⚠ A usar este artigo durante um incidente activo?

Vai directamente à Secção 3 — Procedimento de Isolamento. Cada passo tem o tempo esperado de execução. As secções anteriores são para preparação prévia.

O isolamento de uma workstation comprometida é a acção de contenção mais crítica e mais urgente numa resposta a incidente. Cada minuto de atraso permite que o ransomware se propague para mais máquinas, que mais dados sejam exfiltrados, e que o atacante consolide a sua posição na rede. Ao mesmo tempo, um isolamento mal executado pode destruir evidências forenses essenciais para perceber o âmbito do ataque.

Este artigo é um procedimento operacional — não uma política. Está organizado para ser executado durante um incidente real, por um sysadmin a trabalhar sob pressão, possivelmente às 2h da manhã num sábado. Cada passo tem uma justificação e um critério de conclusão claro.

1. Antes do incidente — preparação que salva tempo

A velocidade de isolamento durante um incidente depende quase inteiramente da preparação prévia. Estas acções devem ser completadas antes de qualquer incidente:

Preparação Porquê é essencial
Diagrama de rede actualizado com localização física dos switches e portas Sem diagrama, um técnico perde 30–60 min a descobrir a que switch/porta está ligada uma máquina específica
Inventário de endereços MAC e IPs de todas as máquinas Permite identificar rapidamente a porta de switch de uma máquina por MAC address
Acesso de gestão aos switches (CLI ou web) testado e documentado Durante um incidente, não há tempo para procurar a password do switch ou descobrir o IP de gestão
Credenciais de acesso à consola de gestão do EDR (Defender, Acronis) documentadas Permite isolar via software sem precisar de acesso físico à máquina
Conta de administrador de domínio de emergência offline documentada Se o AD estiver comprometido, precisas de uma conta não afectada para executar as acções de revogação
Número de telemóvel de todos os membros da equipa IT e da gestão em papel O email pode estar comprometido — só o telemóvel é fiável durante um incidente activo

2. Reconhecer os sinais de comprometimento

A decisão de isolar deve ser tomada rapidamente — o custo de isolar uma máquina por engano (falso positivo) é muito menor do que o custo de não isolar uma máquina realmente comprometida. Na dúvida, isola.

Sinal Urgência de isolamento Acção inicial
Alerta do EDR de actividade de ransomware / massa de cifragem IMEDIATA — <2 min Isolar via EDR se disponível; desligar cabo se não
Utilizador reporta ficheiros com extensão estranha ou nota de resgate visível IMEDIATA — <5 min Fotografar ecrã → isolar imediatamente
Pico anormal de actividade de disco em máquina específica (monitorização) URGENTE — <15 min Investigar processo no Task Manager → isolar se suspeito
Shadow Copies eliminadas (Event ID 524 / 1098 nos logs) IMEDIATA Isolar a máquina de origem; verificar outras da rede
Agente de backup desactivado ou desinstalado sem autorização URGENTE — <10 min Verificar se há outras actividades suspeitas; isolar se confirmado
Login de utilizador em horário anormal ou de localização inesperada (ex: Rússia, China) URGENTE — investigar Revogar sessão → investigar → isolar máquina de origem se necessário

3. Procedimento de isolamento — passo a passo

⚠ Princípio fundamental: Isolamento de rede primeiro — análise depois. A janela de propagação é de minutos. A investigação forense pode esperar; a contenção não pode.

Passo Acção Tempo Quem
FASE A — Documentar antes de agir (90 segundos)
1 Fotografar o ecrã — nota de resgate, ficheiros com extensão estranha, alerta do EDR. Usar telemóvel pessoal para fotografar o monitor directamente 30 seg Quem detecta
2 Registar dados básicos em papel: nome da máquina, endereço IP, utilizador com sessão activa, hora exacta de detecção, o que estava em execução 60 seg IT / Helpdesk
FASE B — Isolamento de rede (2–5 minutos)
3 Desligar o cabo de rede da máquina fisicamente. Método mais rápido e mais fiável. Se for laptop: desactivar também o Wi-Fi (Fn+tecla Wi-Fi ou desligar o adaptador) <10 seg Qualquer pessoa presente
4 Desactivar a porta de switch correspondente — confirmação de que a máquina está isolada mesmo que o cabo seja reconectado. Ver Secção 5 para comandos por marca 2–3 min IT / Network
5 Se disponível: Isolar via consola EDR (Defender/Acronis) em paralelo com o isolamento físico — garante que o isolamento se mantém mesmo se o cabo for reconectado por alguém sem autorização 2 min IT
FASE C — Revogar acessos (5–15 minutos)
6 Revogar sessões M365/Entra ID do utilizador com sessão activa na máquina comprometida — ver Secção 6 para procedimento 2 min IT
7 Repor password do utilizador afectado no Active Directory — mesmo que a sessão seja revogada, a password pode estar comprometida 2 min IT
8 Verificar se a conta tem privilégios de administrador — se sim, revogar os privilégios imediatamente e alertar que pode haver comprometimento de credenciais admin 2 min IT
FASE D — Comunicar e escalar (em paralelo com A, B, C)
9 Notificar responsável de cibersegurança e gestão por telemóvel — não usar email interno. Resumo: máquina afectada, utilizador, hora, estado do isolamento Em paralelo Quem detecta
10 Instruir o utilizador da máquina comprometida: não ligar o cabo de rede, não tentar abrir ficheiros, não desligar a máquina (ainda), não partilhar informação externamente Em paralelo IT / Helpdesk

4. Preservar evidências antes de isolar

Em casos em que há tempo antes de isolar (ex: a máquina foi identificada como suspeita mas o ataque ainda não está a cifrar), é possível recolher evidências forenses que serão essenciais para a investigação e para o relatório de incidente NIS2.

⚠ Quando há cifragem activa: Não perdes tempo a recolher evidências se a cifragem já está a ocorrer. O isolamento imediato supera qualquer consideração forense. A investigação forense é feita mais tarde com o sistema isolado.

Recolha de evidências — se houver tempo

  1. Dump de processos activos — abrir Task Manager (Ctrl+Shift+Esc), fotografar com telemóvel a lista completa de processos (separadores Processes e Details)
  2. Conexões de rede activas — abrir PowerShell ou CMD e executar:
# Guardar conexões de rede activas para análise
netstat -bano > C:\temp\netstat_evidencia.txt

# Guardar lista de processos
tasklist /v > C:\temp\processos_evidencia.txt

# Guardar eventos de segurança recentes
Get-EventLog -LogName Security -Newest 500 | Export-Csv C:\temp\security_log.csv

# Copiar os ficheiros para USB isolado imediatamente
  1. Não apagar nada — não fechar janelas, não terminar processos, não apagar ficheiros suspeitos antes de isolar
  2. Não reiniciar a máquina — o reinício limpa a memória RAM, que pode conter o payload em execução ou chaves de cifragem úteis para a investigação forense
  3. Se houver capacidade de DFIR: considerar dump de memória RAM com ferramenta como WinPmem antes de desligar — extremamente útil para análise forense de ransomware em memória

5. Isolar da rede — métodos por cenário

Método 1 — Cabo de rede (mais rápido)

Desligar fisicamente o cabo RJ45 da máquina ou do patch panel. Método mais rápido e mais fiável. Em laptops, desligar também o Wi-Fi — as duas interfaces têm de ser isoladas.

Método 2 — Desactivar porta de switch (mais seguro)

Garante que a máquina permanece isolada mesmo que o cabo seja reconectado. Comandos por marca de switch: 

# CISCO IOS — desactivar porta Fa0/5
enable
configure terminal
interface FastEthernet0/5
shutdown
end

# CISCO — verificar estado da porta
show interface FastEthernet0/5 status

# HP ProCurve / Aruba — desactivar porta 5
configure
interface 5 disable
exit

# Mikrotik RouterOS — desactivar ether5
/interface set ether5 disabled=yes

Método 3 — Isolar via Windows Firewall (se não houver acesso físico)

Útil quando a máquina é remota e o acesso físico não é imediato. Requer que ainda seja possível aceder via PowerShell remoto (WinRM). Bloqueia todo o tráfego de entrada e saída excepto a sessão PowerShell actual: 

# Executar na máquina comprometida via PowerShell remoto
# ATENÇÃO: bloqueia TODA a conectividade de rede — a sessão actual também termina

# Bloquear todo o tráfego de entrada
New-NetFirewallRule -DisplayName "ISOLAMENTO-BLOCK-IN" -Direction Inbound -Action Block -Profile Any

# Bloquear todo o tráfego de saída
New-NetFirewallRule -DisplayName "ISOLAMENTO-BLOCK-OUT" -Direction Outbound -Action Block -Profile Any

# Para remover o isolamento quando autorizado (executar fisicamente na máquina):
# Remove-NetFirewallRule -DisplayName "ISOLAMENTO-BLOCK-IN"
# Remove-NetFirewallRule -DisplayName "ISOLAMENTO-BLOCK-OUT"

Método 4 — Isolar via Microsoft Defender for Endpoint

Se a organização usa o Defender for Endpoint (Plan 2), o isolamento de dispositivo está a um clique no portal:

  1. Aceder a security.microsoft.com → Devices → [nome da máquina]
  2. Clicar em Device actions → Isolate device
  3. Escolher Full isolation (bloqueia todo o tráfego excepto comunicação com o portal Defender)
  4. Confirmar — o isolamento é aplicado remotamente em segundos
  5. A máquina mantém comunicação com o portal Defender: podes continuar a investigar remotamente e executar Live Response (se Plan 2)

ℹ Isolar via Defender for Endpoint é o método recomendado quando disponível — mantém canal de investigação activo, é auditado, pode ser revertido remotamente e não requer acesso físico ao switch. O Defender for Business (PME) também suporta isolamento de dispositivo.

6. Revogar credenciais e sessões activas

O isolamento de rede impede propagação física. Mas se o utilizador tinha sessão activa no M365 ou outros serviços cloud, o atacante pode manter acesso através dessas sessões mesmo com a máquina isolada. Revogar sessões é o segundo passo crítico.

Revogar sessões M365 / Entra ID

Connect-MgGraph -Scopes "User.ReadWrite.All"

$upn = "[email protected]"

# Revogar TODAS as sessões activas do utilizador
Revoke-MgUserSignInSession -UserId $upn

# Repor a password imediatamente
Update-MgUser -UserId $upn -PasswordProfile @{
    "Password" = "NovaPasswordTemporaria@2026!"
    "ForceChangePasswordNextSignIn" = $true
}

# Verificar sessões activas (confirmar revogação)
Get-MgUserAuthenticationSignInActivity -UserId $upn

Revogar via portal (sem PowerShell)

Caminho: entra.microsoft.com → Users → [utilizador] → Revoke sessions

  1. Pesquisar o utilizador em Users → All users
  2. Seleccionar o utilizador → clicar Revoke sessions
  3. Em seguida: Reset password → gerar password temporária
  4. Se o utilizador tiver funções de administrador: verificar em Assigned roles e revogar temporariamente

Revogar no Active Directory on-premises

# Desactivar conta de utilizador no AD
Disable-ADAccount -Identity "utilizador.comprometido"

# Repor password
Set-ADAccountPassword -Identity "utilizador.comprometido" -Reset -NewPassword (ConvertTo-SecureString "TempPass2026!#" -AsPlainText -Force)

# Forçar logoff de todas as sessões (requer Domain Admin)
# Verificar qual DC tem a sessão activa e terminar remotamente
Get-ADUser -Identity "utilizador.comprometido" -Properties LastLogonDate, LockedOut | Select-Object Name, LastLogonDate, LockedOut

7. Comunicação durante o isolamento

Para quem Canal O que comunicar Quando
Responsável de cibersegurança / gestão Telemóvel (chamada) Máquina afectada, utilizador, hora, estado do isolamento, próximos passos Imediato
Utilizador da máquina comprometida Presencialmente ou telemóvel Não ligar o cabo, não fechar janelas, não reiniciar, aguardar instrução da equipa IT Imediato
Restante equipa IT WhatsApp pessoal ou Signal Alerta de incidente activo, máquina isolada, vigilância aumentada em outros endpoints <15 min
Todos os utilizadores da organização Telemóvel ou presencialmente Não abrir emails nem ficheiros até nova ordem. Não partilhar informação externamente <30 min
CNCS (se entidade NIS2) [email protected] / 213 303 190 Alerta inicial de incidente significativo — prazo de 24h após detecção <24h

⚠ Nunca usar o email interno da organização durante um incidente activo. O servidor de email pode estar comprometido e monitorizado pelo atacante — qualquer mensagem enviada por email interno pode alertar o atacante de que foi detectado, dando-lhe tempo para apagar rastros ou acelerar a cifragem. Usar exclusivamente telemóvel, WhatsApp pessoal ou Signal.

8. Após o isolamento — o que fazer a seguir

Com a máquina isolada e as credenciais revogadas, a fase de contenção imediata está concluída. Passa-se à avaliação do âmbito e à decisão sobre as próximas acções:

  1. Verificar outras máquinas da rede — especialmente máquinas no mesmo segmento de rede da máquina comprometida. Verificar alertas no EDR para actividade suspeita semelhante
  2. Verificar o servidor de ficheiros — há ficheiros cifrados em partilhas de rede? Qual o ponto de criação mais recente de ficheiros com extensão estranha?
  3. Verificar os logs de autenticação do DC — há logins com a conta comprometida noutras máquinas? Há contas novas criadas?
  4. Activar o Plano de Resposta a Incidente completo — ver Plano de Resposta a Ransomware a partir da Fase 2
  5. Decisão sobre a máquina isolada — manter ligada para análise forense (recomendado se houver capacidade DFIR) ou desligar e reconstruir de raiz a partir de backup

9. Cenário especial — servidor ou Domain Controller comprometido

⚠ Comprometimento de Domain Controller — o pior cenário: Se o DC foi comprometido, assume que toda a infraestrutura on-premises está comprometida. Todas as credenciais de domínio devem ser consideradas comprometidas. O processo de recuperação é significativamente mais complexo e demora mais tempo.

Acções específicas para comprometimento de DC

  1. Isolar o DC da rede imediatamente — usando os métodos da Secção 5. Se houver DC redundante (múltiplos DCs), avaliar se também estão comprometidos antes de isolar
  2. Resetar a password do krbtgt duas vezes com 10 horas de intervalo — invalida todos os tickets Kerberos existentes. Requer ferramentas como o New-KrbtgtKeys.ps1 (Microsoft) ou Reset-KrbtgtKeyInteractive
  3. Resetar passwords de TODAS as contas de utilizador do domínio — começar pelas contas privilegiadas (Domain Admins, Enterprise Admins, Schema Admins)
  4. Verificar GPOs — procurar políticas criadas ou modificadas recentemente que possam ser backdoors
  5. Verificar AD Users and Computers — procurar contas criadas ou membros adicionados a grupos privilegiados nas últimas semanas
  6. Considerar reconstrução do AD a partir de backup limpo — se o comprometimento foi profundo, a reconstrução é mais segura do que tentar limpar
  7. Contactar empresa DFIR especializada — comprometimento de DC requer análise forense especializada

10. Checklist de isolamento para impressão

Imprimir e guardar em papel junto ao servidor principal ou na gaveta do responsável IT. Durante um ataque activo, os sistemas de documentação digital podem estar inacessíveis.

# Acção Feito? Hora
1 Fotografar ecrã (nota de resgate / alerta) com telemóvel pessoal __:__
2 Registar em papel: máquina, IP, utilizador, hora de detecção __:__
3 Desligar cabo de rede da máquina + desactivar Wi-Fi (se laptop) __:__
4 Desactivar porta de switch correspondente à máquina __:__
5 Isolar via EDR (Defender / Acronis) se disponível __:__
6 Notificar responsável de cibersegurança e gestão por telemóvel __:__
7 Revogar sessões M365/Entra ID do utilizador comprometido __:__
8 Repor password do utilizador no AD e M365 __:__
9 Instruir todos os utilizadores: parar de trabalhar, não abrir ficheiros (via telemóvel) __:__
10 Verificar outras máquinas da rede nos alertas do EDR __:__
11 Verificar servidor de ficheiros — há ficheiros cifrados em partilhas? __:__
12 Notificar CNCS dentro de 24h se entidade abrangida pela NIS2 ([email protected] / 213 303 190) __:__

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário