No universo da cibersegurança, o sistema operacional Windows continua sendo amplamente utilizado em ambientes corporativos e, por isso, exige atenção especial por parte dos profissionais da área. Um analista de segurança da informação em início de carreira precisa dominar diversos comandos nativos do sistema operacional para realizar tarefas de investigação, auditoria, monitoramento e resposta a incidentes.
Este artigo apresenta uma lista com os principais comandos que todo analista de segurança júnior deve conhecer para atuar de forma eficaz na proteção de sistemas baseados em Windows.
Estes comandos fornecem uma visão geral sobre o sistema operacional, incluindo detalhes técnicos importantes para investigações:
systeminfo – Exibe informações detalhadas sobre a instalação do sistema, como nome do host, versão do Windows, hotfixes instalados, entre outros.
wmic os get caption, version – Retorna a versão exata do sistema operacional em execução.
Esses comandos são fundamentais para identificar usuários locais, permissões administrativas e privilégios ativos:
net user – Lista todos os usuários locais cadastrados no sistema.
net localgroup administrators – Mostra quais contas estão no grupo de administradores.
whoami /priv – Exibe os privilégios do usuário logado.
Para monitoramento de atividades suspeitas e gerenciamento de processos em tempo real:
tasklist – Lista todos os processos atualmente em execução.
taskkill /PID <PID> /F – Finaliza um processo específico com base em seu PID.
wmic process get name, executablepath – Mostra os nomes dos processos e seus respectivos caminhos de execução.
Esses comandos são essenciais para consulta de eventos e análise de auditorias configuradas:
wevtutil qe Security /c:5 /rd:true /f:text – Exibe os cinco eventos mais recentes do log de segurança.
auditpol /get /category:* – Lista todas as políticas de auditoria aplicadas no sistema.
A análise de rede e conexões pode ajudar na detecção de movimentações laterais ou conexões externas suspeitas:
ipconfig /all – Fornece detalhes completos sobre os adaptadores de rede.
netstat -ano – Lista todas as conexões de rede ativas com os respectivos processos associados.
nslookup <domínio> – Resolve nomes de domínio para endereços IP.
tracert <ip ou domínio> – Mostra o caminho percorrido até um destino na rede.
Manipular atributos e permissões de arquivos é essencial tanto para auditorias quanto para a detecção de alterações não autorizadas:
icacls <arquivo ou pasta> – Exibe e altera permissões de arquivos e diretórios.
attrib +h <arquivo> – Oculta um arquivo no sistema de arquivos.
Estes comandos ajudam a verificar o status de ferramentas nativas de segurança do Windows:
sc query windefend – Verifica se o serviço do Windows Defender está ativo.
netsh advfirewall show currentprofile – Exibe o status atual do firewall do Windows.
O domínio desses comandos é essencial para qualquer analista de segurança júnior que deseja atuar com competência na proteção de ambientes Windows. Eles oferecem uma base sólida para atividades de análise forense, auditoria, resposta a incidentes e hardening de sistemas.
Ao aplicar esse conhecimento no dia a dia, o profissional contribui diretamente para a robustez e resiliência do ambiente corporativo frente às ameaças digitais.
Outros artigos > Clonagem de SO > Ferramentas para Técnicos > Entendendo o ARP >