Есть такая задача у администраторов, знать кто, когда и что. Так как на домен-контроллере события в Журнале Безопасности редко хранятся больше суток (уж больно много их плодится там), то решено было вести мониторинг с помощью отслеживания срабатывания на определенные "Event ID" в "Планировщике заданий" и последующей выборкой данных из журнала и отсылкой на почту с помощью powershell-скриптов.
2. Audit_createComputer.ps1 - скрипт, отслеживает создание и удаление компьютеров в домене. Event ID = 4741, 4743.
3. WhoChangeGroup.ps1 - скрипт, отслеживает изменения в группах домена. Event ID = 4732,4728,4756,4733,4729,4757.
4. WhoChangeUserAcc.ps1 - скрипт, отслеживает изменения в данных пользователей. Event ID = 4738.
5. WhoCreate.ps1 - скрипт, отслеживает создание и удаление пользователей домена. Event ID = 4720,4726.
6. WhoRDP.ps1 - скрипт, отслеживает подключения по RDP. Event ID = 1149,1150,1148.
Указанные выше скрипты, позволяют отслеживать кто вносил изменения, когда и какие. В архиве лежат сами скрипты, скрины для примера с планировщика задач и экспортированная задача. Скрипт WhoRDP.ps1 у меня раскидан по всем серверам, а остальные на домен-контроллерах.
Итак были написаны следующие скрипты:
1. Audit.ps1 - скрипт отслеживает неудачные попытки входа на DC. Как побочное явление - отслеживает компьютеры, "вывалившиеся" из домена. Event ID = 4625.2. Audit_createComputer.ps1 - скрипт, отслеживает создание и удаление компьютеров в домене. Event ID = 4741, 4743.
3. WhoChangeGroup.ps1 - скрипт, отслеживает изменения в группах домена. Event ID = 4732,4728,4756,4733,4729,4757.
4. WhoChangeUserAcc.ps1 - скрипт, отслеживает изменения в данных пользователей. Event ID = 4738.
5. WhoCreate.ps1 - скрипт, отслеживает создание и удаление пользователей домена. Event ID = 4720,4726.
6. WhoRDP.ps1 - скрипт, отслеживает подключения по RDP. Event ID = 1149,1150,1148.
Указанные выше скрипты, позволяют отслеживать кто вносил изменения, когда и какие. В архиве лежат сами скрипты, скрины для примера с планировщика задач и экспортированная задача. Скрипт WhoRDP.ps1 у меня раскидан по всем серверам, а остальные на домен-контроллерах.
Примеры данных в письме:
1. Audit.ps1
Неудачный вход в систему на dc01
Время: 06/28/2016 14:27:57
Имя пользователя: Администратор
Компьютер-источник: ADM-0554
IP источника: 10.0.25.130
2. Audit_createComputer.ps1
Создан компьютер в домене: 'ADM-0554$'. Изменения внес
пользователь: 'nameofuser'
Время: 06/28/2016 10:03:27
Имя компьютера: ADM-0554$
Кто изменил: nameofuser@nameofdomain
UserAccountControl:
%%2080
%%2082
%%2087
Действие: Создан компьютер в домене
3. WhoChangeGroup.ps1
Изменение группы. Пользователь: 'userobl' удален из глобальной группы 'Гости домена'
Время: 06/24/2016 15:30:11
Имя пользователя:
CN=userobl,OU=Users,DC=domain,DC=ru
Кто изменил: nameofuser@nameofdomain
Группа: Гости домена
Результат: удален из глобальной группы 'Гости домена'
4. WhoChangeUserAcc.ps1
Изменение параметров пользователя: 'nameedituser'.
Редактировал: 'nameofuser'
Время: 06/22/2016 14:04:24
Имя пользователя: nameedituser
Кто изменил: nameofuser@nameofdomain
Измененные атрибуты:
Имя учетной записи SAM: -
Отображаемое имя: NewDisplayName
Основное имя пользователя: -
Последний пароль задан: -
Срок действия учетной записи истекает: -
Старое значение
UAC: -
Новое значение UAC: -
Управление учетной записью пользователя: -
Параметры пользователя: -
5. WhoCreate.ps1
Создан пользователь: 'newuser'. Изменения внес
пользователь: 'nameofuser'
Время: 06/27/2016 16:30:55
Имя пользователя: newuser@nameofdomain
Display name: newuser
Кто изменил: nameofuser@nameofdomain
UserAccountControl:
%%2080
%%2082
%%2084
Действие: Создан пользователь
6. WhoRDP.ps1
RDP подключение на ServerName пользователя nameofuser@nameofdomain. Результат: подключено
Время: 06/27/2016 17:48:42
Имя пользователя: nameofuser
Домен: nameofdomain
IP источника: 10.2.0.130
Результат: подключено
Комментариев нет:
Отправить комментарий