Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Windows Endpoint Härtung: Workstations und Laptops absichern - Betriebssystem-Sicherheit und Systemhaertung
Netzwerk- & Endpoint Security

Windows Endpoint Härtung: Workstations und Laptops absichern

Windows-Workstations sind das häufigste Einfallstor für Angreifer. Dieser praxisorientierte Guide erklärt die wichtigsten Härtungsmaßnahmen für Windows 10/11 Endpoints: LAPS, Credential Guard, AppLocker, Attack Surface Reduction Rules, BitLocker, Windows Defender Konfiguration, und wie man diese per Intune oder GPO unternehmensweit ausrollt.

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
11 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Windows-Workstations sind das häufigste Einfallstor für Angreifer, doch eine konsequente Härtung schließt diese Lücken effektiv. Beginnen Sie mit einer Microsoft Security Baseline oder der strengeren CIS Benchmark Level 1, die Sie einfach per Intune oder GPO ausrollen. Implementieren Sie Windows LAPS, um für jeden PC ein einzigartiges, rotierendes lokales Administratorpasswort zu generieren, was die Ausbreitung von Pass-the-Hash-Angriffen verhindert. Aktivieren Sie zudem Credential Guard, um NTLM-Hashes und Kerberos-Tickets in einer isolierten Hyper-V-Umgebung zu schützen, wodurch Tools wie Mimikatz wirkungslos werden. Fügen Sie privilegierte Accounts der "Protected Users"-Gruppe hinzu, um die Nutzung von NTLM zu unterbinden und die Sicherheit weiter zu erhöhen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Windows-Workstations sind die Ausgangspunkte der meisten Ransomware-Angriffe. Ein Mitarbeiter öffnet einen Phishing-Anhang - und von dort beginnt die Ausbreitung. Die gute Nachricht: Windows 11 bringt enorm viele Härtungsoptionen mit. Die schlechte Nachricht: Die meisten sind im Standard nicht aktiviert.

Windows Security Baseline: Ausgangspunkt

Microsoft Security Baseline vs. CIS Benchmark

Microsoft Security Baseline (kostenlos, offiziell)

Download unter: https://www.microsoft.com/en-us/download/details.aspx?id=55319

Das Paket enthält GPO-Vorlagen und den Policy Analyzer. Anwendungsgebiete: Windows 11, Windows Server 2022, Edge, M365 Apps.

CIS Benchmark Level 1 (empfohlen)

Strenger als die Microsoft Baseline, aber praxistauglich für Unternehmensumgebungen. Level 1 ist kompatibel mit normalen Unternehmensumgebungen; Level 2 bietet maximale Sicherheit, kann aber die Usability einschränken.

Download unter: cisecurity.org/benchmark/microsoft_windows_desktop

Baseline mit Intune ausrollen:

Intune → Endpoint Security → Security Baselines →
"Windows 10/11 MDM Security Baseline" → Assign to All Devices

Baseline mit GPO ausrollen:

# GPO-Backup importieren:
Import-GPO -BackupGpoName "Windows11_Security_Baseline" `
  -Path "C:\Baselines\WS2019\" `
  -TargetName "AWARE7 Endpoint Baseline" `
  -CreateIfNeeded
# Dann auf OU "Workstations" verknüpfen

Lokale Administratorrechte: LAPS

Das Problem ohne LAPS

Wenn alle Workstations einen lokalen Administrator “Administrator” mit demselben Passwort haben, reicht ein einziger kompromittierter Rechner: Der Angreifer kennt das Passwort einer Workstation - und damit alle. Pass-the-Hash mit dem Hash des lokalen Admins funktioniert überall.

Windows LAPS (in Windows 11 22H2+ integriert)

Windows LAPS generiert pro PC ein einzigartiges, zufälliges Passwort und speichert es verschlüsselt in Active Directory oder Entra ID. Es rotiert automatisch nach einer konfigurierbaren Zeit (z. B. alle 30 Tage).

Aktivierung via Intune:

Intune → Endpoint Security → Account Protection →
"Local admin password solution (Windows LAPS)"

Einstellungen:
  Backup directory: Azure Active Directory (für Entra-joined) oder AD
  Password age days: 30
  Administrator account name: leer (standardmäßiger Administrator-Account)
  Password length: 20 (mind. 14 empfohlen)
  Password complexity: Large letters + small letters + numbers + special

Passwort abfragen (für IT-Support):

# Entra ID (Azure Portal):
# Entra ID → Devices → {Gerät} → Local administrator password

# PowerShell:
Get-LapsAADPassword -DeviceIds "PC-ACCOUNTING-01" -AsPlainText

# Wer darf das Passwort abrufen?
# Intune → Devices → Device Settings →
# "Who can see local administrator passwords"
# → Nur IT-Admins! Help-Desk nur mit expliziter Genehmigung.

Legacy LAPS (für ältere Systeme):

msiexec /i LAPS.x64.msi
Import-Module AdmPwd.PS
Update-AdmPwdADSchema
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Workstations,DC=firma,DC=de"

Credential Guard und Angreiferresistenz

Windows Credential Guard

Credential Guard lagert NTLM-Hashes und Kerberos-Tickets in eine isolierte VM (Hyper-V). Mimikatz kann LSASS damit nicht mehr dumpen, und Pass-the-Hash mit Domänen-Credentials ist nicht mehr möglich.

Voraussetzungen:

  • UEFI und Secure Boot aktiviert
  • Hyper-V (wird automatisch aktiviert)
  • Windows 11 Enterprise oder Education
  • TPM 2.0 empfohlen

Aktivierung per GPO:

Computer Config → Administrative Templates → System → Device Guard:
"Turn on Virtualization Based Security" → Enabled
  Virtualization Based Protection of Code Integrity: Enabled with UEFI lock
  Credential Guard Configuration: Enabled with UEFI lock

Aktivierung per Intune:

Endpoint Security → Account Protection → Credential Guard:
  Credential Guard: Enable with UEFI lock

Verifikation:

msinfo32 → System Summary → "Virtualization-based security Services Running"
→ Sollte enthalten: "Credential Guard"

Protected Users Security Group (Active Directory)

Mitglieder dieser Gruppe können kein NTLM mehr verwenden - ausschließlich Kerberos AES256. Credential Delegation ist deaktiviert (kein Pass-the-Hash möglich), und Credentials werden nicht im LSASS-Cache gespeichert.

Empfehlung: Alle privilegierten Accounts in Protected Users aufnehmen.

Add-ADGroupMember -Identity "Protected Users" -Members "Administrator","sqlsvc"

Warnung: Vor der Migration prüfen, ob Dienste noch NTLM benötigen.

Attack Surface Reduction Rules

Was ASR-Regeln tun

ASR-Regeln blockieren bestimmte Angriffstechniken auf Systemebene - unabhängig von Antivirus-Signaturen. Windows Defender for Endpoint bietet 16 Regeln für verschiedene Angriffsvektoren.

Kritische ASR-Regeln (alle auf “Block” setzen)

1. Block credential stealing from LSASS GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b0 - verhindert Mimikatz-artigen LSASS-Dump

2. Block Office apps from injecting code into other processes GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 - Word/Excel kann keine Malware in andere Prozesse injizieren

3. Block Office apps from creating executable content GUID: 3b576869-a4ec-4529-8536-b80a7769e899 - keine .exe oder .dll aus Word-Makros

4. Block all Office apps from creating child processes GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a - Word/Excel können kein cmd.exe oder PowerShell starten

5. Block execution of potentially obfuscated scripts GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc - obfuskierte PowerShell-Angriffe blockieren

6. Block JavaScript or VBScript from launching downloaded executable content GUID: d3e037e1-3eb8-44c8-a917-57927947596d - Drive-by-Download via Script blockieren

7. Use advanced protection against ransomware GUID: c1db55ab-c21a-4637-bb3f-a12568109d35 - verhaltensbasierte Ransomware-Erkennung

Deployment via Intune (JSON)

{
  "EnableNetworkProtection": "enabled",
  "AttackSurfaceReductionRules": {
    "9e6c4e1f-7d60-472f-ba1a-a39ef669e4b0": "block",
    "75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84": "block",
    "3b576869-a4ec-4529-8536-b80a7769e899": "block",
    "d4f940ab-401b-4efc-aadc-ad5f3c50688a": "block",
    "5beb7efe-fd9a-4556-801d-275e5ffc04cc": "block",
    "d3e037e1-3eb8-44c8-a917-57927947596d": "block",
    "c1db55ab-c21a-4637-bb3f-a12568109d35": "block"
  }
}

Deployment-Strategie:

  1. Alle Regeln auf “Audit” setzen und 2 Wochen beobachten (was würde geblockt?)
  2. Nicht-kritische Regeln auf “Block” umstellen
  3. Alle Regeln auf “Block” (nach erfolgreichen Tests in einer Pilotgruppe)

AppLocker / WDAC: Anwendungskontrolle

Was ist Application Control?

Application Control erlaubt ausschließlich zugelassene Programme. Ein Angreifer kann ein Tool auf den PC kopieren - aber nicht ausführen. Dies verhindert doppelte Dateiendungen wie rechnung.pdf.exe sowie Living-off-the-Land-Angriffe.

AppLocker vs. Windows Defender Application Control (WDAC)

AppLocker:

  • Älter, GPO-basiert
  • Gut für AD-Umgebungen ohne Intune
  • Regeltypen: Path, Hash, Publisher (Signatur)
  • Mindestens Windows 10 Education/Enterprise erforderlich
GPO-Konfiguration:
Computer Config → Windows Settings → Security Settings →
Application Control Policies → AppLocker
→ Konfigurierte Regeln + "Enforce Rules" (statt Audit Only)

Empfohlene Default-Regeln:
Executable Rules → Allow: %PROGRAMFILES%, %WINDIR% (für Admins: alles)
Block: %APPDATA%, %TEMP% (Malware landet oft hier!)
DLL Rules → Allow: %PROGRAMFILES%, %WINDIR%

WDAC (moderner, Intune-fähig):

  • Funktioniert auch ohne Active Directory
  • Kernel-Mode-Schutz (stärker als AppLocker)
  • Kombination mit Intune empfohlen
# WDAC-Policy erstellen:
New-CIPolicy `
  -FilePath "C:\Policies\WDAC-Policy.xml" `
  -Level Publisher `
  -Fallback FilePublisher,Hash `
  -UserPEs

ConvertFrom-CIPolicy -XmlFilePath "C:\Policies\WDAC-Policy.xml" `
  -BinaryFilePath "C:\Policies\WDAC-Policy.bin"

# In Intune ausrollen:
# Intune → Endpoint Security → Attack Surface Reduction →
# "App and browser isolation"

BitLocker und Festplattenverschlüsselung

Voraussetzungen prüfen

# TPM-Status:
Get-Tpm | Select TpmPresent, TpmReady, TpmEnabled, TpmActivated
# TPM sollte Present und Ready sein

BitLocker per GPO konfigurieren

Computer Config → Administrative Templates → Windows Components →
BitLocker Drive Encryption

Kritische Einstellungen:
→ "Require additional authentication at startup": Enabled
  → TPM with startup PIN: KEIN TPM-alone! (Evil-Maid-Attack möglich!)
→ "Choose encryption method and cipher strength": AES-256 XTS
→ "Choose how BitLocker-protected operating system drives can be recovered":
  → Recovery Key in Active Directory speichern (Pflicht!)
  → "Do not enable BitLocker until recovery information is stored to AD"

Recovery Key in Entra ID (für Intune-managed)

Intune → Devices → Configuration → "Endpoint Protection" Template
Windows Encryption:
  Encrypt devices: Require
  BitLocker base settings: Block
  Operating system drive encryption: Require
  Recovery key rotation: Enable rotation on Azure AD-joined devices

Recovery Key abrufen: Entra ID → Devices → {Gerät} → Recovery keys → BitLocker Recovery Key

Pre-Boot PIN (gegen Evil-Maid-Angriffe)

# GPO: "Configure minimum PIN length for startup": 8 (Minimum)
# PowerShell:
manage-bde -protectors -add C: -TPMAndPIN

Ein gestohlener Laptop ist ohne PIN wertlos für den Angreifer. Die Pre-Boot PIN erzeugt jedoch Support-Aufwand durch vergessene PINs. Abwägung: Für Laptops empfohlen, für Desktop-PCs reicht TPM allein.

Windows Defender Konfiguration

Microsoft Defender Antivirus Optimierung

Cloud Protection (Empfehlung: HIGH):

Intune → Endpoint Security → Antivirus → Windows Defender Antivirus
MicrosoftDefenderAntivirus → Cloud → CloudBlockLevel: High
CloudExtendedTimeout: 50 (Sekunden für Cloud-Analyse unbekannter Dateien)

Mit dieser Einstellung werden neue Malware-Samples innerhalb von Minuten erkannt.

Tamper Protection aktivieren - verhindert, dass Malware Defender deaktiviert:

Intune → Endpoint Security → Antivirus → "Tamper Protection": Enable

Exploit Protection:

Intune → Endpoint Security → Attack Surface Reduction →
"Exploit protection settings" (XML import)
Empfehlung: Microsoft ProcessMitigation.xml aus der Security Baseline

Network Protection aktivieren - blockiert Verbindungen zu bekannten Malware-Domains:

Intune: NetworkProtection → "Enable network protection": Block
GPO: Enable network protection mode: Enabled (Block Mode)

Windows Firewall Härtung

Grundkonfiguration per GPO:

Computer Config → Windows Settings → Security Settings →
Windows Defender Firewall with Advanced Security

Alle Profile (Domain, Private, Public):
  Firewall State: ON
  Inbound connections: Block (default)
  Outbound connections: Allow (default)

Kritische Inbound-Block-Regeln:

SMB zwischen Workstations blockieren:
Block: File and Printer Sharing (SMB-In) von Workstation-Subnet (10.0.10.0/24)

RDP zwischen Workstations blockieren:
Block: Remote Desktop (TCP-In) von Workstation-Subnet

NetBIOS deaktivieren:
Block: NetBIOS-SSN (TCP-In)

Windows Firewall Logging aktivieren:

GPO: Firewall → Logging → Log dropped packets: Yes
Log successful connections: Yes
Log file: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Max size: 32768 KB (32 MB)

Härtungs-Checkliste (priorisiert)

Kritisch - sofort umsetzen

  • LAPS aktivieren: lokale Admin-Passwörter werden damit einmalig pro Gerät
  • MFA für alle Benutzerkonten (Entra ID Conditional Access)
  • BitLocker für alle mobilen Geräte (Laptops, Tablets)
  • Windows Defender Tamper Protection aktivieren
  • ASR Rule “Block LSASS credential stealing” aktivieren
  • SMB zwischen Workstations per Firewall blockieren
  • AutoRun/AutoPlay deaktivieren:
Computer Config → Admin Templates → Windows Components →
AutoPlay Policies → "Turn off AutoPlay": Enabled (All Drives)

Hoch - innerhalb von 30 Tagen

  • Microsoft Security Baseline per Intune ausrollen
  • Credential Guard aktivieren (Windows 11 Enterprise)
  • Alle 7 kritischen ASR-Regeln aktivieren
  • Network Protection aktivieren
  • PowerShell Execution Policy setzen:
Set-ExecutionPolicy RemoteSigned -Scope MachinePolicy
  • Protected Users Gruppe für privilegierte Accounts

Mittel - innerhalb von 90 Tagen

  • AppLocker oder WDAC für Anwendungskontrolle einrichten
  • BitLocker Pre-Boot PIN für Laptops konfigurieren
  • USB-Gerätekontrolle einrichten (nur erlaubte USB-Geräte)
  • DNS-over-HTTPS oder DNS-Filter aktivieren:
Intune → Configuration → DNS-over-HTTPS
  • Regelmäßige Access Reviews für lokale Admingruppen
  • Windows Hello for Business (passwortloses Login)

Endpoint-Sicherheit ist keine einmalige Aufgabe. Mit jedem Windows-Update kommen neue Angriffsflächen und neue Schutzfunktionen. AWARE7 hilft beim Aufbau eines systematischen Endpoint-Security-Programms - von der Baseline-Konfiguration bis zu Defender for Endpoint Advanced Hunting.

Endpoint-Sicherheitsberatung anfragen | Penetrationstest Netzwerk

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung