Windows 11 Hardening fuer Hochrisiko Arbeitsplaetze

Eine kompromittierte Pentester Workstation ist ein regulatorischer Albtraum: Kunden SSH Schluessel, abgefangene Credentials, signierte Payloads und Berichte unter NDA teilen sich dieselbe Platte. Bei Basilisk OffSec behandeln wir jedes Windows 11 Laptop bis zum Beweis des Gegenteils als feindlichen Endpunkt. Diese Notiz dokumentiert das Baseline, das wir seit Maerz 2026 produktiv fahren: ASR Regeln im Block Modus, Credential Guard mit verstaerktem VBS, AppLocker fuer den User Mode Perimeter und WDAC fuer den Kernel. Die Konfiguration ist kein Vergnuegen, hat aber die Angriffsflaeche, die wir in AMSI- und ETW-Bypass fuer Defensive Forschung: Was Blue Teams Wissen Sollten kartiert haben, messbar reduziert.

Wir starten mit der Hardware. Wir verlangen aktives TPM 2.0, Secure Boot mit eigenen Schluesseln, aktivierten DMA Schutz und Firmware mit Intel Boot Guard oder AMD Platform Secure Boot je nach Hersteller. Ohne dieses Fundament ist jede Softwarepolitik nur Theater. Standard Laptop ist ein ThinkPad P14s Gen 5 oder ein Surface Laptop 7, beide mit SSD in XTS-AES 256 ueber BitLocker verschluesselt und Pre Boot PIN von mindestens 8 Stellen. Der Recovery Key liegt in einem offline Team Tresor, niemals im Microsoft Konto. Wer den Linux Vergleich sucht, findet Linux-Server-Hardening: CIS Benchmark Anwenden Ohne die Produktion zu Zerlegen nach demselben operativen Standard.

Credential Guard und VBS sind die erste Softwareschicht, die wir via Group Policy aktivieren: Device Guard, Virtualization Based Security, Secure Launch und HVCI sind Pflicht. Parallel laeuft LSASS als PPL mit RunAsPPL=1 in der Registry und aktivem Zugriffsaudit. In internen Tests hat das gewoehnliches mimikatz, comgost und comsvcs.dll Dumps gebrochen, ganz ohne EDR. LSA Protection blockierte 100 Prozent der Injection Versuche, die wir aus Windows-Persistenz: 10 Dokumentierte Techniken und ihre Gegenmassnahmen reproduziert haben. Kosten: etwa 4 Prozent CPU Overhead bei schweren Rust Builds, gemessen an unserer Sliver Custom Build Pipeline.

ASR (Attack Surface Reduction) folgt als naechstes und genau hier zoegern die meisten Teams. Wir aktivieren alle 16 Regeln im Block Modus, nicht im Audit. Ja, das bricht Office Makros, WMI Child Prozesse, obfuskierte Skriptausfuehrung und nicht vertrauenswuerdige USB Sticks. Wir halten eine separate OU 'OffSec-Tools', in der einige Regeln im Audit bleiben fuer die Laborkiste des Forschers, der Caldera braucht, wie in Adversary Emulation mit Caldera und MITRE ATT&CK im Unternehmenslab beschrieben. Fuer den Rest der Flotte hat allein die Regel D4F940AB-401B-4EFC-AADC-AD5F3C50688A (block Office child processes) 73 Prozent der Initial Access Vektoren aus Initial Access Simuliert: Makros, LNK und ISO im Isolierten Windows-11-Lab eliminiert.

AppLocker und WDAC arbeiten in unterschiedlichen Schichten. AppLocker steuert den User Mode mit Publisher und Pfad Allowlists, ideal um das verdaechtige ZIP zu blockieren, das ein Nutzer gerade in Downloads abgelegt hat. WDAC steuert Kernel und Treiber ueber eine signierte Policy mit unserem EV Zertifikat, mit den im Januar 2026 importierten Microsoft Recommended Block Rules. Die Basis Policy generieren wir mit New-CIPolicy 30 Tage im Audit, sammeln Event IDs 3076 und 3077, verfeinern und gehen erst dann in Enforce. Ergebnis: verwundbare Treiber aus loldrivers.io, inklusive jener aus den Evasion Routinen in EDR-Umgehung fur Forschung: Direct Syscalls Erklart ohne Romantik, laden schlicht nicht mehr. Nur Binaries mit MS, Lenovo oder unseren internen Hashes laufen.

Defender kommt als letzte Schicht mit Tamper Protection, Cloud Block Level hoch, PUA auf Block, aktivem Network Protection und Controlled Folder Access ueber Dokumente, Desktop und das Reports Verzeichnis. Die Events fliessen in unsere Sigma plus Elastic Pipeline aus Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel, mit Fokus auf Alerts fuer WDAC Policy Aenderungen, Service Anlage via sc.exe und LSASS Handle Zugriffe mit 0x1010. In 90 Tagen Betrieb auf 47 Workstations hatten wir null bestaetigte Kompromittierungen und 12 hochsignifikante Alerts, zwei davon echte Drive By Versuche waehrend Bug Bounty Engagements.

Praktisches Takeaway: nicht alle Schalter auf einmal umlegen. Erst 30 Tage Audit, Logs in ein SIEM, minimale Ausnahmen tunen und erst dann auf Block schalten. Jede Ausnahme bekommt ein Ticket, einen Owner und ein quartalsweises Review Datum. Hardening, das niemand pflegt, verrottet in sechs Monaten. Wer heute bei null startet, aktiviert in dieser Reihenfolge: BitLocker mit PIN, Credential Guard, LSA PPL, ASR im Block, AppLocker, WDAC Audit, WDAC Enforce. Jeder Schritt bezahlt sich schon allein.