Sospecho que se ha aplicado una modificación no autorizada a una instalación nueva de Win 10 x64 y / o una PC que la ejecuta una persona que me conoce personalmente con el fin de rastrear mi actividad y falsificar recursos web o de archivos. Nada lo suficientemente valioso como para emplear una asistencia de investigación, pero una buena razón para mejorar las habilidades técnicas.
Entonces ... ¿Cuál es el punto de inicio de la misión? ¿Hay alguna lista de verificación de seguridad que se deba revisar para examinar la seguridad del sistema?
Lo siguiente es mi opinión no profesional sobre el tema, así que por favor sea amable. Además, nunca antes utilicé Windows 10 como mi sistema operativo principal y podría perder nuevas API y cambios de políticas.
En primer lugar, creo que debería haber una manera de verificar si los archivos del sistema se modificaron. Dado que los metadatos de NTFS se pueden editar fácilmente, supongo que solo funcionaría la comprobación de hash, pero como Microsoft hornea sus arreglos, parches y actualizaciones de seguridad sin parar, uno necesitará un script y una base de datos CRC.
Desde donde se sigue la conexión a Internet a través de este DB (hipotético) se debe verificar independientemente. Lo que me parece aún más realista, si se conecta algún tipo de dispositivo proxy, incluso la instalación cuidadosamente examinada podría verse comprometida en cualquier momento al reemplazar los archivos originales, ya que las actualizaciones de Win 10 son obligatorias (AFAIK) (supongo, implementar el esquema es no es un gran problema hoy en día después de que Raspberry / Orange / You name it Pies fueron ampliamente adoptados). ¿Existe un procedimiento de comprobación del servidor incorporado en Windows 10 y, en caso afirmativo, qué tan confiable es?
Luego, la lista de certificados debe validarse y / o revertirse a su estado original. (Hasta donde sé, podría hacerse con la Política de Seguridad, ¿verdad?).
Todos los controladores (incluidos los heredados) también deben validarse. Sería bueno tener una herramienta / script, verificando firmas. Al menos, para los controladores desarrollados por Microsoft y no reemplazados con los que se incluyen con el hardware (básicamente, la placa base).
Se debe prohibir cualquier conexión remota, incluidos los nuevos protocolos de administración de subsistemas nix. (¿Cómo?)
Todas las herramientas de automatización innecesarias (¿cuáles?) deben requerir la aprobación manual al menos en la primera secuencia de comandos en ejecución.
Todos los libros / manuales / artículos son bienvenidos, así como comentarios generales sobre el tema.