Quando realizamos uma auditoria de segurança no Windows contamos com ferramentas como Mimikatz, pwdump, psexec, wce.exe, Nessus, Cain & Abel, etc. Mas não só nós como auditores que usamos, mas também potenciais atacantes eles vão querer parar um possível ataque em nossas empresas certo?
Como um lembrete, de salientar que o AppLocker é incorporado em sistemas operacionais Windows a partir do Windows Server 2008 R2 e Windows 7 que criar regras para permitir ou negar a execução de aplicações baseadas na identidade dos arquivos e especificar quais usuários ou grupos podem executar funcionalidade estas aplicações, tornando-se um bloco de ferramentas de hackers ideais que podem ser utilizados por atacantes para prosperar em uma intrusão interno ao longo de nossa funcionalidade de rede.
Para abrir o menu AppLocker tem que abrir secpol.msc:
Em seguida, com o botão direito do mouse selecione a opção "Criar nova regra":
E clique em "Negar":
O próximo passo será marcar "Hash File"
E nós selecionados todas as ferramentas de corte que são normalmente utilizados em uma auditoria interna para o cálculo em todos os hashes:
Se tudo correu corretamente, teremos as regras criadas, e deixará de executar essas ferramentas em computadores locais, servidores, etc.:
