Windows services (detailed)

 

Windows services

 

10. Gestión del rendimiento en PowerShell para administradores de sistemas

Para no tener que recurrir a la restauración de copias de seguridad o reparación del sistema operativo, hay que detectar los problemas antes de que ocurran.

Rendimiento

En general los comandos que se encargan de analizar el rendimiento son:

  • Información sobre los procesos y servicios que se ejecutan en el sistema.
  • Eventos del sistema, que son acontecimientos que ocurren en el sistema operativo.
  • Monitor de rendimiento, que analiza el rendimiento del sistema operativo. Tiene control de la CPU, el disco, la red y la memoria.

Monitorizar procesos

Eventos del sistema

Ver todos los nombres de los contadores de rendimiento

Copias de seguridad

Una copia de seguridad consiste simplemente en tener duplicados los archivos en algún dispositivo o medio de almacenamiento, los archivos pueden ser de los usuarios o propios del sistema operativo.

Tipos de copias de seguridad:

  • Copia completa. Se almacenan todos los archivos de los que se desea hacer copia y se marcan como copiados. Este tipo de copia requiere gran cantidad de tiempo y suficiente espacio de almacenamiento para guardar la copia.
  • Copia incremental (progresiva). Se almacenan los archivos que se han modificado desde la última copia completa o incremental y se marcan como copiados.
  • Copia diferencial. Se almacenan los archivo que se han modificado desde la última copia completa y no se marcan como copiados.

Copiar archivos y directorios

Restauración

Consiste en restaurar archivos y la configuración del sistema, ayuda a corregir problemas. El restaurador utiliza puntos de restauración para hacer que los archivos del sistema y la configuración vuelvan al estado en que se encontraban en un momento anterior, sin que esto afecte a los archivos de los usuarios.

Los puntos de restauración se crean automáticamente todas las semanas (siempre y cuando no esté deshabilitado) y justo antes de los eventos de sistema importantes, como la instalación de un programa o controlador de dispositivo. También puede crear un punto de restauración manualmente.

Crear un punto y restaurar

 

Windows Post Exploitation Cmdlets Execution (PowerShell)

Presence

This section focuses on information gathering about the victim host and the network that it’s attached to.

System

shows-all-current-environmental-variables-macos

WMI

Networking

Users

Configs

Finding important files

Files to pull

Remote system access

Software

Auto­Start directories


Persistance

This section focuses on gaining a foothold to re­gain, or re­obtain access to a system through means of authentication, backdoors, etc..

Download

Compress or expand ZIP archive

Reg command exit

Deleting logs

Uninstalling software “Antivirus”

Invasive or altering commands

Seguridad informática con PowerShell

Introducción

  • Confidencialidad

  • Integridad

  • Disponibilidad
  • Autenticación
  • No repudio

Seguridad física

  • Analizar el hardware de los equipos de la empresa

  • Ver dispositivos conectados (móviles, almacenamiento USB, etc.)


Seguridad lógica

  • Ver información sobre usuarios y grupos (usuario que ha iniciado sesión)

  • Crear usuarios y grupos (procedimiento de creación)

  • Analizar el software de los equipos de la empresa

  • Analizar los programas que están instalados en los equipos de la empresa y ver la relación que tienen con los procesos y servicios

  • Analizar los programas que están instalados en los equipos de la empresa y ver la relación que tienen con los procesos y servicios (también se pueden analizar hilos)

  • Ver las actualizaciones instaladas en el sistema

  • Procesos que se están ejecutando

  • Ruta de ejecución de los procesos

  • Procesos y usuarios