Hola que tal ,A ver si alquien podria ayudarme , Quisiera comentar aqui el problema que estoy teniendo desde hace ya un tiempo .Veo desde el visor de sucesos como estot teniendo accesos remotos no autorizados .Entre otras cosas me cambia las configuraciones del PC . elimina directivas de grupo que yo creo , crea o elimina reglas de Firewall,edita el registro , crea decenas de servicios ,inicia sesion con privilegios especiales ,Power Shell ejecuta script continuamente , activa la cuenta de invitado en cuanto me despisto,
No puedo tener nada ningun archivo propio ni nada por que me desaparece .
Configuro toda la seguridad que puedo y se , tengo antivirus comprado sigo los protocolos de seguridad de seguridad STIC-599B19 de la CCN , Pero ya no me da mas de si , No se como accede , Si alguien me puede ayudad ¿
Aqui dejo algun ejemplo .
WINDOWS DEFENDER:
La configuración de Antivirus de Microsoft Defender cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.
Valor anterior: HKLM\SOFTWARE\Microsoft\Windows Defender\Diagnostics\InitializingComponentProgress = RefreshFeatureStatus
Valor nuevo: HKLM\SOFTWARE\Microsoft\Windows Defender\Diagnostics\InitializingComponentProgress = ServiceStartedSuccessfully
La configuración de Antivirus de Microsoft Defender cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.
Valor anterior: HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x8
Valor nuevo: Default\ServiceStartStates = 0x0
WINDOWS REMOTE MANAGER:
La operación de WSMan Enumeration se inició con ResourceUri http://schemas.microsoft.com/wbem/wsman/1/config/listener
VCMSVC windows conection manager
Se procesó un cambio de directiva de grupo
Se procesó un cambio en la sesión de Terminal Services.
Motivo: Un usuario se conectó a la sesión
TerminalServices-LocalSessionManager
Servicios de Escritorio remoto: notificación de inicio de shell recibida:
Usuario: NASIOPAMATAR\marta
Identificador de sesión: 1
Dirección de red de origen: LOCAL
Servicios de Escritorio remoto: inicio de sesión correcto:
Usuario: NASIOPAMATAR\marta
Identificador de sesión: 1
Dirección de red de origen: LOCAL
SMBServer
El valor LmCompatibilityLevel es diferente al predeterminado.
Nivel de compatibilidad de LM configurado: 4
Nivel de compatibilidad de LM predeterminado: 3
Guía:
La autenticación de LAN Manager (LM) es el protocolo usado para autenticar clientes Windows para las operaciones de red. Esto incluye la unión a un dominio, el acceso a recursos de red y la autenticación de usuarios o equipos. Esto determina qué protocolo de autenticación desafío/respuesta se negocia entre el equipo cliente y el servidor. En concreto, el nivel de autenticación de LM determina los protocolos de autenticación que el cliente intentará negociar o que el servidor aceptará. El valor establecido para LmCompatibilityLevel determina el protocolo de autenticación desafío/respuesta que se usará para los inicios de sesión de red. Este valor afecta al nivel de protocolo de autenticación que los clientes usan, el nivel de seguridad de sesión que se negocia y el nivel de autenticación que los servidores aceptan.
Valor (configuración) - Descripción
0 (Enviar respuestas LM y NTLM): los clientes usan autenticación LM y NTLM y nunca la seguridad de sesión NTLMv2. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
1 (Enviar LM y NTLM - usar seguridad de sesión NTLMv2 si se negocia): los clientes usan autenticación LM y NTLM, y seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
2 (Enviar solo respuesta NTLM): los clientes usan solo autenticación NTLM, y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
3 (Enviar solo respuesta NTLM v2): los clientes usan solo autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
4 (Enviar solo respuesta NTLMv2/rechazar LM): los clientes usan solo autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan LM y solo aceptan autenticación NTLM y NTLMv2.
5 (Enviar solo respuesta NTLM v2/rechazar LM y NTLM): los clientes usan solo autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan LM y NTLM y aceptan solo autenticación NTLMv2.
Los niveles de LmCompatibility configurados de forma incompatible entre un cliente y un servidor (como 0 en un cliente y 5 en un servidor) impiden el acceso al servidor. Los servidores y clientes que no son de Microsoft también proporcionan estos valores de configuración.
SMBClien
El valor del Registro AllowInsecureGuestAuth no está configurado con las opciones predeterminadas.
Valor del Registro predeterminado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
“AllowInsecureGuestAuth”=dword:0
Valor del Registro configurado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
“AllowInsecureGuestAuth”=dword:1
Guía:
Este evento indica que un administrador ha habilitado inicios de sesión como invitado no seguros. Los inicios de sesión como invitado no seguro se producen cuando un servidor inicia la sesión de un usuario como un invitado sin autenticar, lo que suele producir un error de autenticación. Los inicios de sesión como invitado no admiten características de seguridad estándar como la firma y el cifrado. Como resultado, los inicios de sesión como invitado hacen que el cliente sea vulnerable a ataques de tipo “Man in the middle” que pueden exponer información confidencial en la red. Windows deshabilita de manera predeterminada los inicios de sesión como invitado no seguros. Microsoft no recomienda habilitarlos.