Аудит выполнения Powershell.

Всем привет.

Работа с Powershell нуждается в аудите. Ну разумеется, кто бы спорил, я не буду. Это необходимо даже в том случае если вы сами с  Powershell работаете редко. Это необходимо для того чтобы отслеживать как сама система или какой-то сторонний процесс использует Powershell для изменения чего либо.

Поэтому есть возможность через групповые политики включить аудит выполнения Powershell скриптов или модулей по адресу "Конфигурация компьютера - Административные шаблоны - Компонеты Windows - Windows Powershell - Включить ведение журнала модулей (или Включить регистрацию блоков сценариев)". Тогда в журнале Windows Powershell будут отображаться записи о том что, где и когда. Более того, там будет отображена информация про имя скрипта, если использовался внешний файл.

Но следует учесть что таких системных журнала для Powershell в Windows 10 как минимум два. Первый находится на уровне "Журналы приложений и служб." А второй, как раз тот что нам нужен, находится на уровень глубже, т.е. плюс /Microsoft/Powershell/Operational. И тогда настроив фильтр событий как показано ниже

мы можем легко получить следующее:

Имя журнала:   Microsoft-Windows-PowerShell/Operational
Источник:      Microsoft-Windows-PowerShell
Дата:          18.04.2020 13:50:52
Код события:   24578
Категория задачи:Работа PowerShell ISE
Уровень:       Сведения
Ключевые слова: Отсутствует
Описание: Среда Windows PowerShell ISE запустила выбранный пользователем сценарий из файла C:\VM\shared\Безымянный1.ps1.

На сегодня все.