title: Windows 10 Boot Hardening categories: [checklists]
Weitere Infos unter: https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process
Secure Boot verhindert dass andere Betriebssysteme (außer Windows) gebootet werden können. Dadurch wird z.B. verhindert dass Malware/Rootkits den existierenden Windows Bootloader überschreiben und Schadcode ausführen. Dieses Feature sollte im BIOS unbedingt aktiviert werden.
Die Boot Reihenfolge sollte dahingehend geändert werden dass zuerst von der Festplatte gebootet wird und nicht von einer CD/DVD.
Es sollte ein BIOS Passwort vergeben werden um sicherszustellen dass nicht von einem anderen Medium gebootet werden kann. Zusätzlich können andere Sicherheitsmaßnahmen wie SecureBoot von einem Angreifer dadurch nicht ausgeschaltet werden.
Über das feature Intel AMT¹ (Intel Active Management Technology) können per remote Zugriff funktionen der Intel Management Engine (ME) genutzt werden. Darunter fallen features wie das umgehen des BIOS passwords. Das standard Passwort von Intel AMT muss geändert werden. Besser noch, sollte AMT komplett über MEBX² deaktiviert werden. Das deaktivieren von Intel AMT über das reguläre BIOS oder per Windows Gruppenrichtlinien ist nicht ausreichend.
¹ https://en.wikipedia.org/wiki/Intel_Active_Management_Technology ² Intel Management Engine BIOS Extension
Bitlocker ist ein Data-Protection Feature von Microsoft welches die Festplatte eines Computers verschlüsselt und somit unauthorisierten Zugriff auf die Daten verhindert.
Wird Bitlocker im Transparent Mode genutzt, bedeutet das, dass der Benutzer keinen PIN/Password beim booten des Computers eingeben muss. Dabei wird der encryption key im TPM (Trusted Platform Module) des Geräts gespeichert. Das bedeutet ein Angreiffer kann ein ausgeschaltetes Gerät ohne weitere Informationen booten. Beim booten wird die Festplatte entschlüsselt, wofür der dafür genutzte Schlüssel im Arbeitsspeicher present sein muss. Dadurch können z.b. DMA Angriffe (Direct Memory Access) durchgeführt werden um an den Schlüssel zu kommen.
Bei DMA Angriffe werden DMA-Schnitstellen wie Firewire oder Thunderbold genutzt um den Schlüssel zur Laufzeit aus dem Arbeitsspeicher auszulesen und damit die gesamte Festplatte zu entschlüsseln. Falls solche Schnittstellen nicht verfügbar sind, kann ein Angreifer auch das Gerät öffnen und auf interne DMA Schnittstellen wie PCI-Express zugreifen um den Angriff durchzuführen.
Bitlocker bietet alternativen zum oben gennanten Transparent Mode, wobei folgede Möglichkeiten nativ von Bitlocker unterstüzt werden:
Es wird in diesem Fall "TPM with PIN" oder "TPM with USB & PIN" empfohlen, da bei diess Verfahren jeweils noch ein Zusätzlicher Faktor benötigt wird und die Gefahren wie sie beim Transparent Mode vorliegen ausschließen. Allerdings erfordert die Option mit PIN & USB einen Mehraufwand in Sachen Support (Benutzer verliert USB Stick, ...)
Mit Hilfe von "runAs" könnne Programme mit dem lokalen Adminsitrator Account installiert werden, auch im Kontext des aktuell angemeldeteten benutzers. Dafür bietet "runAs" den Kommandozeilen Parameter '/nouser' um nicht das Benutzerprofil des Administrators zu laden, sondern das aktuelle Profil zu benutzen. Zusätzlich können mit dem Paramete '/env' auch die jeweiligen Umgebungsvariablen des bereits angemeldeten Benutzers übernommen werden.
Um solche UAC Prompts zu loggen, kann das sogenannte UAC Auditing aktiviert werden. Dafür aktiviert man in den Policies unter:
\Security Settings\Local Policies\Audit Policy
die folgenden Policies (Success Attempts):
Beim auslösen eines UAC Prompts werden folgende Event IDS ausgelöst.
Das Event sieht wie folgt aus:
Um sichere lokale Administrator Accounts zu garantieren, empfihelt es sich die LAPS Lösung von Microsoft genauer anzuschauen. Dabei werden lokale Administrator Accounts im AD angelegt, für jedes Gerät in der Domäne getrennt, wobei Passwörter automatisch regelmäßig geändert werden. Dies schützt z.B. vor Pass-the-Hash angriffen. Weitere Informationen finden Sie unter: