMAndPIN` ggf. ist auch die Bitlocker GUI dazu in der Lage
5. `manage-bde -changepin c:`
6. `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
7. `manage-bde -w Drive:` um den freien Speicherplatz zu löschen
### hyper-v
to boot a archlinux image you need to deactivate in the kernel line the `ibt=off` Kernel Bug 216332
### driver blocklist
#### ref
ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md
### Kernel DMA Schutz
ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/
Grundsätzlich muss die IOMMU aktiv sein.
Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein.
`[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]`
In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.
```
The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:
ISA Bridge:
PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)
```
Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten.
`[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]`
#### guide
View Git Blame Copy Permalink