Windows - Mitigação e Detecção
Objetivo
Transformar achados de exploração em controles sustentáveis de prevenção, detecção e resposta em hosts Windows, reduzindo privilege escalation local, reutilização de credenciais e movimento lateral.
Checklist de Hardening
- Revisar permissões de serviço, tasks, shares, scripts e ACLs em caminhos críticos.
- Implantar Windows LAPS e remover reutilização de senha de administrador local.
- Restringir privilégios administrativos, contas de serviço e direitos sensíveis de token.
- Fortalecer Defender, ASR, PowerShell Logging, firewall local e baseline de auditoria.
- Segmentar acesso lateral entre estações, servidores e controladores de domínio.
- Aplicar AppLocker ou WDAC em hosts críticos onde houver maturidade operacional.
Checklist de Detecção
- Monitorar logon, criação de processo, alteração de serviço, task, share e privilégio.
- Alertar execução remota incomum por SMB, WinRM, RDP, WMI e PowerShell.
- Correlacionar uso de contas privilegiadas fora de baseline com origem, destino e horário.
- Centralizar logs para impedir alteração local após comprometimento.
- Aplicar reteste periódico para validar bloqueio e alerta dos vetores corrigidos.
Cobertura ATT&CK Prioritária
- T1543.003 Windows Service: criação, alteração e binário de serviço fora de baseline.
- T1053.005 Scheduled Task: task nova, ação alterada e execução em contexto privilegiado.
- T1059.001 PowerShell: script block, encoded command, processo pai e destino de rede.
- T1021 Remote Services: logon lateral por SMB, WinRM, RDP e WMI.
- T1003.001 LSASS Memory: acesso suspeito ao LSASS e dumping de credenciais.
Comandos de Verificação
terminal
# Política e auditoria
whoami /priv
auditpol /get /category:*
secedit /export /cfg C:\Temp\secpol.cfg
# Estado de segurança local
Get-NetFirewallProfile
Get-LocalGroupMember -Group "Administrators"
Get-MpPreference
Get-ExecutionPolicy -List
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System
# Eventos recentes
wevtutil qe Security /c:30 /f:text
wevtutil qe Microsoft-Windows-Sysmon/Operational /c:30 /f:textBaseline de Controles
| Controle | Reduz | Reteste |
|---|---|---|
| Windows LAPS | Reutilização de senha local e pivô por admin compartilhado. | Validar senha única por host e rotação após uso. |
| Sysmon + SIEM | Baixa visibilidade de processo, conexão, serviço e persistência. | Executar PoC controlada e confirmar alerta com origem/destino. |
| PowerShell Logging | Execução remota e scripts sem rastreabilidade. | Confirmar Script Block, Module e Transcription quando aplicável. |
| AppLocker/WDAC | Execução arbitrária em hosts críticos. | Testar binário não aprovado em path gravável. |
| Segmentação local | Movimento lateral workstation-to-workstation e acesso indevido a servidores. | Reexecutar teste SMB/WinRM/RDP/WMI do achado original. |
Critério de Fechamento
- Cada achado possui owner, prazo e evidência de correção.
- Risco residual está documentado e aceito formalmente quando aplicável.
- Reteste confirma que o vetor original não é mais reproduzível e que o alerta esperado foi gerado.
- Exceções operacionais têm compensação: segmentação, monitoramento ou expiração formal.
Referências de Defesa e Detecção
- Microsoft - Windows LAPS: referência oficial para rotação de senha local e redução de pass-the-hash/lateral movement.
- Microsoft - Security Baselines: baseline oficial para Windows Client e Windows Server.
- Splunk Attack Range: lab instrumentado para gerar telemetria, simular ataques e validar detecções.
- DetectionLab: domínio Windows com logging e Splunk para estudo defensivo e purple team.
- PurpleSharp: simulação de técnicas ATT&CK em Windows/AD para medir cobertura de detecção.