Windows - Fase 1: Enumeração

Objetivo

Construir inventário técnico do host Windows e do contexto de autenticação para escolher vetores com melhor relação impacto x esforço, sem misturar evidência local com hipótese de domínio antes da validação.

Checklist de Campo

1. Mapear identidade efetiva: usuário, grupos, privilégios, logon server e sessão.
2. Levantar sistema, patch level, interfaces, rotas, shares, serviços e tasks.
3. Classificar canais remotos expostos: SMB, WinRM, RDP, WMI e MSSQL.
4. Localizar credenciais e configurações sensíveis sem coletar material fora do escopo.
5. Priorizar achados que levem diretamente a elevação local, reutilização de credencial ou pivô autorizado.

Comandos Operacionais (Host)

whoami
whoami /groups
whoami /priv
hostname
systeminfo
ipconfig /all
netstat -ano
route print
arp -a
set

sc query state= all
sc queryex type= service state= all
schtasks /query /fo LIST /v
wmic qfe get Caption,Description,HotFixID,InstalledOn
wmic service get Name,StartName,State,PathName
wmic startup list full

Comandos Operacionais (Domínio/AD)

nltest /dsgetdc:DOMINIO.LOCAL
net user /domain
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain
net view /domain
gpresult /R

# PowerShell
echo %USERDOMAIN%
echo %LOGONSERVER%
klist

# Se RSAT estiver disponivel e o escopo permitir
Get-ADDomain
Get-ADForest
Get-ADUser -Filter * -Properties MemberOf | Select-Object -First 20

Táticas Rápidas de Triagem

# Sessões e usuários com contexto privilegiado
qwinsta
query user

# Compartilhamentos e superfície lateral inicial
net share
net use
net localgroup administrators
net accounts

# Procura básica de segredos locais
findstr /si "password token secret pwd key" *.txt *.ini *.config *.xml 2>nul
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• Teste primeiro escrita em caminhos executados por serviço/task, privilégios abusáveis e credenciais expostas.
• Deixe enumeração ampla de domínio para a trilha AD quando o achado depender de objeto, trust ou ACL.
• Promova para fase 2 apenas o achado com pré-condição reproduzível e impacto claro.

Mapeamento ATT&CK

• TA0007 Discovery: enumeração de host, rede, domínio, grupos, serviços e sessões.
• T1087 Account Discovery: `net user`, `net group`, `whoami` e grupos privilegiados.
• T1007 System Service Discovery: `sc`, `wmic service` e inventário de serviços.
• T1552 Unsecured Credentials: arquivos, registry e configurações com material sensível.

Validação e Evidência

• Registrar comando, saída, host, usuário, domínio, horário e pré-condição observada.
• Classificar achados como contexto, explorável localmente, reutilizável lateralmente ou dependente de AD.
• Guardar evidência de origem segura: screenshot ou saída textual mínima, sem expor segredo completo em relatório.
• Relacionar cada achado a um controle defensivo ausente: ACL, hardening, auditoria, segmentação ou gestão de credenciais.

Mitigação e Detecção

• Remover escrita indevida em diretórios de serviço, scripts de logon, shares e tasks.
• Centralizar logs de autenticação, criação de processo, alteração de serviço e acesso a share administrativo.
• Aplicar mínimo privilégio para administradores locais e contas de serviço.
• Retestar comparando o mesmo comando de enumeração antes/depois da correção.