Myrmex
Myrmex
Cadastrar
Blog/Casos de Uso

Auditoria Windows: Hardening e Conformidade de Segurança

Auditoria Windows: Hardening e Conformidade de Segurança
WindowsWINDOWS
Myrmex

O Desafio

Garantir a postura de segurança de endpoints Windows em uma frota distribuída é uma batalha constante. Administradores de TI frequentemente lutam para verificar se controles básicos de hardening — como Windows Defender, Perfis de Firewall e Criptografia BitLocker — estão realmente ativos e funcionando corretamente. Shadow IT e administradores locais não autorizados complicam ainda mais o cenário, deixando dispositivos vulneráveis a ransomware e roubo de dados.

O objetivo era realizar uma auditoria não intrusiva e apenas de leitura para:

  • Verificar o status operacional do Windows Defender e Proteção em Tempo Real
  • Confirmar que o BitLocker está criptografando totalmente o disco de boot
  • Identificar todos os usuários com privilégios Administrativos locais
  • Detectar quaisquer programas de inicialização não assinados ou suspeitos

O Prompt Enviado ao Myrmex

Usando o Agente Myrmex (Perseus) instalado no dispositivo alvo, enviamos:

Audite a postura de segurança atual do Windows verificando o status do Windows Defender,
perfis de Firewall e criptografia BitLocker em todos os drives.
Liste todos os usuários locais com privilégios Administrativos e identifique quaisquer
programas de inicialização que não sejam assinados.
Forneça um resumo do estado de hardening do sistema sem aplicar quaisquer alterações.

Nota: O Myrmex atua como um auditor de segurança, consultando classes WMI (como Win32_BitLockerVolume e Root\SecurityCenter2) e registros do sistema para construir um relatório de saúde abrangente.

O Que o Myrmex Fez

O Myrmex executou uma auditoria de segurança vetorial no endpoint DEMO-WIN11.

Relatório de Auditoria de Segurança: DEMO-WIN11

CategoriaStatusDetalhes
Windows DefenderSeguroAtivo com Proteção em Tempo Real habilitada (v4.18.26010.5).
FirewallAtivoTodos os perfis (Domínio, Privado, Público) estão habilitados.
BitLockerCriptografadoDrive C: está 100% criptografado com proteção ativa.
Acesso Privilegiado⚠️ Revisar2 contas Administrativas identificadas.
PersistênciaVerificadoNenhum programa de inicialização não assinado detectado.

Descobertas Técnicas

1. Proteção de Endpoint

O Myrmex verificou que o Serviço Antimalware estava operacional e as assinaturas atualizadas (Versão: 1.443.1118.0). Crucialmente, confirmou que todos os três perfis de Firewall (Domínio, Privado, Público) estavam estritamente habilitados, bloqueando tráfego de entrada não autorizado.

2. Proteção de Dados (BitLocker)

A auditoria confirmou que o Volume C: está 100% criptografado. Esta é uma verificação de conformidade crítica para LGPD e GDPR, garantindo que os dados permaneçam inacessíveis mesmo se o laptop for fisicamente roubado.

3. Gestão de Identidade e Acesso

Dois usuários foram encontrados no grupo local de Administradores:

  1. LAPTOP-HTFLDVV6\Administrador (Nativo)
  2. LAPTOP-HTFLDVV6\ANX-NB04 (Usuário Local)

Risco: O usuário ANX-NB04 ter direitos administrativos permanentes viola o Princípio do Menor Privilégio (PoLP).

4. Análise de Persistência

Uma varredura de Win32_StartupCommand verificou que todos os binários de início automático, como SecurityHealthSystray.exe, possuíam assinaturas digitais válidas. Nenhum mecanismo de persistência de malware foi encontrado.

Benefícios da Abordagem

🛡️ Verificação Automática de Hardening

Em vez de verificar manualmente o Painel de Controle ou configurações de GPO em cada máquina, o Myrmex fornece um snapshot "sinal verde" do estado real do dispositivo.

🕵️ Detecção de Shadow Admin

Destacar instantaneamente quais usuários locais têm direitos de Admin permite que a TI revogue privilégios desnecessários, reduzindo a superfície de ataque para movimento lateral.

🔒 Evidência de Conformidade

O relatório serve como prova de criptografia e proteção para auditorias de conformidade (ISO 27001, SOC2).

Resultado

Com a análise do Myrmex:

  • Hardening Validado: Confirmado que Defender e Firewall estão protegendo o SO.
  • Segurança de Dados: Verificada a criptografia BitLocker no drive principal.
  • Insight Acionável: Identificado um usuário específico (ANX-NB04) para redução de privilégio.

Variações do Prompt

O mesmo padrão pode ser usado para investigações aprofundadas:

Para inventário de software:

Liste todos os aplicativos instalados no dispositivo Windows.
Sinalize qualquer software que não tenha sido atualizado nos últimos 6 meses.

Para auditoria de USB:

Recupere o histórico de todos os dispositivos de armazenamento em massa USB
conectados a esta máquina nos últimos 30 dias.
Classificado em: Casos de Uso
Autor : Vinicius Silva
Postagem anteriorAuditoria CIS Benchmark no Ubuntu: Como Identificar Vulnerabilidades no ServidorPróximo postPerformance Windows: Análise de Recursos e Estabilidade
MYRMEX | Auditoria Windows: Hardening e Conformidade de Segurança