Saltar a contenido

Exam Preparation

Enabling Windows Defender

Ahora que has completado el curso RTO (felicidades), estás listo para intentar el examen. La página de reserva se puede encontrar aquí - asegúrate de leer toda la información detenidamente. Para facilitar una experiencia de aprendizaje más sencilla, Windows Defender está deshabilitado en la mayoría de las máquinas en el laboratorio de RTO. Esto es para que puedas familiarizarte con los diversos ataques y técnicas sin esa capa adicional de dificultad. En contraste, Windows Defender está habilitado en cada máquina en el examen, lo que puede ser un gran cambio si no estás preparado. La forma más efectiva de prepararte para el examen es repasar las TTPs cubiertas en el curso y laboratorio de RTO, pero con Defender habilitado. Esta página te guiará a través del proceso para hacerlo.

Defender está deshabilitado mediante GPO, lo cual puedes verificar abriendo Group Management Console (GPMC) en Domain Controller 2 (dc-2.dev.cyberbotic.io). El GPO se llama simplemente "Windows Defender" y está vinculado a los Domain Controllers, SQL Servers, Web Servers y Workstations OU.

Para volver a habilitar Defender en un grupo de máquinas, simplemente deshabilita el enlace GPO en la OU correspondiente haciendo clic derecho en el GPO y desmarcando "Link Enabled".

Puedes esperar el ciclo natural de actualización de políticas de grupo; o iniciar sesión en la consola de cada máquina y ejecutar manualmente gpupdate desde un command prompt y luego reiniciar cada máquina.

C:\Users\bfarmer>gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

Defender debería estar habilitado en el próximo arranque. Si ves este mensaje de error dentro de la configuración de Windows Security, haz clic en Restart now y reinicia nuevamente.

Para probar AMSI, usa el cmdlet AMSI Test Sample en PowerShell.

Invoke-Expression 'AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386'

Deberías ver que el cmdlet es bloqueado:

At line:1 char:1
+ Invoke-Expression 'AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
This script contains malicious content and has been blocked by your antivirus software.

Sin embargo, este error significa que Defender no se está ejecutando correctamente:

AMSI: The term 'AMSI' is not recognized as a name of a cmdlet, function, script file, or executable program.
Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

Para probar detecciones en disco, coloca el archivo de prueba EICAR en algún lugar como el escritorio.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*