54 lines
2.5 KiB
Markdown
54 lines
2.5 KiB
Markdown
## Windows Hardening
|
||
|
||
- ref: https://github.com/carlospolop/PEASS-ng
|
||
- ref: https://github.com/ hardeningKitty/
|
||
|
||
|
||
### Bitlocker PIN
|
||
#### ref
|
||
- ref: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures?WT.mc_id=EM-MVP-5003177
|
||
- ref: https://pulsesecurity.co.nz/articles/TPM-sniffing
|
||
- ref: https://dys2p.com/de/2021-12-tamper-evident-protection.html
|
||
- ref: https://github.com/proninyaroslav/blink-comparison
|
||
- ref: https://github.com/Aorimn/dislocker
|
||
- ref: https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc
|
||
|
||
#### guide
|
||
1. activate Bitlocker on systemdrive
|
||
2. change gpo for TPM+PIN
|
||
Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung – Betriebssystemlaufwerke
|
||
Zusätzliche Authentifizierung beim Start anfordern
|
||
TPM-Systemstart-PIN konfigurieren
|
||
Start-PIN bei TPM erforderlich
|
||
ggf Erweiterte PINs für Systemstart zulassen
|
||
3. `manage-bde -status`
|
||
4. `manage-bde -protectors -add c: -TPMAndPIN` ggf. ist auch die Bitlocker GUI dazu in der Lage
|
||
5. `manage-bde -changepin c:`
|
||
6. `manage-bde -protectors -add c: -TPM`` to 'remove' the PIN
|
||
7. `manage-bde -w Drive:` um den freien Speicherplatz zu löschen
|
||
|
||
### hyper-v
|
||
to boot a archlinux image you need to deactivate in the kernel line the `ibt=off` Kernel Bug 216332
|
||
|
||
### driver blocklist
|
||
#### ref
|
||
ref: https://github.com/eclypsium/Screwed-Drivers/blob/master/DRIVERS.md
|
||
|
||
### Kernel DMA Schutz
|
||
ref: https://forum.xda-developers.com/t/fix-un-allowed-dma-capable-bus-device-s-detected.4321643/
|
||
Grundsätzlich muss die IOMMU aktiv sein.
|
||
Einzelne PCI/PCIe Geräte können in einer Whitelist/Blacklist hinterlegt sein.
|
||
`[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\Default\]`
|
||
|
||
In der Ereignisanzeige unter Bitlocker-API kann das Event 4122 gefunden werden.
|
||
```
|
||
The following DMA (Direct Memory Access) capable devices are not declared as protected from external access, which can block security features such as BitLocker automatic device encryption:
|
||
|
||
|
||
ISA Bridge:
|
||
PCI\VEN_8086&DEV_A146 (Intel(R) 100 Series/C230 Series Chipset Family LPC Controller (Q170) - A146)
|
||
```
|
||
Der Registry-Pfad ist nicht beschreibbar und anscheinend fehlt dieser alte Chipsatz. Man kann sicher allerdings an Besitzer eintragen, sich dann die Rechte geben, Name und Gerätepfad eintragen, Rechte wieder zurück geben und neustarten.
|
||
`[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses\]`
|
||
|
||
#### guide |