Всем привет.
Работа с Powershell нуждается в аудите. Ну разумеется, кто бы спорил, я не буду. Это необходимо даже в том случае если вы сами с Powershell работаете редко. Это необходимо для того чтобы отслеживать как сама система или какой-то сторонний процесс использует Powershell для изменения чего либо.
Поэтому есть возможность через групповые политики включить аудит выполнения Powershell скриптов или модулей по адресу "Конфигурация компьютера - Административные шаблоны - Компонеты Windows - Windows Powershell - Включить ведение журнала модулей (или Включить регистрацию блоков сценариев)". Тогда в журнале Windows Powershell будут отображаться записи о том что, где и когда. Более того, там будет отображена информация про имя скрипта, если использовался внешний файл.
Но следует учесть что таких системных журнала для Powershell в Windows 10 как минимум два. Первый находится на уровне "Журналы приложений и служб." А второй, как раз тот что нам нужен, находится на уровень глубже, т.е. плюс /Microsoft/Powershell/Operational. И тогда настроив фильтр событий как показано ниже
мы можем легко получить следующее:
Имя журнала: Microsoft-Windows-PowerShell/Operational
Источник: Microsoft-Windows-PowerShell
Дата: 18.04.2020 13:50:52
Код события: 24578
Категория задачи:Работа PowerShell ISE
Уровень: Сведения
Ключевые слова: Отсутствует
Описание: Среда Windows PowerShell ISE запустила выбранный пользователем сценарий из файла C:\VM\shared\Безымянный1.ps1.
На сегодня все.
No comments:
Post a Comment
А что вы думаете по этому поводу?