Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Windows Endpoint Härtung: Workstations und Laptops absichern - Betriebssystem-Sicherheit und Systemhaertung
Netzwerk- & Endpoint Security

Windows Endpoint Härtung: Workstations und Laptops absichern

Windows-Workstations sind das häufigste Einfallstor für Angreifer. Dieser praxisorientierte Guide erklärt die wichtigsten Härtungsmaßnahmen für Windows 10/11 Endpoints: LAPS, Credential Guard, AppLocker, Attack Surface Reduction Rules, BitLocker, Windows Defender Konfiguration, und wie man diese per Intune oder GPO unternehmensweit ausrollt.

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
11 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Windows-Workstations sind das häufigste Einfallstor für Angreifer, doch eine konsequente Härtung schließt diese Lücken effektiv. Beginnen Sie mit einer Microsoft Security Baseline oder der strengeren CIS Benchmark Level 1, die Sie einfach per Intune oder GPO ausrollen. Implementieren Sie Windows LAPS, um für jeden PC ein einzigartiges, rotierendes lokales Administratorpasswort zu generieren, was die Ausbreitung von Pass-the-Hash-Angriffen verhindert. Aktivieren Sie zudem Credential Guard, um NTLM-Hashes und Kerberos-Tickets in einer isolierten Hyper-V-Umgebung zu schützen, wodurch Tools wie Mimikatz wirkungslos werden. Fügen Sie privilegierte Accounts der "Protected Users"-Gruppe hinzu, um die Nutzung von NTLM zu unterbinden und die Sicherheit weiter zu erhöhen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (8 Abschnitte)

Windows-Workstations sind die Ausgangspunkte der meisten Ransomware-Angriffe. Ein Mitarbeiter öffnet einen Phishing-Anhang - und von dort beginnt die Ausbreitung. Die gute Nachricht: Windows 11 bringt enorm viele Härtungsoptionen mit. Die schlechte Nachricht: Die meisten sind im Standard nicht aktiviert.

Windows Security Baseline: Ausgangspunkt

Microsoft Security Baseline vs. CIS Benchmark

Microsoft Security Baseline (kostenlos, offiziell)

Download unter: https://www.microsoft.com/en-us/download/details.aspx?id=55319

Das Paket enthält GPO-Vorlagen und den Policy Analyzer. Anwendungsgebiete: Windows 11, Windows Server 2022, Edge, M365 Apps.

CIS Benchmark Level 1 (empfohlen)

Strenger als die Microsoft Baseline, aber praxistauglich für Unternehmensumgebungen. Level 1 ist kompatibel mit normalen Unternehmensumgebungen; Level 2 bietet maximale Sicherheit, kann aber die Usability einschränken.

Download unter: cisecurity.org/benchmark/microsoft_windows_desktop

Baseline mit Intune ausrollen: Intune > Endpoint Security > Security Baselines > "Windows 10/11 MDM Security Baseline" > Assign to All Devices.

Baseline mit GPO ausrollen:

# GPO-Backup importieren:
Import-GPO -BackupGpoName "Windows11_Security_Baseline" `
  -Path "C:\Baselines\WS2019\" `
  -TargetName "AWARE7 Endpoint Baseline" `
  -CreateIfNeeded
# Dann auf OU "Workstations" verknüpfen

Lokale Administratorrechte: LAPS

Das Problem ohne LAPS

Wenn alle Workstations einen lokalen Administrator "Administrator" mit demselben Passwort haben, reicht ein einziger kompromittierter Rechner: Der Angreifer kennt das Passwort einer Workstation - und damit alle. Pass-the-Hash mit dem Hash des lokalen Admins funktioniert überall.

Windows LAPS (in Windows 11 22H2+ integriert)

Windows LAPS generiert pro PC ein einzigartiges, zufälliges Passwort und speichert es verschlüsselt in Active Directory oder Entra ID. Es rotiert automatisch nach einer konfigurierbaren Zeit (z. B. alle 30 Tage).

Aktivierung via Intune: Intune > Endpoint Security > Account Protection > "Local admin password solution (Windows LAPS)". Empfohlene Einstellungen:

  • Backup directory: Azure Active Directory (für Entra-joined) oder AD
  • Password age days: 30
  • Administrator account name: leer (standardmäßiger Administrator-Account)
  • Password length: 20 (mind. 14 empfohlen)
  • Password complexity: Large letters + small letters + numbers + special

Passwort abfragen (für IT-Support):

# Entra ID: Entra ID → Devices → {Gerät} → Local administrator password
# PowerShell:
Get-LapsAADPassword -DeviceIds "PC-ACCOUNTING-01" -AsPlainText

# Wer darf das Passwort abrufen?
# Intune → Devices → Device Settings → "Who can see local administrator passwords"
# → Nur IT-Admins! Help-Desk nur mit expliziter Genehmigung.

Legacy LAPS (für ältere Systeme):

msiexec /i LAPS.x64.msi
Import-Module AdmPwd.PS
Update-AdmPwdADSchema
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Workstations,DC=firma,DC=de"

Credential Guard und Angreiferresistenz

Windows Credential Guard

Credential Guard lagert NTLM-Hashes und Kerberos-Tickets in eine isolierte VM (Hyper-V). Mimikatz kann LSASS damit nicht mehr dumpen, und Pass-the-Hash mit Domänen-Credentials ist nicht mehr möglich.

Voraussetzungen:

  • UEFI und Secure Boot aktiviert
  • Hyper-V (wird automatisch aktiviert)
  • Windows 11 Enterprise oder Education
  • TPM 2.0 empfohlen

Aktivierung per GPO: Computer Config > Administrative Templates > System > Device Guard > "Turn on Virtualization Based Security" auf Enabled setzen. Dort "Virtualization Based Protection of Code Integrity" und "Credential Guard Configuration" jeweils auf "Enabled with UEFI lock" stellen.

Aktivierung per Intune: Endpoint Security > Account Protection > Credential Guard > "Enable with UEFI lock".

Verifikation: msinfo32 > System Summary > "Virtualization-based security Services Running" sollte "Credential Guard" enthalten.

Protected Users Security Group (Active Directory)

Mitglieder dieser Gruppe können kein NTLM mehr verwenden - ausschließlich Kerberos AES256. Credential Delegation ist deaktiviert (kein Pass-the-Hash möglich), und Credentials werden nicht im LSASS-Cache gespeichert.

Empfehlung: Alle privilegierten Accounts in Protected Users aufnehmen.

Add-ADGroupMember -Identity "Protected Users" -Members "Administrator","sqlsvc"

Warnung: Vor der Migration prüfen, ob Dienste noch NTLM benötigen.

Attack Surface Reduction Rules

Was ASR-Regeln tun

ASR-Regeln blockieren bestimmte Angriffstechniken auf Systemebene - unabhängig von Antivirus-Signaturen. Windows Defender for Endpoint bietet 16 Regeln für verschiedene Angriffsvektoren.

Kritische ASR-Regeln (alle auf "Block" setzen)

1. Block credential stealing from LSASS GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b0 - verhindert Mimikatz-artigen LSASS-Dump

2. Block Office apps from injecting code into other processes GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 - Word/Excel kann keine Malware in andere Prozesse injizieren

3. Block Office apps from creating executable content GUID: 3b576869-a4ec-4529-8536-b80a7769e899 - keine .exe oder .dll aus Word-Makros

4. Block all Office apps from creating child processes GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a - Word/Excel können kein cmd.exe oder PowerShell starten

5. Block execution of potentially obfuscated scripts GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc - obfuskierte PowerShell-Angriffe blockieren

6. Block JavaScript or VBScript from launching downloaded executable content GUID: d3e037e1-3eb8-44c8-a917-57927947596d - Drive-by-Download via Script blockieren

7. Use advanced protection against ransomware GUID: c1db55ab-c21a-4637-bb3f-a12568109d35 - verhaltensbasierte Ransomware-Erkennung

Deployment via Intune (JSON)

{
  "EnableNetworkProtection": "enabled",
  "AttackSurfaceReductionRules": {
    "9e6c4e1f-7d60-472f-ba1a-a39ef669e4b0": "block",
    "75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84": "block",
    "3b576869-a4ec-4529-8536-b80a7769e899": "block",
    "d4f940ab-401b-4efc-aadc-ad5f3c50688a": "block",
    "5beb7efe-fd9a-4556-801d-275e5ffc04cc": "block",
    "d3e037e1-3eb8-44c8-a917-57927947596d": "block",
    "c1db55ab-c21a-4637-bb3f-a12568109d35": "block"
  }
}

Deployment-Strategie:

  1. Alle Regeln auf "Audit" setzen und 2 Wochen beobachten (was würde geblockt?)
  2. Nicht-kritische Regeln auf "Block" umstellen
  3. Alle Regeln auf "Block" (nach erfolgreichen Tests in einer Pilotgruppe)

AppLocker / WDAC: Anwendungskontrolle

Was ist Application Control?

Application Control erlaubt ausschließlich zugelassene Programme. Ein Angreifer kann ein Tool auf den PC kopieren - aber nicht ausführen. Dies verhindert doppelte Dateiendungen wie rechnung.pdf.exe sowie Living-off-the-Land-Angriffe.

AppLocker vs. Windows Defender Application Control (WDAC)

AppLocker ist GPO-basiert und eignet sich gut für AD-Umgebungen ohne Intune. Es unterstützt Regeltypen nach Pfad, Hash und Publisher (Signatur), erfordert aber mindestens Windows 10 Education/Enterprise.

Die empfohlene GPO-Konfiguration erfolgt unter Computer Config > Windows Settings > Security Settings > Application Control Policies > AppLocker. Wichtig: "Enforce Rules" aktivieren (statt Audit Only). Als Default-Regeln sollten Executable Rules %PROGRAMFILES% und %WINDIR% erlauben und %APPDATA% sowie %TEMP% blockieren - Malware landet oft genau dort. Für DLL Rules gelten dieselben Pfade.

WDAC ist moderner und Intune-fähig, bietet Kernel-Mode-Schutz und funktioniert auch ohne Active Directory:

# WDAC-Policy erstellen:
New-CIPolicy `
  -FilePath "C:\Policies\WDAC-Policy.xml" `
  -Level Publisher `
  -Fallback FilePublisher,Hash `
  -UserPEs

ConvertFrom-CIPolicy -XmlFilePath "C:\Policies\WDAC-Policy.xml" `
  -BinaryFilePath "C:\Policies\WDAC-Policy.bin"

# In Intune ausrollen via:
# Endpoint Security → Attack Surface Reduction → "App and browser isolation"

BitLocker und Festplattenverschlüsselung

Voraussetzungen prüfen

# TPM-Status:
Get-Tpm | Select TpmPresent, TpmReady, TpmEnabled, TpmActivated
# TPM sollte Present und Ready sein

BitLocker per GPO konfigurieren

Die BitLocker-Einstellungen finden sich unter Computer Config > Administrative Templates > Windows Components > BitLocker Drive Encryption. Die kritischen Einstellungen:

  • "Require additional authentication at startup": Enabled, TPM with startup PIN - kein TPM-alone (Evil-Maid-Attack möglich!)
  • "Choose encryption method and cipher strength": AES-256 XTS
  • "Choose how BitLocker-protected operating system drives can be recovered": Recovery Key in Active Directory speichern (Pflicht!), "Do not enable BitLocker until recovery information is stored to AD" aktivieren

Recovery Key in Entra ID (für Intune-managed)

In Intune unter Devices > Configuration > "Endpoint Protection" Template > Windows Encryption die folgenden Einstellungen setzen: Encrypt devices auf Require, Operating system drive encryption auf Require, Recovery key rotation auf "Enable rotation on Azure AD-joined devices". Der Recovery Key ist anschließend abrufbar unter Entra ID > Devices > {Gerät} > Recovery keys > BitLocker Recovery Key.

Pre-Boot PIN (gegen Evil-Maid-Angriffe)

# GPO: "Configure minimum PIN length for startup": 8 (Minimum)
# PowerShell:
manage-bde -protectors -add C: -TPMAndPIN

Ein gestohlener Laptop ist ohne PIN wertlos für den Angreifer. Die Pre-Boot PIN erzeugt jedoch Support-Aufwand durch vergessene PINs. Abwägung: Für Laptops empfohlen, für Desktop-PCs reicht TPM allein.

Windows Defender Konfiguration

Microsoft Defender Antivirus Optimierung

Cloud Protection sollte auf HIGH gesetzt werden: In Intune unter Endpoint Security > Antivirus > Windows Defender Antivirus > MicrosoftDefenderAntivirus > Cloud den CloudBlockLevel auf High und CloudExtendedTimeout auf 50 Sekunden setzen. Damit werden neue Malware-Samples innerhalb von Minuten erkannt.

Tamper Protection verhindert, dass Malware Defender deaktiviert: Intune > Endpoint Security > Antivirus > "Tamper Protection": Enable.

Exploit Protection wird als XML-Import konfiguriert: Intune > Endpoint Security > Attack Surface Reduction > "Exploit protection settings". Empfehlung: Microsoft ProcessMitigation.xml aus der Security Baseline verwenden.

Network Protection blockiert Verbindungen zu bekannten Malware-Domains: In Intune NetworkProtection auf "Enable network protection": Block setzen; per GPO "Enable network protection mode": Enabled (Block Mode).

Windows Firewall Härtung

Grundkonfiguration per GPO unter Computer Config > Windows Settings > Security Settings > Windows Defender Firewall with Advanced Security: Für alle Profile (Domain, Private, Public) den Firewall State auf ON, Inbound connections auf Block (default) und Outbound connections auf Allow (default) setzen.

Kritische Inbound-Block-Regeln:

  • SMB zwischen Workstations blockieren: File and Printer Sharing (SMB-In) aus dem Workstation-Subnet (z. B. 10.0.10.0/24) blockieren
  • RDP zwischen Workstations blockieren: Remote Desktop (TCP-In) aus dem Workstation-Subnet blockieren
  • NetBIOS deaktivieren: NetBIOS-SSN (TCP-In) blockieren

Windows Firewall Logging aktivieren per GPO: Firewall > Logging > "Log dropped packets": Yes, "Log successful connections": Yes. Log-Datei: %systemroot%\system32\LogFiles\Firewall\pfirewall.log, max. 32 MB.

Härtungs-Checkliste (priorisiert)

Kritisch - sofort umsetzen

  • LAPS aktivieren: lokale Admin-Passwörter werden damit einmalig pro Gerät
  • MFA für alle Benutzerkonten (Entra ID Conditional Access)
  • BitLocker für alle mobilen Geräte (Laptops, Tablets)
  • Windows Defender Tamper Protection aktivieren
  • ASR Rule "Block LSASS credential stealing" aktivieren
  • SMB zwischen Workstations per Firewall blockieren
  • AutoRun/AutoPlay deaktivieren: Computer Config > Admin Templates > Windows Components > AutoPlay Policies > "Turn off AutoPlay": Enabled (All Drives)

Hoch - innerhalb von 30 Tagen

  • Microsoft Security Baseline per Intune ausrollen
  • Credential Guard aktivieren (Windows 11 Enterprise)
  • Alle 7 kritischen ASR-Regeln aktivieren
  • Network Protection aktivieren
  • PowerShell Execution Policy setzen:
Set-ExecutionPolicy RemoteSigned -Scope MachinePolicy
  • Protected Users Gruppe für privilegierte Accounts

Mittel - innerhalb von 90 Tagen

  • AppLocker oder WDAC für Anwendungskontrolle einrichten
  • BitLocker Pre-Boot PIN für Laptops konfigurieren
  • USB-Gerätekontrolle einrichten (nur erlaubte USB-Geräte)
  • DNS-over-HTTPS oder DNS-Filter aktivieren (Intune > Configuration > DNS-over-HTTPS)
  • Regelmäßige Access Reviews für lokale Admingruppen
  • Windows Hello for Business (passwortloses Login)

Endpoint-Sicherheit ist keine einmalige Aufgabe. Mit jedem Windows-Update kommen neue Angriffsflächen und neue Schutzfunktionen. AWARE7 hilft beim Aufbau eines systematischen Endpoint-Security-Programms - von der Baseline-Konfiguration bis zu Defender for Endpoint Advanced Hunting.

Endpoint-Sicherheitsberatung anfragen | Penetrationstest Netzwerk

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

E-Mail
PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV