Módulo 3_SO Windows Flashcards
1
Q
O que é um Sistema operacional de disco?
A
Disquetes e armazenamento em disco rígido exigem software para ler, gravar e gerenciar os dados que eles armazenam. O sistema operacional de disco (DOS) é um sistema operacional que o computador usa para habilitar esses dispositivos de armazenamento de dados para ler e gravar arquivos. DOS fornece um sistema de arquivos que organiza os arquivos de uma forma específica no disco. A Microsoft comprou o DOS e desenvolveu o MS-DOS.
MS-DOS usou uma linha de comando como a interface para as pessoas criarem programas e manipularem arquivos de dados, como mostrado na saída do comando. Os comandos DOS são mostrados em negrito.
2
Q
As primeiras versões do Windows:
A
As primeiras versões do Windows consistiam em uma interface gráfica do usuário (GUI) que executava o MS-DOS, começando com o Windows 1.0 em 1985. O DOS ainda controlava o computador e seu hardware.
3
Q
Diferença MS-DOS x Windows NT:
A
Um sistema operacional moderno como o Windows 10 não é considerado um sistema operacional de disco. Ele é construído no Windows NT, que significa “Novas Tecnologias”. O próprio sistema operacional está no controle direto do computador e seu hardware. NT é um sistema operacional com suporte para vários processos de usuário. Isso é muito diferente do MS-DOS de um único processo e de usuário único.
4
Q
Desde 1993, houve mais de 20 lançamentos do Windows baseados em SO NT, dentre eles, qual mudança o Windows XP trouxe?
A
A partir do Windows XP, uma edição de 64 bits estava disponível. O sistema operacional de 64 bits era uma arquitetura totalmente nova. Ele tinha um espaço de endereço de 64 bits em vez de um espaço de endereço de 32 bits. Isto não é simplesmente o dobro da quantidade de espaço porque estes bits são números binários. Embora o Windows de 32 bits possa endereçar um pouco menos de 4 GB de RAM, o Windows de 64 bits pode, teoricamente, endereçar 16,8 milhões de terabytes. Quando o sistema operacional e o hardware suportam a operação de 64 bits, conjuntos de dados extremamente grandes podem ser usados.
5
Q
O que é GUI?
A
GUI é a sigla para Graphical User Interface, que em português significa Interface Gráfica do Usuário. É um recurso que permite a interação com dispositivos eletrônicos, como computadores, smartphones e tablets, por meio de elementos visuais, como ícones, menus e janelas.
A GUI é importante porque torna a interação com os computadores mais intuitiva e fácil de usar, permitindo que os usuários realizem tarefas de forma eficiente. Sem GUIs, os usuários teriam que confiar na digitação de comandos que podem ser demorados e difíceis de lembrar.
O conceito de GUI foi introduzido pela Xerox Corporation na década de 1970, com o desenvolvimento do sistema Xerox Alto. A Apple e a Microsoft popularizaram o uso do GUI com o lançamento do Macintosh e do Windows, respectivamente, na década de 1980.
6
Q
O que é menu de contexto?
A
O menu de contexto, também conhecido como menu popup, é uma lista de opções que aparece quando o usuário seleciona um objeto com o mouse ou toca na tela. Ele permite acessar rapidamente comandos relacionados ao objeto selecionado.
O menu de contexto pode ser usado em diversas situações, como: Compactação de arquivos, Salvamento de imagens, Cópia de imagens, Navegação na interface do Chrome DevTools.
Para abrir o menu de contexto, é possível clicar com o botão direito do mouse ou segurar a tecla CTRL/CMD+clique.
7
Q
O que é uma vulnerabilidade em um SO?
A
Uma vulnerabilidade é alguma falha ou fraqueza que pode ser explorada por um invasor para reduzir a viabilidade das informações de um computador. Para tirar proveito de uma vulnerabilidade do sistema operacional, o invasor deve usar uma técnica ou uma ferramenta para explorar a vulnerabilidade. O invasor pode então usar a vulnerabilidade para fazer com que o computador atue de forma fora do design pretendido. Em geral, o objetivo é obter controle não autorizado do computador, alterar permissões ou manipular ou roubar dados.
8
Q
Recomendações de segurança do WINDOWS: Proteção contra malwares
A
Por padrão o SO Windows usa o Win. Defender, ele oferece um conjunto de ferramentas de proteção contra ataques e malware, precisa manter ativado.
9
Q
Recomendações de segurança do WINDOWS: Serviços desconhecidos ou não gerenciados
A
Há muitos serviços que funcionam em segundo plano, é importante identificar para certificar se são seguros.
10
Q
Recomendações de segurança do WINDOWS: Criptografia
A
Todos dado não criptografado pode facilmente ser coletado e explorados, deve se ter cuidado com os dados guardados.
11
Q
Recomendações de segurança do WINDOWS: Política de segurança
A
Uma boa política deve ser mantida e seguida, muitas configurações presentes no controle de Diretiva de Segurança do Windows podem impedir ataques.
12
Q
Recomendações de segurança do WINDOWS: Firewall
A
Por padrão, o SO usa o Firewall do Windows para limitar a comunicação com dispositivos na rede.
Mas é importante que mantenham as configurações atualizadas.
13
Q
Recomendações de segurança do WINDOWS: Permissões de arquivo e compartilhamento
A
Ter controle sobre o que os usuários podem fazer no computador.
14
Q
Recomendações de segurança do WINDOWS: Senhas
A
Todas as contas precisam ter senhas, principalmente a do administrador.
15
Q
Recomendações de segurança do WINDOWS: Login como ADM
A
É recomendado que se faça login com Usuário Padrão para que o ADM fique mais protegido, USA-SE APENAS QUANDO NECESSÁRIO.
16
Q
O que é uma camada de abstração de hardware (HAL)?
A
Uma camada de abstração de hardware (HAL) é um software que lida com toda a comunicação entre o hardware e o kernel. O kernel é o núcleo do sistema operacional e tem controle sobre todo o computador. Ele lida com todas as solicitações de entrada e saída, memória e todos os periféricos conectados ao computador.
Em alguns casos, o kernel ainda se comunica diretamente com o hardware, portanto não é completamente independente do HAL. O HAL também precisa do kernel para executar algumas funções.
17
Q
Quais os modos uma CPU pode operar?
A
O modo de usuário e o modo kernel. De forma geral, os aplicativos instalados são executados no modo de usuário e o código do sistema operacional é executado no modo kernel.
18
Q
O modo kernel da CPU:
A
O código que está sendo executado no modo kernel tem acesso irrestrito ao hardware subjacente e é capaz de executar qualquer instrução de CPU. O código do modo kernel também pode referenciar qualquer endereço de memória diretamente. Geralmente reservado para as funções mais confiáveis do sistema operacional, falhas no código em execução no modo kernel param a operação de todo o computador.
19
Q
O modo usuário da CPU:
A
Programas como aplicativos de usuário são executados no modo de usuário e não têm acesso direto a locais de hardware ou memória. O código do modo de usuário deve passar pelo sistema operacional para acessar recursos de hardware. Devido ao isolamento fornecido pelo modo de usuário, as falhas no modo de usuário são restritas apenas ao aplicativo e são recuperáveis. A maioria dos programas no Windows são executados no modo de usuário. Drivers de dispositivo, peças de software que permitem que o sistema operacional e um dispositivo se comuniquem, podem ser executados no modo kernel ou usuário, dependendo do driver.
20
Q
O que são sistemas de arquivos Windows?
A
Um sistema de arquivos é como as informações são organizadas na mídia de armazenamento. Alguns sistemas de arquivos podem ser uma melhor opção para usar do que outros, dependendo do tipo de mídia que será usado.
21
Q
Sistema de arquivos: exFAT
A
Suportado por muitos SOs;
Possui limitações: número e tamanhos de partições e tamanhos de arquivos;
Não é mais usado em HDs ou SSDs;
FAT16 e FAT32 estão disponíveis para uso.
22
Q
Sistema de arquivos: Hierárquico Plus (HFS+)
A
Usado em computadores MAC OS X;
Permite nomes e tamanhas de arquivos, assim como tamanhos de partição, maiores;
Não é suportado pelo Windows, precisa de um software especial.
23
Q
Sistema de arquivos:Sistema de arquivos estendido (EXT)
A
Usados em computadores Linux;
Não suportado por windows, precisa de software especial.
24
Q
Sistema de arquivos: New Tecnology File System (NTFS)
A
Mais usado no Windows;
Suportado e todas as versões de Linux e Windows;
Mac-OS X pode ler, ms para gravar precisa de software especial.
25
Benefícios do Sitema de Arquivos NTFS:
Suporta arquivos e partições muito grandes e é muito compatível com outros sistemas operacionais. O NTFS também é muito confiável e oferece suporte a recursos de recuperação. Mais importante ainda, ele suporta muitos recursos de segurança. O controle de acesso a dados é alcançado através de descritores de segurança. Esses descritores de segurança contêm permissões e propriedade do arquivo até o nível do arquivo. O NTFS também controla muitos carimbos de data/hora para controlar a atividade do arquivo.
Também suporta criptografia.
26
O que é MACE, em sistemas de arquivos NTFS?
Às vezes referido como MACE, os carimbos de data/hora Modificar, Access (acesso), Create (criar) e Entry Modified (entrada modificada) são frequentemente usados em investigações forenses para determinar o histórico de um arquivo ou pasta.
27
A formatação NTFS cria estruturas importantes no disco para armazenamento de arquivos e tabelas para gravar os locais dos arquivos:
Setor de inicialização de partição - Este é o primeiro 16 setores da unidade. Ele contém o local da tabela de arquivos mestre (MFT). Os últimos 16 setores contêm uma cópia do setor de inicialização.
Tabela de arquivos mestre (MFT) - Esta tabela contém os locais de todos os arquivos e diretórios na partição, incluindo atributos de arquivo, como informações de segurança e carimbos de data/hora.
Arquivos de sistema - São arquivos ocultos que armazenam informações sobre outros volumes e atributos de arquivo.
Área de arquivo - A área principal da partição onde os arquivos e diretórios são armazenados.
28
NTFS armazena arquivos como uma série de atributos, como o nome do arquivo ou um carimbo de data/hora. Onde ficam armazenados os dados que o arquivo contém?
Os dados que o arquivo contém são armazenados no atributo $DATA, e é conhecido como um fluxo de dados. Usando NTFS, você pode conectar fluxos de dados alternativos (ADSs) ao arquivo. Às vezes, isso é usado por aplicativos que estão armazenando informações adicionais sobre o arquivo.
29
O fluxos de dados alternativos (ADS) é um fator importante ao discutir malware por que?
Isso ocorre porque é fácil ocultar dados em um ADS. Um invasor pode armazenar código mal-intencionado dentro de um ADS que pode ser chamado de um arquivo diferente.
30
O que é firmware?
Firmware é um software que está embutido em dispositivos eletrônicos e que controla o hardware do dispositivo. O firmware é instalado pelo fabricante e normalmente não pode ser removido.
O firmware é responsável por:
Controlar tarefas específicas, como inicialização, controle de hardware e execução de funções básicas
Garantir o funcionamento confiável e eficiente do hardware
Servir como uma ponte entre as camadas de hardware e software de um sistema
O firmware é armazenado em memória não volátil, o que significa que ele não é perdido quando o dispositivo é desligado. Ele está localizado em um chip de memória, como uma ROM, PROM, EPROM ou EEPROM e memória flash.
31
Existem dois tipos de firmware de computador:
Sistema básico de entrada-saída (BIOS) - o firmware do BIOS foi criado no início da década de 1980 e funciona da mesma forma que quando foi criado. À medida que os computadores evoluíram, tornou-se difícil para o firmware do BIOS suportar todos os novos recursos solicitados pelos usuários.
UEFI (Unified Extensible Firmware Interface) - O UEFI foi projetado para substituir o BIOS e suportar os novos recursos.
32
Inicialização no firmware do BIOS:
O processo começa com a fase de inicialização do BIOS. Isso ocorre quando os dispositivos de hardware são inicializados e um POST (Power On Self-Test) é executado para garantir que todos esses dispositivos estejam se comunicando. Quando o disco do sistema é descoberto, o POST termina. A última instrução no POST é procurar o registro mestre de inicialização (MBR).
33
O que é registro mestre de inicialização (MBR):
A MBR contém um pequeno programa que é responsável por localizar e carregar o sistema operacional. O BIOS executa esse código e o sistema operacional começa a carregar.
34
Inicialização no firmware UEFI:
firmware UEFI tem muita visibilidade sobre o processo de inicialização. O UEFI inicializa carregando arquivos de programa EFI, armazenados como arquivos.efi em uma partição de disco especial, conhecida como EFI System Partition (ESP).
35
Se o firmware é BIOS ou UEFI, depois que uma instalação válida do Windows é localizada, que arquivo é executado?
O arquivo Bootmgr.exe é executado. Bootmgr.exe alterna o sistema do modo real para o modo protegido para que toda a memória do sistema possa ser usada.
Bootmgr.exe lê o Banco de Dados de Configuração de Inicialização (BCD). O BCD contém qualquer código adicional necessário para iniciar o computador, juntamente com uma indicação de se o computador está saindo da hibernação ou se este é um arranque a frio.
36
Se o computador estiver saindo da hibernação, o processo de inicialização continuará com:
Winresume.exe. Isso permite que o computador leia o arquivo Hiberfil.sys que contém o estado do computador quando ele foi colocado em hibernação.
37
Se o computador estiver sendo inicializado a partir de um início a frio, a inicialização segue com:
arquivo Winload.exe será carregado. O arquivo Winload.exe cria um registro da configuração de hardware no registro. O registro é um registro de todas as configurações, opções, hardware e software do computador. O registro será explorado em profundidade mais adiante neste capítulo. Winload.exe também usa o Kernel Mode Code Signing (KMCS) para garantir que todos os drivers sejam assinados digitalmente. Isso garante que os drivers são seguros para carregar à medida que o computador é iniciado.
Depois que os drivers foram examinados, Winload.exe é executado Ntoskrnl.exe que inicia o kernel do Windows e configura o HAL. Finalmente, o Subsistema do Gestor de Sessões (SMSS) lê o registo para criar o ambiente do utilizador, iniciar o serviço Winlogon e preparar a área de trabalho de cada utilizador à medida que inicia sessão.
38
Há dois itens de registro importantes que são usados para iniciar automaticamente aplicativos e serviços:
HKEY\ _LOCAL\ _MACHINE - Vários aspectos da configuração do Windows são armazenados nesta chave, incluindo informações sobre serviços que começam com cada inicialização.
HKEY\ _CURRENT\ _USER - Vários aspectos relacionados ao usuário conectado são armazenados nesta chave, incluindo informações sobre serviços que iniciam somente quando o usuário faz logon no computador.
39
Entradas diferentes nesses locais de registro definem quais serviços e aplicativos serão iniciados, conforme indicado pelo tipo de entrada. Esses tipos incluem:
Run, RunOnce, RunServices, RunServicesOnce e Userinit. Essas entradas podem ser inseridas manualmente no registro, mas é muito mais seguro usar a ferramenta Msconfig.exe Esta ferramenta é usada para exibir e alterar todas as opções de inicialização do computador. Use a caixa de pesquisa para localizar e abrir a ferramenta Msconfig.
40
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração.
Geral, inicialização do sistema, serviços, startup e ferramentas.
41
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração, guia: Geral
Três tipos de inicialização diferentes podem ser escolhidos aqui. Normal carrega todos os drivers e serviços. O diagnóstico carrega apenas drivers e serviços básicos. Seletivo permite que o usuário escolha o que carregar na inicialização.
42
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração, guia: Inicialização do sistema
Qualquer sistema operacional instalado pode ser escolhido aqui para iniciar. Existem também opções para a inicialização segura, que é usada para solucionar problemas de inicialização.
43
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração, guia: Serviços
Todos os serviços instalados estão listados aqui para que possam ser escolhidos para iniciar na inicialização.
44
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração, guia: Startup
Todos os aplicativos e serviços configurados para iniciar automaticamente na inicialização podem ser ativados ou desabilitados abrindo o gerenciador de tarefas a partir desta guia.
45
A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração, guia: Ferramentas
Muitas ferramentas comuns do sistema operacional podem ser iniciadas diretamente a partir desta guia.
46
Existem várias maneiras de desligar um computador Windows: Opções de energia do menu Iniciar, o comando da linha de comando shutdown e usando Ctrl+Alt+Delete e clicando no ícone de energia. Existem três opções diferentes para escolher ao desligar o computador:
Desligamento - Desliga o computador (desliga).
Reiniciar - Reinicializa o computador (desligar e ligar).
Hibernate - Registra o estado atual do ambiente do computador e do usuário e o armazena em um arquivo. A hibernação permite que o usuário continue de onde parou muito rapidamente com todos os seus arquivos e programas ainda abertos.
47
O que é processo e o que é thread?
Um aplicativo do Windows é composto de processos. O aplicativo pode ter um ou muitos processos dedicados a ele. Um processo é qualquer programa em execução no momento. Cada processo que é executado é composto de pelo menos uma thread. Uma thread é uma parte do processo que pode ser executado. O processador executa cálculos na thread. Para configurar processos do Windows, procure o Gerenciador de Tarefas. A guia Processos do Gerenciador de Tarefas é mostrada na figura.
48
Todos os threads dedicados a um processo estão contidos no mesmo espaço de endereço. Isso significa que:
esses threads podem não acessar o espaço de endereço de qualquer outro processo. Isso evita a corrupção de outros processos. Como Windows é multitarefas, vários threads podem ser executados ao mesmo tempo. A quantidade de threads que podem ser executados ao mesmo tempo depende do número de processadores do computador.
49
Alguns dos processos executados pelo Windows são serviços. Estes são programas que:
são executados em segundo plano para suportar o sistema operacional e as aplicações. Eles podem ser configurados para iniciar automaticamente quando o Windows for inicializado ou podem ser iniciados manualmente. Eles também podem ser interrompidos, reiniciados ou desativados.
Os serviços fornecem funcionalidade de longa execução, como sem fio ou acesso a um servidor FTP. Para configurar os Serviços do Windows, procure serviços. O miniaplicativo do painel de controle dos Serviços do Windows é mostrado na figura.
50
O que é o espaço de endereço virtual?
Um computador funciona armazenando instruções na RAM até que a CPU os processe. O espaço de endereço virtual para um processo é o conjunto de endereços virtuais que o processo pode usar. O endereço virtual não é o local físico real na memória, mas uma entrada em uma tabela de página que é usada para traduzir o endereço virtual para o endereço físico.
51
Qual espaço de endereço virtual nas arquiteturas de 32 e 64 bits?
Cada processo em um computador Windows de 32 bits suporta um espaço de endereço virtual que permite endereçar até 4 gigabytes. Cada processo num computador Windows de 64 bits suporta um espaço de endereço virtual de 8 terabytes.
52
Quando o processo de espaço do usuário precisa acessar recursos do kernel, ele deve usar um identificador de processo. Isso ocorre porque:
o processo de espaço do usuário não tem permissão para acessar diretamente esses recursos do kernel. O identificador do processo fornece o acesso necessário para o processo de espaço do usuário sem uma conexão direta com ele.
53
Uma ferramenta poderosa para visualizar a alocação de memória é RAMMap, o que é?
RAMMap faz parte do conjunto de ferramentas do Windows Sysinternals. Ele pode ser baixado da Microsoft. RAMMap fornece uma riqueza de informações sobre como o Windows alocou memória do sistema para o kernel, processos, drivers e aplicativos.
54
O que é o registro do Windows?
O Windows armazena todas as informações sobre hardware, aplicativos, usuários e configurações do sistema em um banco de dados grande conhecido como o Registro. As formas como esses objetos interagem também são registradas, como quais arquivos um aplicativo abre e todos os detalhes de propriedade de pastas e aplicativos. O registro é um banco de dados hierárquico onde o nível mais alto é conhecido como um ramo, abaixo existem chaves, seguido por subchaves. Os valores armazenam dados e são armazenados nas chaves e subchaves. Uma chave do Registro pode ter até 512 níveis de profundidade.
55
A tabela lista os cinco ramos do registro do Windows:
HKEY_CURRENT_USER;
HKEY_USERS;
HKEY_LOCAL_MACHINE;
HKEY_CLASSES_ROOT;
HKEY_CURRENT_CONFIG.
56
Ramo do registro do Windows: HKEY_CURRENT_USER
Contém a raiz das informações de configuração para o usuário que está conectado no momento. As pastas do usuário, as cores da tela e as configurações Painel de Controle são armazenadas aqui. Essas informações estão associadas ao perfil do usuário. Às vezes, essa chave é abreviada como HKCU.
57
Ramo do registro do Windows: HKEY_USERS
Contém todos os perfis de usuário carregados ativamente no computador. HKEY_CURRENT_USER é uma subchave de HKEY_USERS. HKEY_USERS, às vezes, é abreviado como HKU.
58
Ramo do registro do Windows: HKEY_LOCAL_MACHINE
Contém informações de configuração específicas para o computador (para qualquer usuário). Às vezes, essa chave é abreviada como HKLM.
59
Ramo do registro do Windows: HKEY_CLASSES_ROOT
É uma subchave de HKEY_LOCAL_MACHINE\Software. As informações armazenadas aqui garantem que o programa correto seja aberto quando você abrir um arquivo usando o Windows Explorer. Às vezes, essa chave é abreviada como HKCR. A partir Windows 2000, essas informações são armazenadas nas chaves HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER. A chave HKEY_LOCAL_MACHINE\Software\Classes contém configurações padrão que podem ser aplicadas a todos os usuários no computador local. A chave HKEY_CURRENT_USER\Software\Classes contém configurações que substituem as configurações padrão e se aplicam somente ao usuário interativo. A chave HKEY_CLASSES_ROOT fornece uma exibição do Registro que mescla as informações dessas duas fontes.
60
Ramo do registro do Windows: HKEY_CURRENT_CONFIG
Contém informações sobre o perfil de hardware usado pelo computador local na inicialização do sistema.
61
O que pode ser feito no Registro do Windows?
Novas seções (hives) não podem ser criadas. As chaves do Registro e os valores nas seções podem ser criados, modificados ou excluídos por uma conta com privilégios administrativos. Como mostrado na figura, a ferramenta regedit.exe é usada para modificar o registro. Tenha muito cuidado ao usar esta ferramenta. Alterações menores no registro podem ter efeitos maciços ou mesmo catastróficos.
62
As chaves do Registro podem conter uma subchave ou um valor. Os diferentes valores que as chaves podem conter são os seguintes:
REG\ _BINARY - Números ou valores booleanos
REG\ _DWORD - Números maiores que 32 bits ou dados brutos
REG\ _SZ - Valores de cadeia
63
Como o registro contém quase toda infomação do sistema operacional e do usuário, é essencial garantir que ele não seja comprometido, o que cuidar?
Aplicativos potencialmente mal-intencionados podem adicionar chaves do Registro para que elas sejam iniciadas quando o computador for iniciado. Durante uma inicialização normal, o usuário não verá o programa iniciar porque a entrada está no registro e o aplicativo não exibe janelas ou indicação de início quando o computador for inicializado. Um keylogger, por exemplo, seria devastador para a segurança de um computador se ele fosse iniciado na inicialização sem o conhecimento ou consentimento do usuário. Ao executar auditorias de segurança normais ou corrigir um sistema infectado, revise os locais de inicialização do aplicativo no registro para garantir que cada item seja conhecido e seguro para ser executado.
64
Quais outras informações úteis o Registro do windows pode fornecer a uma investigação forense?
O registro também contém a atividade que um usuário executa durante o uso diário normal do computador. Isso inclui o histórico de dispositivos de hardware, incluindo todos os dispositivos que foram conectados ao computador, incluindo o nome, o fabricante e o número de série. Outras informações, como quais documentos um usuário e um programa abriram, onde eles estão localizados e quando foram acessados, são armazenadas no registro.
65
Recomendação principal sobre logon/usuário Windows:
Não utilizar uma conta que seja administradora ou tenha privilégios administrativos.
Motivo:
Qualquer programa que é executado enquanto conectado com esses privilégios herdará privilégios administrativos, o vírus/atacante terá acesso como administrador também.
66
Ao iniciar o Windows pela primeira vez, seraá criado uma conta, usuário padrão, também existem duas outras contas inativas, quais são?
Administrador e convidado.
Não devem ser usados por proteção do sistema e da rede.
Administrador: possui privilégio para executar tudo no sistema.
Convidado: ganha um ambiente padrão em cada logon,mas não possui senhas.
67
Grupos no windows:
Para facilitar a administração de usuários, o Windows usa grupos. Um grupo terá um nome e um conjunto específico de permissões associadas a ele. Quando um usuário é colocado em um grupo, as permissões desse grupo são dadas a esse usuário. Um usuário pode ser colocado em vários grupos para ser fornecido com muitas permissões diferentes. Quando as permissões se sobrepõem, certas permissões, como “negar explicitamente”, substituirão a permissão fornecida por um grupo diferente.
68
Além dos grupos, existe outra maneira de definir permissões no windows, qual?
Um domínio é um tipo de serviço de rede onde todos os usuários, grupos, computadores, periféricos e configurações de segurança são armazenados e controlados por um banco de dados. Este banco de dados é armazenado em computadores especiais ou grupos de computadores chamados controladores de domínio (DCs). Cada utilizador e computador no domínio tem de autenticar contra o controlador de domínio para iniciar sessão e acessar os recursos de rede. As configurações de segurança para cada usuário e cada computador são definidas pelo controlador de domínio para cada sessão.
69
Função da interface de comando (CLI) do Windows:
A interface de linha de comando (CLI) do Windows pode ser usada para executar programas, navegar no sistema de arquivos e gerenciar arquivos e pastas. Além disso, arquivos chamados de batch podem ser criados para executar vários comandos sucessivamente, assim como um script básico.
Para abrir a CLI do Windows, procure cmd.exe e clique no programa. Lembre-se que clicar com o botão direito do mouse no programa oferece a opção de Executar como administrador, dando muito mais poder aos comandos que serão usados.
70
O prompt exibe o local atual dentro do sistema de arquivos. Estas são algumas coisas a serem lembradas ao usar a CLI:
Os nomes de arquivo e caminhos não diferenciam maiúsculas de minúsculas;
Os dispositivos de armazenamento recebem uma letra para referência. Por exemplo, o caminho C: \ Users \ Jim \ Desktop \ file.txt se refere a um arquivo chamado file.txt que está na pasta Desktop dentro da pasta Jim dentro da pasta Usuários na raiz da unidade C:;
Comandos que têm opções opcionais usam a barra (/) para delinear entre o comando e a opção;
Você pode usar a tecla Tab para completar automaticamente comandos quando diretórios ou arquivos são referenciados;
O Windows mantém um histórico dos comandos inseridos durante uma sessão da CLI. Acesse comandos inseridos anteriormente usando as teclas de seta para cima e para baixo;
Para alternar entre dispositivos de armazenamento, digite a letra do dispositivo, seguida de dois pontos e pressione Enter.
71
Diferenças entre a CLI e o PowerShell no Windows:
Command Line Interface (CLI):
Interface: A interface de linha de comando mais tradicional e básica, usando o Prompt de Comando (cmd.exe).
Funcionalidade: Executa comandos básicos e scripts batch (.bat).
Uso: Principalmente para tarefas de administração e manutenção simples.
PowerShell:
Interface: Uma interface de linha de comando mais avançada e também uma linguagem de script.
Funcionalidade: Executa scripts em PowerShell (.ps1) e oferece cmdlets, que são comandos especializados.
Uso: Ideal para automação de tarefas complexas e administração de sistemas, com suporte a gerenciamento remoto.
Em resumo, o PowerShell é mais poderoso e versátil, projetado para facilitar a administração e automação de tarefas no Windows.
72
O que a CLI não pode fazer, mas o PowerShell pode?
Mesmo que a CLI tenha muitos comandos e recursos, ela não pode funcionar em conjunto com o núcleo do Windows ou a GUI. Outro ambiente, chamado Windows PowerShell, pode ser usado para criar scripts para automatizar tarefas que a CLI normal não consegue criar.
73
Estes são os tipos de comandos que o PowerShell pode executar:
cmdlets - Esses comandos executam uma ação e retornam uma saída ou objeto para o próximo comando que será executado.
Scripts do PowerShell - São arquivos com uma extensão .ps1 que contêm comandos do PowerShell executados.
Funções do PowerShell - São partes de código que podem ser referenciadas em um script.
74
Há quatro níveis de ajuda no Windows PowerShell:
get-help PS command - Exibe a ajuda básica para um comando
get-help PS command\ [\ -examples] - Exibe a ajuda básica para um comando com exemplos
get-help PS command\ [\ -detailed] - Exibe ajuda detalhada para um comando com exemplos
get-help PS command\ [\ -full] - Exibe todas as informações de ajuda de um comando com exemplos em maior profundidade
75
Definição e uso da instrumentação de gerenciamento do Windows (WMI):
A Instrumentação de Gerenciamento do Windows (WMI) é usada para gerenciar computadores remotos. Ele pode recuperar informações sobre componentes de computador, estatísticas de hardware e software e monitorar a integridade de computadores remotos.
76
Como acessar a Instrumentação de Gerenciamento do Windows (WMI):
Para abrir o controle WMI a partir do Painel de Controle, clique duas vezes em Ferramentas Administrativas > Gerenciamento do Computador para abrir a janela Gerenciamento do Computador, expanda a árvore Serviços e Aplicativos e clique com o botão direito do mouse no ícone Controle WMI > Propriedades.
77
Estas são as quatro guias na janela Propriedades de Controle WMI:
Geral - Informações resumidas sobre o computador local e o WMI
Backup/Restore - Permite backup manual de estatísticas coletadas pelo WMI
Segurança - Configurações para configurar quem tem acesso a diferentes estatísticas WMI
Avançado - Configurações para configurar o namespace padrão para WMI
78
Por que o acesso WMI deve ser estritamente limitado?
Alguns ataques hoje usam o WMI para se conectar a sistemas remotos, modificar o registro e executar comandos. O WMI ajuda-os a evitar a detecção porque é tráfego comum, na maioria das vezes confiável pelos dispositivos de segurança de rede e os comandos WMI remotos geralmente não deixam evidências no host remoto.
79
O comando net no Windows:
Um comando importante é o comando net, que é usado na administração e manutenção do sistema operacional. O comando net suporta muitos subcomandos que seguem o comando net e podem ser combinados com opões para focar na saída específica.
80
Comandos net importantes:
net accounts: Configura e exibe as políticas de senha e outras configurações de contas.
Exemplo: net accounts /maxpwage:90 define a idade máxima da senha para 90 dias.
net session: Lista ou desconecta sessões abertas em um servidor.
Exemplo: net session \\computername /delete encerra a sessão aberta no computador especificado.
net share: Exibe, adiciona ou remove compartilhamentos de rede.
Exemplo: net share sharename /delete remove um compartilhamento de rede.
net start: Inicia um serviço.
Exemplo: net start servicename inicia um serviço específico.
net stop: Para um serviço.
Exemplo: net stop servicename para um serviço específico.
net use: Conecta, desconecta ou exibe conexões de rede.
Exemplo: net use X: \\server\share conecta a unidade X: ao compartilhamento especificado.
net view: Exibe uma lista de recursos compartilhados em um computador remoto.
Exemplo: net view \\computername exibe os recursos compartilhados de um computador específico.
81
Gerenciador de tarefas e Monitor de recursos:
Duas ferramentas muito importantes e úteis para ajudar um administrador a compreender os vários aplicativos, serviços e processos diferentes que estão sendo executados em um computador Windows. Essas ferramentas também fornecem informações sobre o desempenho do computador, como CPU, memória e uso da rede. Essas ferramentas são especialmente úteis ao investigar um problema em que o malware é suspeito. Quando um componente não está executando da maneira que deveria ser, essas ferramentas podem ser usadas para determinar qual o problema pode ser.
82
Gerenciador de Tarefas Windows:
Fornece muitas informações sobre o software em execução e o desempenho geral do computador. Possui 7 guias: processos, desempenho, hisórico de aplicativos, inicializar, usuários, detalhes e serviços.
83
Guia do gerenciador de tarefas Windows: Processos
Exibe uma lista de aplicativos e processos em execução (podem ser ecaminadas e encerredas), junto com o uso de CPU, memória, disco e rede.
84
Guia do gerenciador de tarefas Windows: Desempenho
Mostra gráficos em tempo real de uso de CPU, memória, disco, rede e GPU. Podendo clicar em cada um para ver informações detalhadas.
85
Guia do gerenciador de tarefas Windows: Histórico de aplicativos
Apresenta o histórico de uso de recursos pelos aplicativos da Windows Store. Pode mostrar o histórico de todos os processos desde que o computador foi iniciado.
86
Guia do gerenciador de tarefas Windows: Inicializar
Permite gerenciar quais programas iniciam automaticamente quando o Windows é inicializado.
87
Guia do gerenciador de tarefas Windows: Usuários
Exibe uma lista dos usuários atualmente conectados e os recursos que cada um está utilizando. Nesta guia o adm pode desconectar usuários.
88
Guia do gerenciador de tarefas Windows: Detalhes
Fornece informações detalhadas sobre todos os processos em execução. Pode definir prioridades para o processador, determinar a afinidade da CPU (QUAL NÚCLEO UM PROGRAMA USARÁ) e também pode analisar a cadeia de espera (mosta a fila para processamento).
89
Guia do gerenciador de tarefas Windows: Serviços
Exibe uma lista de serviços do sistema e permite iniciar ou parar serviços.
O ID do processo (PID) e uma breve descrição são mostrados com o status, executando ou parado.
Também possui o botão Serviços, com opções de gerenciamento adicionais de serviços.
90
Monitor de recursos do Windows:
O Monitor de Recursos é uma ferramenta poderosa no Windows que permite monitorar em tempo real o uso dos recursos do sistema, como CPU, memória, disco e rede. Ele fornece uma visão detalhada do desempenho do sistema, permitindo identificar processos que consomem muitos recursos e diagnosticar problemas de desempenho. Possui 5 guias: visão geral, CPU, memória, disco e rede.
91
Diferença entre gerenciador de tarefas e monitor de recursos:
Em resumo, o Gerenciador de Tarefas é ótimo para uma visão rápida e intervenções imediatas, enquanto o Monitor de Recursos é mais adequado para diagnósticos detalhados e análise aprofundada de desempenho. Ambos têm seu lugar no arsenal de ferramentas para manter o seu sistema funcionando de maneira eficiente!
92
Resumo: Gerenciador de tarefas
Propósito: Proporciona uma visão geral rápida dos aplicativos e processos em execução, bem como o uso de recursos.
Funcionalidades Principais:
Visualizar e encerrar processos e aplicativos.
Monitorar o uso de CPU, memória, disco e rede.
Gerenciar programas de inicialização.
Visualizar detalhes de desempenho.
Ideal Para: Usuários que precisam rapidamente verificar o desempenho do sistema e encerrar processos problemáticos.
93
Resumo: Monitor de recursos
Propósito: Oferece uma visão mais detalhada e abrangente dos recursos do sistema.
Funcionalidades Principais:
Monitorar o uso detalhado de CPU, memória, disco e rede por processo.
Analisar a atividade de disco e memória em tempo real.
Identificar processos que estão monopolizando os recursos do sistema.
Monitorar dados de rede e uso de largura de banda.
Ideal Para: Usuários que precisam de uma análise profunda do uso de recursos do sistema para diagnosticar problemas complexos de desempenho.
94
Guia do Monitor de recursos: Visão geral
Mostra um resumo do uso de recursos do sistema. Ao selecionar um, ele será filtrado em todas as guias para mostrar apenas estatísticas desse processo.
95
Guia do Monitor de recursos: CPU
Exibe o PID, o número de threads, qual CPU o processo usa e informações detalhadas sobre o uso da CPU, mostrando quais processos estão consumindo mais poder de processamento.
96
Guia do Monitor de recursos: Memória
Apresenta o uso de memória, indicando quanta memória está sendo usada por cada processo.
Mostra também uma visão geral do uso da RAM.
97
Guia do Monitor de recursos: Disco
Mostra o uso de disco, ajudando a identificar quais processos estão realizando leituras/gravações no disco e uma visão geral de cada dispositivo de armazenamento
98
Guia do Monitor de recursos: Rede
Exibe informações sobre a atividade de rede, mostrando quais processos estão utilizando a rede e a quantidade de dados sendo transmitidos.
Mostra as conexões TCP atuais e as portas que estão escutando.
Muito útil para determinar quais app e processos estão se comunicando e se possui um processo não autorizado acessando a rede, ouvindo algo e com quem se comunica.
99
Centro de Rede e Compartilhamento:
A visualização inicial mostra uma visão geral da rede ativa. Essa exibição mostra se há acesso à Internet e se a rede é privada, pública ou convidada. O tipo de rede, com ou sem fio, também é mostrado. Nessa janela, você pode ver o Grupo Doméstico ao qual o computador pertence ou criar um caso ainda não faça parte de um Grupo Doméstico. Essa ferramenta também pode ser usada para alterar configurações do adaptador, alterar configurações de compartilhamento antecipado, configurar uma nova conexão ou solucionar problemas. Observe que o Grupo Doméstico foi removido do Windows 10 na versão 1803.
100
Alterar as configurações do adaptador:
Para configurar um adaptador de rede, escolha Alterar configurações do adaptador no Centro de Rede e Compartilhamento para mostrar todas as conexões de rede disponíveis. Selecione o adaptador que você deseja configurar. Neste caso, alteramos um adaptador Ethernet para adquirir seu endereço IPv4 automaticamente da rede.
101
Configurar parâmetros de rede a partir de uma linha de comando:
Comando netsh.exe.
102
Uso dos comandos nslookup e netstat:
O Sistema de Nomes de Domínio (DNS, Domain Name System) também deve ser testado porque é essencial encontrar o endereço dos hosts traduzindo-o a partir de um nome, como uma URL. Use o comando nslookup para testar o DNS. Digite nslookup cisco.com no prompt de comando para localizar o endereço do servidor Web Cisco. Quando o endereço é retornado, você sabe que o DNS está funcionando corretamente. Você também pode verificar quais portas estão abertas, onde elas estão conectadas e qual é seu status atual. Digite netstat na linha de comando para ver detalhes das conexões de rede ativas, conforme mostrado na saída do comando. O comando netstat será examinado mais adiante neste módulo.
103
Protocolo SMB (Server Message Block)
Como outros sistemas operacionais, o Windows usa rede para muitos aplicativos diferentes, como serviços da Web, email e arquivos. Originalmente desenvolvido pela IBM, a Microsoft ajudou no desenvolvimento do protocolo SMB (Server Message Block) para compartilhar recursos de rede. O SMB é usado principalmente para acessar arquivos em hosts remotos.
104
O formato UNC (Universal Naming Convention) é usado para se conectar a recursos, por exemplo:
\\ nome_do_servidor\ nome_do_compartilhamento\arquivo
No UNC, nome_do_servidor é o servidor que está hospedando o recurso. Pode ser um nome DNS, um nome NetBIOS ou simplesmente um endereço IP. O nome do compartilhamento é a raiz da pasta no sistema de arquivos no host remoto, enquanto o arquivo é o recurso que o host local está tentando encontrar. O arquivo pode estar mais profundo dentro do sistema de arquivos e essa hierarquia precisará ser indicada.
105
O que são ações administrativas no compartilhamento de recursos de rede?
Ao compartilhar recursos na rede, a área do sistema de arquivos que será compartilhada precisará ser identificada. O controle de acesso pode ser aplicado às pastas e arquivos para restringir usuários e grupos a funções específicas, como ler, gravar ou negar. Há também compartilhamentos especiais que são criados automaticamente pelo Windows. Um compartilhamento administrativo é identificado pelo cifrão ($) que vem após o nome do compartilhamento. Cada volume de disco tem um compartilhamento administrativo, representado pela letra do volume e o $, como C$, D$ ou E$. A pasta de instalação do Windows é compartilhada como admin$, a pasta das impressoras é compartilhada como print$ e há outros compartilhamentos administrativos que podem ser conectados. Somente usuários com privilégios administrativos podem acessar esses compartilhamentos.
106
Qual a maneira mais fácil de se conectar a um compartilhamento?
Digitar o UNC do compartilhamento no Explorador de Arquivos do Windows, na caixa na parte superior da tela que mostra a listagem de rastreamento do local atual do sistema de arquivos. Quando o Windows tentar se conectar ao compartilhamento, você será solicitado a fornecer credenciais para acessar o recurso. Lembre-se de que, como o recurso está em um computador remoto, as credenciais precisam ser para o computador remoto, não para o computador local.
106
Ao investigar incidentes de segurança, um analista de segurança usa o RDP (Remote Desktop Protocol) frequentemente para acessar computadores remotos. Como faz a conexão?
Para iniciar o RDP e conectar-se a um computador remoto, procure área de trabalho remota, clique no aplicativo e preencha os dados.
107
Qual cuidado devemos ter com o RDP?
Como o RDP foi projetado para permitir que usuários remotos controlem hosts individuais, ele é um alvo natural para atores de ameaças. Deve-se ter cuidado ao ativar o RDP, especialmente em versões legado sem os patches do Windows, como aquelas que ainda são encontradas em sistemas de controle industrial. Deve-se ter cuidado para limitar a exposição do RDP à internet, e abordagens de segurança e políticas de controle de acesso, como Zero Trust, devem ser usadas para limitar o acesso a hosts internos.
108
O que podemos fazer com o RDP?
Além de acessar compartilhamentos em hosts remotos, você também pode fazer login em um host remoto e manipular esse computador, como se fosse local, para fazer alterações de configuração, instalar software ou solucionar um problema.
109
O Windows Server hospeda muitos serviços diferentes e pode desempenhar funções diferentes dentro de uma empresa. Estes são alguns dos serviços que o Windows Server fornece:
Serviços de Rede - DNS, DHCP, Serviços de Terminal, Controlador de Rede e Virtualização de Rede Hyper-V
Serviços de Arquivo - SMB, NFS e DFS
Serviços Web - FTP, HTTP e HTTPS
Gerenciamento - Diretiva de grupo e controle de serviços de domínio do Active Directory
110
O uso do comando netstat
Quando o malware está presente em um computador, ele geralmente abre portas de comunicação no host para enviar e receber dados. O comando netstat pode ser usado para procurar conexões de entrada ou saída que não estão autorizadas. Quando usado por conta própria, o comando netstat exibirá todas as conexões TCP ativas.
111
Capacidade básica de analista ao analisar a conexões TCP ativas:
um analista deve ser capaz de determinar se há algum programa suspeito que esteja escutando conexões de entrada no host. Você também pode rastrear esse processo para o Gerenciador de Tarefas do Windows e cancelar o processo. Pode haver mais de um processo listado com o mesmo nome. Se este for o caso, use o PID para encontrar o processo correto. Cada processo em execução no computador tem um PID exclusivo. Para exibir os PIDs dos processos no Gerenciador de Tarefas, abra o Gerenciador de Tarefas, clique com o botão direito do mouse no cabeçalho da tabela e selecione PID.
112
O visualizador de eventos do Windows:
O Visualizador de Eventos do Windows registra o histórico de eventos de aplicativos, segurança e sistema. Esses arquivos de log são uma valiosa ferramenta de solução de problemas porque fornecem informações para identificar um problema. Para abrir o Visualizador de Eventos, procure-o e clique no ícone do programa, conforme mostrado na figura.
113
O Windows inclui duas categorias de logs de eventos:
Logs do Windows e Logs de Aplicativos e Serviços. Cada uma dessas categorias tem vários tipos de log. Os eventos exibidos nesses logs têm um nível: informações, aviso, erro ou crítico. Eles também têm a data e hora em que o evento ocorreu, juntamente com a origem do evento e um ID que se relaciona com esse tipo de evento.
114
Também é possível criar uma visualização personalizada de logs no visualizador de eventos do Windows:
Isso é útil ao procurar certos tipos de eventos, encontrar eventos que aconteceram durante um determinado período de tempo, exibir eventos de um determinado nível e muitos outros critérios. Há uma exibição personalizada interna chamada Eventos administrativos que mostra todos os eventos críticos, de erro e de aviso de todos os logs administrativos. Esta é uma boa visão para começar ao tentar solucionar um problema.
Os logs de eventos de segurança são encontrados em Logs do Windows. Eles usam IDs de evento para identificar o tipo de evento.
115
Qual é o papel do Windows Update?
O Windows Update desempenha um papel crucial na manutenção e segurança do sistema operacional Windows. Ele é responsável por fornecer atualizações de software, correções de segurança e novas funcionalidades para garantir que o sistema esteja sempre atualizado e funcionando de maneira eficiente.
116
Principais Funções do Windows Update:
Correções de Segurança: Instala patches de segurança para proteger o sistema contra vulnerabilidades e ameaças cibernéticas.
Atualizações de Software: Fornece as versões mais recentes do software da Microsoft, incluindo melhorias e correções de bugs.
Novas Funcionalidades: Adiciona novas funcionalidades e aprimoramentos ao sistema operacional, melhorando a experiência do usuário.
Compatibilidade de Hardware e Software: Atualiza drivers de hardware para garantir compatibilidade com novos dispositivos e melhorias no desempenho.
Estabilidade do Sistema: Resolve problemas conhecidos que podem causar instabilidade ou falhas no sistema, garantindo um ambiente de computação mais estável e confiável.
117
O que são patches (Windows Update)?
Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam patches e atualizações em uma aplicação completa de atualização chamada de service pack. Muitos ataques devastadores de vírus poderiam ter sido muito menos graves, se mais usuários tivessem baixado e instalado o service pack mais recente. É altamente desejável que as empresas utilizem sistemas que distribuam, instalam e rastreiam automaticamente as atualizações de segurança.
118
O que é uma política de segurança?
Uma política de segurança é um conjunto de objetivos que garante a segurança de uma rede, dos dados e dos sistemas de computador em uma organização. A política de segurança é um documento em constante desenvolvimento, baseado em mudanças na tecnologia, nos negócios e nas necessidades dos funcionários.
119
Sobre o uso da ferramenta de política de segurança local:
Na maioria das redes que usam computadores Windows, o Active Directory é configurado com domínios em um servidor Windows. Computadores Windows ingressam no domínio. O administrador configura uma Política de Segurança de Domínio que se aplica a todos os computadores que ingressam no domínio. As políticas de conta são definidas automaticamente quando um usuário efetua login em um computador que é membro de um domínio.
120
Como evitar ataques de força bruta com a ferramenta de políticas de segurança do windows?
Use a Diretiva de Bloqueio de Conta em Diretivas de Conta, para impedir tentativas de login por força bruta. Por exemplo, você pode definir a política para permitir que o usuário insira um nome de usuário e / ou senha incorretos cinco vezes. Após cinco tentativas, a conta é bloqueada por 30 minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o usuário pode tentar entrar novamente.
121
O que é o Windows Defender?
O Windows Defender, agora conhecido como Microsoft Defender, é um software de segurança integrado ao Windows que oferece proteção em tempo real contra diversas ameaças, como vírus, malware, spyware e outras formas de software malicioso.
122
Principais Funções do Microsoft Defender:
Proteção em Tempo Real: Monitora o sistema continuamente;
Análises e Varreduras: Realiza varreduras periódicas;
Firewall: Inclui um firewall que ajuda a monitorar e controlar o tráfego de rede, bloqueando conexões não autorizadas.
Proteção contra Phishing;
Segurança de Rede: Monitora a rede para detectar e bloquear atividades suspeitas e ameaças provenientes da Internet ou de dispositivos conectados.
Atualizações Automáticas;
Proteção da Família: Oferece ferramentas de controle parental;
123
Os seguintes tipos de programas antimalware estão disponíveis:
Proteção antivírus - Este programa monitora continuamente a existência de vírus. Quando um vírus é detectado, o usuário é avisado e o programa tenta colocar o vírus em quarentena ou excluí-lo.
Proteção de adware - Este programa procura continuamente programas que exibem anúncios em seu computador.
Proteção contra phishing - este programa bloqueia os endereços IP de sites de phishing conhecidos e avisa o usuário sobre sites suspeitos.
Proteção contra spyware - este programa verifica a existência de keyloggers e outros spywares.
Fontes confiáveis / não confiáveis - Este programa avisa sobre programas inseguros prestes a serem instalados ou sites inseguros antes de serem visitados.
124
O que faz um firewall?
Um firewall nega, seletivamente, o tráfego a um computador ou a um segmento de rede. Os firewalls trabalham, geralmente, abrindo e fechando as portas usadas por vários aplicativos. Ao abrir apenas as portas necessárias em um firewall, você está implementando uma política de segurança restritiva. Qualquer pacote não explicitamente permitido é negado.
125
Qual ferramenta do Windows registra histórico, aplicativos, segurança e eventos do sistema?
Visualizador de eventos
126
Qual ferramenta ou comando do Windows pode ser usado para procurar conexões TCP de entrada ou saída em um host Windows que não estão autorizadas?
Netstat
127
Qual comando ou ferramenta localiza o endereço IP de um servidor a partir de uma URL?
Nslookup
128
Qual ferramenta do Windows é o banco de dados que armazena todas as informações sobre hardware, aplicativos, usuários e configurações do sistema?
Registro do Windows
129
Um incidente de segurança foi arquivado e um empregado acredita que alguém esteve no computador desde que o empregado saiu ontem à noite. O funcionário afirma que o computador foi desligado antes de o funcionário sair para a noite. O computador está funcionando lentamente e os aplicativos estão agindo de forma estranha. Qual ferramenta do Microsoft Windows seria usada pelo analista de segurança para determinar se e quando alguém fez logon no computador após o horário de trabalho?
isualizador de eventos.
Para verificar os eventos de logon e logoff:
Abra o Visualizador de Eventos digitando "eventvwr" na caixa de pesquisa do Windows e pressionando Enter.
Navegue até Logs do Windows > Segurança.
Procure por eventos com o ID 4624 (logon bem-sucedido) e 4634 (logoff).
130
O que seria exibido se o comando netstat -abno fosse inserido em um PC com Windows?
Todas as conexões TCP e UDP ativas, seu estado atual e seu ID de processo associado (PID).
Quando você insere o comando netstat -abno em um PC com Windows, ele exibe uma lista detalhada de todas as conexões de rede e portas de escuta, juntamente com informações adicionais sobre cada conexão. Aqui está o que cada opção faz:
-a: Exibe todas as conexões e portas de escuta.
-b: Mostra o executável envolvido na criação de cada conexão ou porta de escuta.
-n: Exibe endereços e números de porta numericamente (em vez de resolver nomes).
-o: Exibe o identificador do processo (PID) associado a cada conexão.
131
Qual é o propósito do comando cd /?
Muda o diretório para o diretório raiz.
132
Qual comando net é usado em um PC Windows para estabelecer uma conexão com um diretório compartilhado em um servidor remoto?
net use
133
Que termo é usado para descrever uma unidade lógica que pode ser formatada para armazenar dados?
Partição.
Uma partição é uma divisão do disco rígido que é tratada como uma unidade separada pelo sistema operacional. Cada partição pode ser formatada com um sistema de arquivos específico (como NTFS, FAT32, etc.) e usada para armazenar dados de forma organizada e isolada das outras partições.
134
Qual utilitário é usado para mostrar os recursos do sistema consumidos por cada usuário?
Gerenciador de tarefas.
Especificamente, a guia Usuários no Gerenciador de Tarefas exibe informações sobre o uso de recursos como CPU, memória, disco e rede por cada usuário logado no sistema.
135
O que contém informações sobre como as partições de disco rígido são organizadas?
MBR:
O MBR contém informações sobre como as partições de um disco rígido são organizadas, incluindo a tabela de partições e o código de boot necessário para iniciar o sistema operacional.
136
Por motivos de segurança, um administrador de rede precisa garantir que os computadores locais não possam efetuar ping entre si. Quais configurações podem realizar essa tarefa?
1: Configurar o Firewall do Windows Defender:
Abra o Painel de Controle e vá para Sistema e Segurança > Firewall do Windows Defender.
Clique em Configurações avançadas.
Crie uma nova regra de entrada que bloqueie o protocolo ICMPv4 (usado pelo comando ping):
Clique em Regras de Entrada > Nova Regra.
Selecione Personalizada e clique em Avançar.
Escolha Todos os programas e clique em Avançar.
Na tela de Protocolos e Portas, selecione ICMPv4 no campo Protocolo.
Clique em Avançar até a tela de Ação e selecione Bloquear a conexão.
Nomeie a regra e finalize a criação da regra.
2: Configurar regras de firewall em roteadores ou switches;
3: Utilizar políticas de grupo (GPO).
137
Quando um usuário faz alterações nas configurações de um sistema Windows, onde essas alterações são armazenadas?
Registro do Windows
138
Exemplo de cmdlets comuns:
Get-Process: Obtém informações sobre processos em execução.
Select-Object: Seleciona propriedades de objetos.
Sort-Object: Classifica objetos com base em suas propriedades.
Export-CSV: Exporta dados para um arquivo CSV.
139
Um usuário cria um arquivo com extensão .ps1 no Windows. Que tipo de arquivo é esse?
Script do Power Shell
