Luiz Henrique Lima Campos – Microsoft MVP

24 de maio de 2021
por luizhenriquelima
0 comentários

PowerShell para verificar o Windows Defender

1. Verifique o status do Defender

Antes de seguir estes métodos, certifique-se de que o Microsoft Defender está em execução no seu dispositivo.Se usar qualquer programa de segurança diferente do Microsoft Defender, este método não funcionará. Você deve desabilitar todos os pacotes de segurança de terceiros para fazer a varredura em seu computador com o Microsoft Defender.

Na janela do Powershell, você precisa executar o comando fornecido a seguir.

Get-MpComputerStatus

O comando acima listará todos os detalhes do Microsoft Defender. Se o Microsoft Defender estiver em execução no seu sistema, ele será exibido ‘Certo’ sobre ele Antivírus ativado campo.

2. Atualize o Microsoft Defender

Se você instalar todas as atualizações do Windows 10 dentro do prazo, não será necessário seguir este método. No entanto, se você não estiver atualizando para o Windows 10, pode ser necessário atualizar seu aplicativo Microsoft Defender. Para atualizar o Microsoft defender, execute o comando –

Update-MpSignature

3. Execute uma verificação de vírus completa

Se você não verifica seu computador há algum tempo, é melhor executar uma verificação antivírus completa. Você pode confiar no Powershell para executar uma verificação antivírus completa em seu computador. A verificação completa verifica todos os arquivos em seu computador Windows; portanto, leva tempo para concluir a verificação completa. Para executar uma verificação antivírus completa, execute o comando-

Home-MpScan -ScanType FullScan

Como a verificação completa leva tempo para ser concluída, você pode forçar o advogado da Microsoft a executar a verificação em segundo plano. Para fazer isso, execute o comando.

Home-MpScan -ScanType FullScan -AsJob

4. Execute uma verificação rápida com o PowerShell

Bem, a verificação completa leva tempo para ser concluída e torna o dispositivo mais lento. Nesse caso, você pode usar o recurso Microsoft Defender Quick Scan. Para executar uma verificação antivírus rápida usando o Powershell, execute o comando abaixo e pressione o botão Enter.

Home-MpScan -ScanType QuickScan

5. Execute a verificação offline do Defender

Para quem não sabe, o Microsoft Defender também possui um recurso de verificação offline, que remove malware difícil de detectar. No entanto, a verificação offline é executada em um ambiente confiável. Isso significa que você pode perder seu emprego atual. Portanto, antes de executar a verificação offline, certifique-se de salvar todos os arquivos abertos. Para executar a verificação offline do Microsoft Defender via Powershell, execute o comando:

Home-MpWDOScan

Portanto, este guia é sobre como usar o PowerShell para verificar o Windows 10 Defender.

13 de abril de 2021
por luizhenriquelima
0 comentários

Atualize o PowerShell para a versão mais recente

Para fazer isso, você deve primeiro inicie o PowerShell com permissões de administrador Para que tudo funcione, na linha de comando você terá que digitar o seguinte seguido da tecla Enter e esperar alguns segundos para que o download e a instalação da última versão disponível sejam concluídos.

iex “& { $(irm https://aka.ms/install-powershell.ps1) } -UseMSI”

igite o seguinte na linha de comando seguido pela tecla enter, e você verá automaticamente a versão:

Get-Host | Select-Object Version

Até a proxima.

9 de março de 2021
por luizhenriquelima
0 comentários

Vulnerabilidades exploradas no Microsoft Exchange Server

Invasores estão explorando quatro vulnerabilidades perigosas no Microsoft Exchange para entrar em redes corporativas.

A Microsoft lançou patches não programadas para várias vulnerabilidades do Exchange Server. Quatro dessas vulnerabilidades, de acordo com a empresa, já estão sendo usadas em ataques direcionados, portanto, seria aconselhável instalar as atualizações o mais rápido possível.

Qual é o risco?

As quatro vulnerabilidades mais perigosas já exploradas permitem que os invasores realizem um ataque em três estágios. Primeiro, eles acessam um servidor Exchange, em seguida, criam um Web shell para acesso ao servidor remoto e, por último, usam esse acesso para roubar dados da rede da vítima. As vulnerabilidades são:

  • CVE-2021-26855 — pode ser usada para falsificação de solicitação backend do servidor, levando à execução remota de código;
  • CVE-2021-26857 — pode ser usada para executar código arbitrário em nome do sistema (embora isso demande direitos de administrador ou exploração da vulnerabilidade anterior);
  • CVE-2021-26858 e CVE-2021-27065 — pode ser usado por um invasor para sobrescrever arquivos no servidor.

Os cibercriminosos usam as quatro vulnerabilidades em conjunto; no entanto, de acordo com a Microsoft, em vez de um ataque inicial, eles às vezes usam credenciais roubadas e as autenticam no servidor sem usar a vulnerabilidade CVE-2021-26855.

Além disso, a mesma patch corrige algumas outras vulnerabilidades menores no Exchange que não estão (até onde sabemos) diretamente relacionadas a ataques direcionados ativos.

Quem está em risco?

A versão em nuvem do Exchange não é afetada por essas vulnerabilidades; eles representam uma ameaça apenas para os servidores implementados na infraestrutura. Inicialmente, a Microsoft liberou atualizações para o Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e uma atualização adicional de “Defesa em Profundidade” para o Microsoft Exchange Server 2010. No entanto, devido à gravidade da exploração, eles adicionaram posteriormente correções para Servidores Exchange desatualizados.

De acordo com pesquisadores da Microsoft, foram os hackers do grupo Hafnium que exploraram as vulnerabilidades para roubar informações confidenciais. Seus alvos incluem empresas industriais americanas, pesquisadores de doenças infecciosas, escritórios de advocacia, organizações sem fins lucrativos e analistas políticos. O número exato de vítimas é desconhecido, mas de acordo com fontes do KrebsOnSecurity, pelo menos 30 mil organizações nos EUA, incluindo pequenas empresas, administrações municipais e municipais e governos locais foram hackeados usando essas vulnerabilidades.

Nossos especialistas descobriram que não apenas as organizações americanas estão em perigo – os cibercriminosos em todo o mundo estão usando essas vulnerabilidades.

Como se proteger de ataques ao MS Exchange

  • Em primeiro lugar, atualize o seu Microsoft Exchange Server. Se sua empresa não puder realizar os procedimentos para tal, a Microsoft recomenda uma série de soluções alternativas.
  • De acordo com a Microsoft, negar o acesso não confiável ao servidor Exchange na porta 443, ou geralmente limitar as conexões de fora da rede corporativa, pode interromper a fase inicial do ataque. Mas isso não ajudará se os invasores já estiverem dentro da infraestrutura ou se obtiverem um usuário com direitos de administrador para executar um arquivo malicioso.
  • Uma solução confiável de Endpoint Detection and Response (se você tiver especialistas internos) ou especialistas externos de serviço de Managed Detection and Response podem detectar esse comportamento malicioso.
  • Sempre tenha em mente que todo computador conectado à Internet, seja servidor ou estação de trabalho, precisa de uma solução de segurança de endpoint confiável para prevenir invasões e detectar proativamente o comportamento malicioso.

2 de março de 2021
por luizhenriquelima
0 comentários

Windows Server 2022 com novos recursos de segurança

A Microsoft anunciou em sua conferência anual de desenvolvedores e profissionais de TI o lançamento de uma versão de amostra do Windows Server 2022. A empresa vai trazer melhorias de segurança como o Secured-core para a plataforma.

A nova versão terá conectividade segura e habilitada pela criptografia AES 256 padrão da indústria. Outro diferencial será o gerenciamento do servidor híbrido, possibilitando um monitoramento mais preciso de desempenho e dos alertas de eventos no Windows Admin Center.

“Além disso, este lançamento inclui melhorias significativas no tempo de execução do contêiner do Windows, como fusos horários virtualizados e suporte IPV6 para aplicativos escalonáveis globalmente, bem como ferramentas de contêiner para aplicativos .NET, ASP.NET e IIS”, acrescentou a Microsoft.

Windows Server 2022 com Secured-core

Os computadores com núcleo seguro são, atualmente, a solução para driblar o número de vulnerabilidades crescentes de firmware. Os invasores podem acessar a inicialização segura de uma máquina Windows e alterar a visibilidade no nível de firmware presente nas soluções de segurança de endpoint atuais.

Desde 2019 a empresa já vem adotando o Secured-core em todos os computadores. A intenção é manter os melhores recursos de segurança para proteger os usuários de ameaças, como ataques de hackers e malware comum, que aproveitam falhas de segurança para agirem.

Os computadores de núcleo seguro desenvolvidos pela Microsoft oferecem os seguintes recursos:

  • Carregar o Windows com segurança: Habilitado com Hypervisor Enforced Integrity, um PC com núcleo protegido, vai iniciar apenas programas assinados e aprovados por autoridades conhecidas. Além disso, o hipervisor define e impõe permissões para evitar que o malware tente modificar a memória e torná-lo executável.
  • Proteção de firmware: O System Guard Secure Launch usa a CPU para validar o dispositivo para inicializar com segurança, evitando ataques de firmware avançados.
  • Proteção de identidade: O Windows Hello permite que o usuário entre sem uma senha. O Credential Guard aproveita o VBS para evitar ataques de identidade.
  • Ambiente operacional seguro e isolado de hardware: A máquina usa o Trusted Platform Module 2.0 e uma CPU moderna com medição de raiz dinâmica de confiança (DRTM) para inicializar o sistema com segurança e minimizar vulnerabilidades de firmware.

Os servidores de núcleo seguro agora seguem essas disposições para inicializar com segurança, se proteger de bugs de firmware, proteger o sistema operacional de ataques, impedir o acesso não autorizado e manter a identidade dos usuários e as credenciais de domínio.

O Windows Server 2022 junto com o Secured-core adicionam os seguintes recursos de defesa preventiva aos servidores.

  • Proteção aprimorada contra exploits: Inovações de hardware permitem implementações robustas e de alto desempenho de mitigações de exploits. A proteção de pilha imposta por hardware aproveitará as vantagens da mais recente extensão de segurança de chipset, a tecnologia de aplicação de fluxo de controle. O Windows Server 2022 e os aplicativos serão protegidos por uma técnica de exploração comum. A programação orientada a retorno (ROP), frequentemente usada para sequestrar o fluxo de controle pretendido de um programa.
  • Segurança de conexão: As conexões seguras estão no centro dos sistemas interconectados de hoje. O Transport Layer Security (TLS) 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa os dados para fornecer um canal de comunicação seguro entre dois terminais.O TLS 1.3 elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. O Windows Server 2022 inclui o TLS 1.3 habilitado por padrão, protegendo os dados dos clientes que se conectam ao servidor.
  • Suporte de conta aprimorado para contêineres: Os contêineres estão sendo adotados por muitos clientes como um bloco de construção preferido para seus aplicativos e serviços. Os clientes usam contas de serviço gerenciadas em grupo (gMSA) como a solução de identidade do Active Directory recomendada para executar um serviço em um farm de servidores. Hoje, qualquer pessoa que tente colocar em contêiner seus serviços e aplicativos do Windows que usam (gMSA) deve ingressar no domínio de seu host de contêiner para habilitar a funcionalidade.
  • Mas o usuário deve ficar atento. Isso pode causar problemas de escalabilidade e gerenciamento. O Windows Server 2022 oferece suporte a melhorias para (gMSA) para contêineres do Windows que permitem habilitar o suporte sem que o domínio se junte ao host.

Secured-core para dispositivos Azure IoT Edge

A Microsoft também apresentou o rótulo do dispositivo Edge Secured-core no Microsoft Ignite 2021 para identificar os dispositivos Azure IoT Edge, que atendem às especificações Secured-core.

De acordo com a empresa, “agora, os clientes corporativos que buscam dispositivos de Internet das Coisas (IoT) que atendem à barra de segurança definida pelo Azure podem identificar facilmente os modelos de dispositivos que possuem o rótulo Edge Secured-core no Catálogo de Dispositivos Azure”.