Hardening de Windows 11 para Estacoes de Trabalho de Alto Risco

Uma estacao de pentester comprometida e um pesadelo regulatorio: chaves SSH de clientes, capturas de credenciais, payloads assinados e relatorios sob NDA convivem na mesma maquina. Na Basilisk OffSec, tratamos cada laptop Windows 11 como um endpoint hostil ate prova em contrario. Nesta nota documentamos o baseline que rodamos em producao desde marco de 2026: ASR rules em modo block, Credential Guard com VBS reforcado, AppLocker para o perimetro de usuario e WDAC para o kernel. O resultado nao e bonito de configurar, mas reduziu de forma mensuravel a superficie que mapeamos em Bypass de AMSI e ETW para Pesquisa Defensiva: O que Blue Teams Devem Saber durante nossos proprios exercicios internos.

Comecamos pelo hardware. Exigimos TPM 2.0 ativo, Secure Boot com chaves customizadas, DMA protection habilitado e firmware com Intel Boot Guard ou AMD Platform Secure Boot conforme o vendor. Sem isso, qualquer politica de software vira teatro. O laptop padrao e um ThinkPad P14s Gen 5 ou um Surface Laptop 7, ambos com SSD criptografado em modo XTS-AES 256 via BitLocker e PIN de pre-boot de 8 digitos minimo. A chave de recuperacao vive em um cofre offline da equipe, nao em conta Microsoft. Para quem quer comparar a abordagem com Linux, escrevemos Hardening de Linux Servidor: CIS Benchmark Aplicado sem Quebrar Producao no mesmo padrao operacional.

Credential Guard e VBS sao a primeira camada de software que ativamos via Group Policy: Device Guard, Virtualization Based Security, Secure Launch e HVCI obrigatorios. Em paralelo, LSASS roda como PPL com RunAsPPL=1 no registry e auditoria de acesso ligada. Em testes internos, isso quebrou mimikatz convencional, comgost e dumps via comsvcs.dll sem precisar de EDR. O LSA Protection bloqueou 100% das tentativas de injecao que reproduzimos a partir de Persistencia em Windows: 10 Tecnicas Documentadas e suas Contramedidas. O custo: aproximadamente 4% de overhead de CPU em workloads de compilacao Rust pesados, medido com nosso pipeline de build do Sliver custom.

ASR (Attack Surface Reduction) vem em seguida e e onde a maioria das equipes hesita. Habilitamos as 16 regras em modo block, nao audit. Sim, isso quebra Office macros, child processes do WMI, execucao de scripts ofuscados e USB nao confiavel. Mantemos uma OU separada chamada 'OffSec-Tools' onde algumas regras ficam em audit para a maquina de laboratorio do pesquisador que precisa rodar Caldera, como descrito em Adversary Emulation com Caldera e MITRE ATT&CK em Lab Corporativo. Para o resto da frota, a regra D4F940AB-401B-4EFC-AADC-AD5F3C50688A (block Office child processes) sozinha derrubou 73% dos initial access que simulamos via Initial Access Simulado: Macros, LNK e ISO em Lab Windows 11 Isolado.

AppLocker e WDAC trabalham em camadas distintas. AppLocker controla user-mode com listas por publisher e path, ideal para barrar o ZIP suspeito que o usuario baixou em Downloads. WDAC controla kernel e drivers via politica assinada com nosso certificado EV, com Microsoft Recommended Block Rules importadas em janeiro de 2026. Geramos a politica base com New-CIPolicy em modo audit por 30 dias, coletamos os event IDs 3076/3077, refinamos e movemos para enforce. O resultado: drivers vulneraveis catalogados em loldrivers.io, incluindo os usados em rotinas de evasao que cobrimos em Evasao de EDR para Pesquisa: Direct Syscalls Explicados sem Romantizacao, simplesmente nao carregam. Apenas binarios assinados pela MS, Lenovo, e nossos hashes internos rodam.

Defender entra como ultima camada com Tamper Protection, Cloud Block Level alto, PUA em block, Network Protection ligado e Controlled Folder Access cobrindo Documentos, Desktop e o diretorio de relatorios. Integramos os eventos com nosso pipeline Sigma+Elastic descrito em Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao, com foco em alertas de modificacao de politica WDAC, criacao de servico via sc.exe e acesso a LSASS handles 0x1010. Em 90 dias rodando essa stack em 47 estacoes, tivemos zero comprometimentos confirmados e 12 alertas de alto sinal, dois deles foram tentativas reais de drive-by durante engagements de bug bounty.

O takeaway pratico: nao tente ligar tudo de uma vez. Rode 30 dias em audit, exporte os event logs para um SIEM, ajuste exclusoes minimas e so entao mova para block. Documente cada exclusao com ticket, owner e data de revisao trimestral. Hardening que ninguem revisa apodrece em seis meses. Se voce esta comecando do zero hoje, ative nesta ordem: BitLocker com PIN, Credential Guard, LSA PPL, ASR em block, AppLocker, WDAC audit, WDAC enforce. Cada passo sozinho ja paga o trabalho.