Guía Rápida de Comandos para la Respuesta a Incidentes en Windows
Guía práctica de comandos Windows y PowerShell para la identificación y mitigación de amenazas durante la respuesta a incidentes.
Bienvenido a esta guía práctica sobre la gestión de incidentes de seguridad en sistemas Windows. Encontrarás una serie de comandos útiles para identificar y mitigar amenazas, asegurando que tu sistema se mantenga seguro y operativo.
Visualización de Cuentas de Usuario
Métodos para listar y gestionar cuentas de usuario locales en tu sistema.
Método GUI: Presiona Windows+R y escribe lusrmgr.msc, luego haz clic en OK.
Comando net user: Abre Command Prompt como administrador y escribe net user, luego presiona Enter.
Comando net localgroup: Abre Command Prompt como administrador y escribe net localgroup administrators, luego presiona Enter.
Get-LocalUser (PowerShell): Abre PowerShell como administrador y escribe Get-LocalUser, luego presiona Enter.
Visualización de Procesos
Métodos para ver y gestionar procesos en ejecución en tu sistema.
Task Manager (GUI): Presiona Windows+R, escribe taskmgr.exe y haz clic en OK.
Comando tasklist: Abre Command Prompt como administrador y escribe tasklist, luego presiona Enter.
Get-Process (PowerShell): Abre PowerShell como administrador y escribe Get-Process, luego presiona Enter.
Comando wmic:
wmic process list full
wmic process get name,parentprocessid,processid
wmic process where 'ProcessID=PID' get CommandlineVisualización de Servicios
Método GUI: Presiona Windows+R y escribe services.msc, luego haz clic en OK.
Comando net start: Abre Command Prompt como administrador y escribe net start.
Comando sc query: Abre Command Prompt como administrador y escribe sc query | more.
Programador de Tareas
Método GUI: Navega a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools.
Comando schtasks: Abre Command Prompt como administrador y escribe schtasks.
Aplicaciones de Inicio
Método GUI: Abre Task Manager y haz clic en la pestaña Startup.
wmic startup (PowerShell):
wmic startup get caption,command
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-ListRegistro de Windows
Método GUI: Abre REGEDIT y navega manualmente a la clave de ejecución.
reg query (PowerShell):
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunPuertos TCP y UDP Activos
Comando netstat: Abre Command Prompt como administrador y escribe netstat -ano.
Get-NetTCPConnection (PowerShell):
Get-NetTCPConnection -LocalAddress IP | Sort-Object LocalPortUso Compartido de Archivos
Comando net view: Abre Command Prompt y escribe net view \\localhost.
Get-SMBShare (PowerShell): Abre PowerShell y escribe Get-SMBShare.
Archivos
Comando forfiles:
forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"Configuración de Firewall
netsh firewall show config
netsh advfirewall show currentprofileSesiones y Conexiones
net use
net sessionEntradas de Registro y Logs de Seguridad
Método GUI: Abre Event Viewer presionando Windows+R y escribiendo eventvwr.msc.
Comando wevtutil: Abre Command Prompt y escribe wevtutil qe security.
Get-EventLog (PowerShell): Abre PowerShell y escribe Get-EventLog -list.
Logs de Auditoría de Seguridad
Comando auditpol:
auditpol /get /category:*
auditpol /set /subcategory:"Logon" /success /failureComando secedit:
secedit /analyze /cfg "C:\Path\To\SecurityTemplate.inf" /log "C:\Path\To\LogFile.log"Otros Comandos Útiles
Revisar eventos específicos:
wevtutil qe System "/q:*[System[(EventID=4624)]]" /fVerificar configuración de firewall:
netsh advfirewall show currentprofileMonitorear conexiones de red:
Get-NetTCPConnection -State EstablishedConclusión
Esta guía resume los comandos más útiles para responder a incidentes en un sistema Windows, facilitando la identificación y mitigación de amenazas. Al utilizar estas herramientas, puedes asegurar la integridad y seguridad de tu sistema de manera eficiente y efectiva.