Windows - Mitigação e Detecção

Objetivo

Transformar achados de exploração em controles sustentáveis de prevenção, detecção e resposta em ambientes Windows e AD.

Checklist de Hardening

1. Revisar permissões de serviço, tasks e ACLs em caminhos críticos.
2. Restringir privilégios administrativos e contas de serviço.
3. Fortalecer baseline de autenticação local e de domínio.
4. Segmentar acesso lateral entre estações, servidores e controladores de domínio.

Checklist de Detecção

1. Monitorar eventos de logon, criação de processo e alteração de privilégio.
2. Alertar execução remota incomum e uso suspeito de contas privilegiadas.
3. Correlacionar mudanças em GPO, grupos sensíveis e tarefas agendadas.
4. Aplicar reteste periódico para validar eficácia dos controles.

Comandos de Verificação

# Política e auditoria
whoami /priv
auditpol /get /category:*
secedit /export /cfg C:\Temp\secpol.cfg

# Estado de segurança local
Get-NetFirewallProfile
Get-LocalGroupMember -Group "Administrators"

# Eventos recentes
wevtutil qe Security /c:30 /f:text
wevtutil qe Microsoft-Windows-Sysmon/Operational /c:30 /f:text

Critério de Fechamento

• Cada achado possui owner, prazo e evidência de correção.
• Risco residual está documentado e aceito formalmente quando aplicável.
• Reteste confirma que o vetor original não é mais reproduzível.