==============================================================================
  SecurePatch - Uso em RMM (qualquer agente: Tactical, Action1, NinjaOne,
  Datto, Atera, ScreenConnect, GPO/PSExec, etc.)
==============================================================================

ARQUIVO: SecurePatch-RMM.ps1  (script unico, autossuficiente)

COMO USAR (vale para qualquer RMM)
----------------------------------
1. Crie um script/tarefa do tipo "PowerShell" no seu RMM.
2. Cole TODO o conteudo de SecurePatch-RMM.ps1 (ou faca upload do arquivo).
3. Execute como SYSTEM / conta de servico com privilegio de Administrador.

   Sem RMM? O mesmo arquivo funciona via linha de comando elevada:
     powershell -ExecutionPolicy Bypass -File SecurePatch-RMM.ps1

O QUE ACONTECE (sem parametros)
-------------------------------
Ao rodar SEM parametros, o script entra em modo automatico e:
  - INSTALA a protecao continua na maquina (4 camadas):
        * Tarefa HORARIA leve (nivel Quick) - checa so os pontos conhecidos
        * Tarefa PROFUNDA a cada 3 dias, 03:00 (nivel Deep) - varre os discos
        * Tarefa de ATUALIZACAO OTA, de 6 em 6 horas - busca e aplica novas versoes
        * Watcher em TEMPO REAL (WMI) - age no instante em que um item nao
          autorizado inicia
  - Copia-se para C:\ProgramData\SecurePatch\app
  - Faz a 1a varredura (nivel Standard, poucos segundos) e remove itens nao
    autorizados
  - Mostra o pop-up visual ao usuario SOMENTE se encontrar algo
  - NAO reinicia a maquina (execucao nao-acompanhada): em vez de reiniciar,
    exibe um POP-UP VERMELHO orientando abrir chamado no WebPosto (ver abaixo)
  - Envia os eventos da varredura ao servidor de logs (Loki/Grafana)

>>> Resultado: rodando UMA vez no RMM, o cliente fica protegido para sempre,
    mesmo que o RMM nao rode novamente. E a partir dai a maquina se ATUALIZA
    sozinha (OTA), sem novo acesso manual.

REINICIALIZACAO (MUDOU NA v1.5.0)
---------------------------------
O reboot automatico agora SO ocorre em execucao ACOMPANHADA (Instalador/Manual
rodado pelo tecnico) e na varredura PROFUNDA (Deep) agendada. A execucao RMM
sem-params, a tarefa HORARIA e o watcher em tempo real NAO reiniciam mais:
quando acham algo, REMOVEM e exibem um POP-UP VERMELHO informando os itens,
com botao "Copiar detalhes". O cliente deve ABRIR UM CHAMADO nos canais
oficiais do WebPosto e ANEXAR esses detalhes, sem reiniciar por conta propria.
  - Isso evita reboots-surpresa em PDV/pista e permite ao suporte mitigar e
    atualizar o patch (OTA) de forma preventiva.
  - Maquina LIMPA: nenhuma janela, nenhum reboot.
  - Nas execucoes acompanhadas/Deep, quando ha reboot: janela NAO cancelavel
    com contador de 10s; sem sessao interativa, fallback reinicia em ~45s.

CODIGOS DE SAIDA permanecem: 0 limpo / 10 removido / 11 removido c-falha / 20 erro.
(Em RMM, o 10/11 agora indica "removido + pop-up" - a maquina NAO reinicia.)

O QUE E REMOVIDO / REDEFINIDO
-----------------------------
  - Servico SYSTEM oculto (dxgKrn), driver falso (dxgkrn/dxgkrm/dxgkm/dxgkn.sys)
  - Processos/pastas do loader (C:\Servicehost, C:\Quality\ServiceHost),
    AutoPatchPix.exe, DefaultDomain.exe, getscreen (acesso remoto)
  - Tarefas agendadas, atalhos de Startup e chaves Run maliciosas
  - REGRAS DE FIREWALL nao autorizadas (ex.: "DefaultDomain", "Getscreen.me")
  - EXCLUSOES DO WINDOWS DEFENDER -> ZERADAS (Defender redefinido limpo); em seguida
    re-adiciona APENAS a exclusao do PROPRIO produto instalado (pastas endurecidas por
    ACL) p/ o Defender nao quarentenar a protecao continua que roda como SYSTEM.
  - DNS FIXADO/MANUAL (DNS hijacking) -> apenas o servidor PUBLICO fixado e trocado
    por um DNS seguro (8.8.8.8 / 1.1.1.1); o DNS LOCAL/PRIVADO da rede do cliente
    (ex.: 192.168.x / 10.x de um servidor interno) e PRESERVADO na posicao. DHCP
    automatico nao e alterado.
  - ARQUIVO HOSTS (hibrido): remove IP malicioso + dominios sensiveis (pagamento/PIX,
    bancos, gov.br) redirecionados; REPORTA mapeamentos publicos desconhecidos (mantidos);
    preserva loopback/0.0.0.0/LAN/Docker. Backup em logs + flushdns.
    (Remover do hosts LIMPA o redirecionamento - nao bloqueia; o bloqueio e dos IPs.)
  - TAREFA OCULTA "WindowsHealthAgent" (fileless, executor SYSTEM, repete a cada 1 min)
    que baixava um script do C2 e REESCREVIA o DNS de volta -> removida; o agente em
    memoria e encerrado; a pasta legada C:\ProgramData\MonitorAgent e removida.
  - BLOQUEIO PERMANENTE da rede do invasor: IPs 200.9.155.148, 191.96.225.173 e
    191.101.131.143 (C2/painel, porta 5000) + TODOS os blocos CIDR do provedor usado
    (Tyna Host) -> regra de firewall entrada/saida + rota blackhole; auto-reparo a
    cada execucao. (Se o Firewall do Windows estiver desativado, apenas REPORTA - a
    rota blackhole segue protegendo; nao reativa o firewall por conta propria.)
  - Certificado ICP-Brasil indevido (lojas de Raiz)

CONSUMO DE RECURSOS (maquinas de pista/PDV)
-------------------------------------------
  - Horaria (Quick):  ~2-3 segundos, ~150 MB de RAM no pico, disco minimo.
  - Profunda (Deep):  roda de madrugada (03:00). A varredura de binarios foca em
                      C:\Quality (alvo do AutoPatchPix) e so calcula hash de arquivos
                      cujo TAMANHO bate com a amostra (rapido; nao varre o disco todo).
  - A janela so abre se houver deteccao. Em maquina limpa nao ha janela.

CODIGOS DE SAIDA (para alertas/condicoes no RMM)
------------------------------------------------
   0  = limpo
  10  = ameaca encontrada e removida (RMM/horaria NAO reinicia - exibe pop-up)
  11  = ameaca encontrada, mas alguma remocao falhou (abrir chamado no WebPosto)
  20  = erro

VARIACOES OPCIONAIS (parametros)
--------------------------------
  -Mode Silent -ScanLevel Quick     -> varredura rapida pontual (sem instalar)
  -Mode Silent -ScanLevel Standard  -> varredura das zonas de drop (sem instalar)
  -Mode Silent -ScanLevel Deep      -> varredura profunda (binarios focados em C:\Quality)
  -Uninstall                        -> remove a protecao continua da maquina

LOGS / AUDITORIA
----------------
  C:\ProgramData\SecurePatch\logs\SecurePatch_AAAAMMDD.log
  C:\ProgramData\SecurePatch\last_report.json
  C:\ProgramData\SecurePatch\logs\LogShip_AAAAMMDD.log  (envio ao Loki)
  C:\ProgramData\SecurePatch\logs\Update_AAAAMMDD.log   (atualizacao OTA)

ATUALIZACAO AUTOMATICA (OTA) E LOGS CENTRALIZADOS
-------------------------------------------------
  - OTA: a tarefa SecurePatch-Update (de 6 em 6 horas) faz um HEAD no pacote
    SecurePatch_Setup.zip; se ele mudou, baixa, extrai e le a versao do version.txt
    de DENTRO do zip; se for maior que a instalada, aplica a nova versao - SEM
    reboot. Integridade via HTTPS. Nao depende de novo acesso manual. A 1a
    instalacao (esta, via RMM) e o ponto de partida.
  - Logs: apos cada varredura, os eventos (achados + resumo) sao enviados em
    JSON ao servidor de logs (Loki), alimentando dashboards no Grafana e a
    abertura automatica de chamados (n8n). Cada cliente e identificado por
    C:\ProgramData\SecurePatch\config\client.json (preencha client/revenda/site).
  - Detalhes do release e configuracao: ver TUTORIAL-OTA-E-LOGS.md na raiz.
==============================================================================
