Windows domina los entornos empresariales. La gran mayoría de las organizaciones utilizan Windows como sistema operativo de sus estaciones de trabajo y, en muchos casos, de sus servidores. Un técnico de seguridad debe ser fluido en la administración de Windows, dominar PowerShell, interpretar los registros de eventos y entender la estructura del Registro, ya que estas habilidades son la base para detectar intrusiones, realizar auditorías y responder a incidentes en entornos corporativos reales.Documentation Index
Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt
Use this file to discover all available pages before exploring further.
Comandos CMD Esenciales
La línea de comandos clásica de Windows, aunque más limitada que PowerShell, sigue siendo una herramienta fundamental. En muchos entornos comprometidos o en sistemas heredados, CMD puede ser la única interfaz disponible. Estos comandos cubren las tareas de enumeración y administración más habituales.PowerShell para Seguridad
PowerShell es el lenguaje de scripting y administración moderno de Windows. Su integración profunda con el sistema operativo, el framework .NET y Active Directory lo convierte en una herramienta indispensable para administradores y, por ese mismo motivo, en el vector de ataque preferido de los atacantes avanzados. Dominar PowerShell desde la perspectiva defensiva te permitirá detectar su uso malicioso y responder de forma efectiva.Visor de Eventos (Event Viewer)
El Visor de Eventos de Windows es la primera fuente de información en cualquier investigación de incidentes. Cada acción relevante del sistema genera un evento con un identificador único (Event ID). Conocer los Event IDs más importantes te permitirá identificar rápidamente actividad sospechosa, intentos de intrusión y comportamientos anómalos sin necesidad de herramientas adicionales.| Event ID | Descripción | Relevancia |
|---|---|---|
| 4624 | Inicio de sesión exitoso | Auditoría de accesos legítimos e ilegítimos |
| 4625 | Inicio de sesión fallido | Detección de ataques de fuerza bruta |
| 4648 | Inicio de sesión con credenciales explícitas | Indicador de lateral movement |
| 4688 | Creación de un nuevo proceso | Detección de ejecución de malware |
| 4698 | Creación de tarea programada | Técnica de persistencia de malware |
| 7045 | Instalación de nuevo servicio | Posible instalación de backdoor |
eventvwr.msc desde el cuadro de diálogo Ejecutar. El canal Security es el más relevante para auditoría, aunque también conviene revisar System y Application. Con PowerShell puedes filtrar y exportar eventos de forma programática, lo que facilita el análisis masivo de logs.
Registro de Windows
El Registro de Windows es una base de datos jerárquica que almacena la configuración del sistema operativo, aplicaciones y usuarios. Es también uno de los mecanismos más utilizados por el malware para establecer persistencia. Un técnico de seguridad debe conocer las claves de registro más relevantes para detectar configuraciones anómalas durante un análisis forense o una auditoría. Las claves de mayor relevancia para seguridad son las siguientes:regedit.exe o PowerShell con Get-ItemProperty para acceso programático. Las claves Run y RunOnce bajo HKLM y HKCU son los primeros lugares donde buscar persistencia de malware. Los servicios instalados en HKLM\SYSTEM\CurrentControlSet\Services deben contrastarse con una línea base limpia del sistema para detectar servicios maliciosos.
Además de estas claves principales, presta atención a:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon— permite sustituir procesos del sistema al inicio de sesiónHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce— se ejecuta una sola vez y se elimina automáticamenteHKCU\SOFTWARE\Classes\— puede usarse para COM hijacking
PowerShell es la herramienta de administración más poderosa en Windows. Dominar
Get-EventLog, Get-Process y Get-NetTCPConnection te permitirá detectar actividad sospechosa de forma efectiva.