पॉवरशेल और सिक्योरिटी ऑडिटिंग

पॉवरशेल और सिक्योरिटी ऑडिटिंग

हैब्रानॉड को बधाई! मैं आपके साथ एक तरीका साझा करना चाहता हूं, जो पावरशेल का उपयोग करके विन सिस्टम के सिस्टम प्रशासन की नियमित दिनचर्या को सुविधाजनक बना सके।
एक बढ़िया दिन, मैंने उन उपयोगकर्ताओं की गतिविधि की दैनिक निगरानी के कार्य का सामना किया जो टर्मिनल सर्वर का उपयोग वर्कस्टेशन के रूप में करते हैं। मुझे लगता है कि मैं केवल अपनी राय व्यक्त नहीं करूंगा, यह कहते हुए कि "इवेंट व्यूअर", जो कि विंडोज एडमिनिस्ट्रेशन टूल्स का हिस्सा है, सर्वर पर स्थिति की निगरानी करने का सबसे सुविधाजनक तरीका नहीं है। हाँ एक फ़िल्टर है जिसके द्वारा आप केवल हमारे लिए रुचि की घटनाओं को फ़िल्टर कर सकते हैं, लेकिन कोई सुविधाजनक तरीका नहीं है जो इस जानकारी के प्रदर्शन प्रारूप को बदलता है। परिणामस्वरूप, सुरक्षा लॉग इवेंट्स को पार्स करने के लिए PowerShell का उपयोग करने पर विचार आया।

घटनाओं की एक सूची प्राप्त करने के लिए हमें गेट-इवेंटलॉग कमांड की आवश्यकता होती है, जिसमें से एक पैरामीटर हमारी केस सुरक्षा में लॉग का नाम है।



कमांड पूरे लॉग की सामग्री को प्रदर्शित करता है, जो मूल रूप से मुझे सूट नहीं करता है। लेकिन सब कुछ इतना बुरा नहीं है, जो आप स्क्रीनशॉट में देखते हैं वह केवल पाठ नहीं है, बल्कि काफी वस्तुएं हैं, जिनके गुणों के साथ आप पावरस् लेल के ढांचे के भीतर कुछ भी कर सकते हैं। इन वस्तुओं के गुण प्राप्त करें गेट-सदस्य cmdlet की अनुमति देता है। Get-EventLog security | Get-Member निष्पादित करके Get-EventLog security | Get-Member Get-EventLog security | Get-Member , हमें गेट-इवेंटलॉग द्वारा प्रदर्शित सभी वस्तुओं के गुणों की एक सूची मिलेगी।



गुणों की सूची जानने के बाद, आप Get-EventLog के परिणामों में फेरबदल कर सकते हैं। उदाहरण के लिए, आज के लिए सभी घटनाओं की एक सूची प्राप्त करने के लिए, सबसे आसान तरीका गेट-इवेंटलॉग cmdlet के मापदंडों का उपयोग करना होगा, अर्थात्- -after पैरामीटर। मापदंडों की एक पूरी सूची यहां पाई जा सकती है । परिणामस्वरूप, हमें Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) , जहाँ Get-Date cmdlet वर्तमान दिनांक और समय प्रदर्शित करता है, लेकिन घंटे, मिनट और दूसरे पैरामीटर प्रारंभ से समय आउटपुट निर्दिष्ट करते हैं वर्तमान दिन। नतीजतन, हमें उन घटनाओं की एक सूची मिलती है जो आज हुई थीं। पहले से ही बेहतर है, लेकिन अभी भी ऐसा नहीं है।
मुझे उन सभी उपयोगकर्ताओं की एक सूची प्राप्त करने की आवश्यकता है, जिन्होंने आरपीडी प्रोटोकॉल का उपयोग करके सर्वर में प्रवेश किया, जिसके कारण मुझे ईवेंटआईडी और एंट्री टाइप के मूल्यों का अध्ययन करना पड़ा। आगे, मैं इन मूल्यों की पूरी सूची नहीं दूंगा।

इवेंट वैल्यू

प्रत्येक लॉगिन घटना एक विशिष्ट लॉगिन प्रकार से पूरित होती है, जिसकी एक सूची नीचे सूचीबद्ध की जाएगी।

• 528 - सफल उपयोगकर्ता कंप्यूटर में प्रवेश करता है।
• 529 - लॉगिन विफलता। अमान्य उपयोगकर्ता नाम या पासवर्ड।
• 530 - लॉगिन विफलता। मान्य समय अंतराल के बाहर एक उपयोगकर्ता खाते के साथ लॉग इन करने का प्रयास किया गया था।
• 531 - विफलता लॉग। अक्षम उपयोगकर्ता खाते का उपयोग करके लॉग इन करने का प्रयास।
• 532 - विफलता लॉग। एक पुराने उपयोगकर्ता खाते का उपयोग करके लॉग इन करने का प्रयास किया गया था।
• 533 - विफलता लॉग। उस उपयोगकर्ता पर लॉग इन करने का प्रयास किया गया जिसे इस कंप्यूटर पर लॉग ऑन करने की अनुमति नहीं है।
• 534 - विफलता लॉग। अनधिकृत लॉगिन प्रकार के साथ प्रवेश करने का प्रयास किया गया।
• 535 - विफलता विफलता। निर्दिष्ट खाते का पासवर्ड समाप्त हो गया है।
• 536 - लॉगिन विफलता। नेट लॉगऑन सेवा अक्षम है।
• 537 - विफलता लॉग। अन्य कारणों से सिस्टम में प्रवेश करने का प्रयास विफल रहा (कुछ मामलों में, सिस्टम में प्रवेश करने से इनकार करने का कारण ज्ञात नहीं हो सकता है)।
• 538 - उपयोगकर्ता लॉगआउट प्रक्रिया पूरी हो गई है।
• 539 - लॉगिन विफलता। लॉगिन प्रयास के दौरान, उपयोगकर्ता खाता बंद है।
• 540 - सफल उपयोगकर्ता नेटवर्क में प्रवेश करता है।
• 541 - स्थानीय कंप्यूटर और पंजीकृत सहकर्मी पहचान (एक विश्वसनीय एसोसिएशन की स्थापना) के बीच मूल IKE प्रमाणीकरण मोड पूरा हो गया है, या फास्ट मोड ने एक डेटा चैनल स्थापित किया है।
• 542 - डेटा चैनल अक्षम है।
• 543 - मुख्य मोड अक्षम है। (इसका कारण एक विश्वसनीय कनेक्शन की अवधि को सीमित समय अंतराल का अंत हो सकता है (डिफ़ॉल्ट 8 घंटे है), एक नीति परिवर्तन, या सहकर्मी समाप्ति)।
• 544 - इस तथ्य के कारण मूल प्रमाणीकरण मोड की विफलता कि भागीदार ने एक वैध प्रमाण पत्र प्रदान नहीं किया या हस्ताक्षर प्रमाणित नहीं है।
• 545 - करबरोस विफलता या अमान्य पासवर्ड के कारण प्राथमिक प्रमाणीकरण मोड विफल हो गया।
• 546 - एक साथी से अस्वीकार्य प्रस्ताव के कारण एक विश्वसनीय IKE कनेक्शन बनाने में विफलता। अमान्य डेटा वाला पैकेट प्राप्त करना।
• 547 - IKE कनेक्शन स्थापना प्रक्रिया के दौरान विफलता।
• 548 - विफलता लॉग। विश्वसनीय डोमेन से प्राप्त विश्वसनीयता पहचानकर्ता (SID) क्लाइंट के लिए डोमेन खाते के SID से मेल नहीं खाता है।
• 549 - विफलता लॉग। वन प्रमाणीकरण के दौरान अविश्वसनीय नामस्थानों से जुड़े सभी सिड को फ़िल्टर किया गया था।
• 550 - अधिसूचना संदेश, जो सेवा पर संभावित हमले का संकेत दे सकता है।
• 551 - उपयोगकर्ता ने लॉगआउट प्रक्रिया शुरू की।
• 552 - उपयोगकर्ता ने सही क्रेडेंशियल का उपयोग करके कंप्यूटर पर सफलतापूर्वक लॉग ऑन किया, इस तथ्य के बावजूद कि इससे पहले कि वह दूसरे उपयोगकर्ता के रूप में लॉग इन था।
• 682 - उपयोगकर्ता को डिस्कनेक्टेड टर्मिनल सर्वर सत्र के लिए फिर से जोड़ा जाता है।
• 683 - उपयोगकर्ता को लॉग आउट किए बिना टर्मिनल सर्वर सत्र से डिस्कनेक्ट किया गया है (यह घटना तब उत्पन्न होती है जब उपयोगकर्ता नेटवर्क के माध्यम से टर्मिनल सर्वर सत्र से जुड़ा होता है। यह टर्मिनल सर्वर पर दिखाई देता है)।

एंट्री टाइप मान

• 2 - परस्पर। सफल उपयोगकर्ता कंप्यूटर में लॉगिन करें।
• 3 - नेटवर्क। उपयोगकर्ता या कंप्यूटर नेटवर्क के माध्यम से कंप्यूटर पर लॉग इन करता है।
• 4 - बैच। पैकेट सर्वर द्वारा पैकेट प्रकार की प्रविष्टि का उपयोग किया जाता है, जिन प्रक्रियाओं का निष्पादन उपयोगकर्ता की ओर से किया जाता है, लेकिन उसके प्रत्यक्ष हस्तक्षेप के बिना।
• 5 - सेवा। सेवा की शुरुआत सेवा नियंत्रण प्रबंधक द्वारा की जाती है।
• 7 - अनलॉक। यह कार्य केंद्र अनलॉक है।
• 8 - NetworkCleartext। उपयोगकर्ता ने नेटवर्क के माध्यम से कंप्यूटर पर लॉग ऑन किया। उपयोगकर्ता पासवर्ड को उसके अनशेड रूप में प्रमाणीकरण पैकेट में भेज दिया गया है। एकीकृत प्रमाणीकरण नेटवर्क पर भेजने से पहले सभी हैशेड खातों को पैक करता है। स्पष्ट पाठ में नेटवर्क पर क्रेडेंशियल प्रसारित नहीं होते हैं।
• 9 - नए क्रेडेंशियल्स। आगंतुक ने अपने वर्तमान टोकन को क्लोन किया और आउटगोइंग कनेक्शन के लिए नए खाते निर्दिष्ट किए। नए लॉगिन सत्र में समान स्थानीय पहचान होती है, लेकिन नेटवर्क कनेक्शन के लिए विभिन्न खातों का उपयोग करता है।
• 10 - RemoteInteractive। एक उपयोगकर्ता ने टर्मिनल सेवा या दूरस्थ डेस्कटॉप का उपयोग करके दूरस्थ रूप से इस कंप्यूटर पर लॉग इन किया है।
• 11 - कैश्ड निष्क्रिय। एक उपयोगकर्ता ने इस कंप्यूटर पर नेटवर्क क्रेडेंशियल्स के साथ लॉग ऑन किया जो कंप्यूटर पर स्थानीय रूप से संग्रहीत थे। डोमेन नियंत्रक का उपयोग क्रेडेंशियल्स को सत्यापित करने के लिए नहीं किया गया था।

यह जानकारी मुख्य रूप से इस स्रोत से ली गई है। प्राप्त जानकारी से, हम यह निष्कर्ष निकाल सकते हैं कि हमें EventID = 528 और EntryType = 10 के साथ एक घटना की आवश्यकता है, जो RDP के माध्यम से कंप्यूटर को इनपुट के अनुरूप होगा। आइए हमारी टीम को थोड़ा बदल दें।
Get-EventLog security -message "* :?10*" -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 528 }

-message पैरामीटर -message से हमारे ईवेंट के संदेश को दर्शाता है, जिसमें "एंट्री टाइप" ("इनपुट टाइप" है, क्योंकि मेरे पास 2003 का रूसी संस्करण है), टेम्प्लेट के माध्यम से हम हमारे लिए ब्याज की रेखा की खोज सेट करते हैं।

चूंकि मुझे cmdlet के मापदंडों में Get_EventLog -EventID नहीं मिला, इसलिए मुझे ऑब्जेक्ट के गुणों का उपयोग करना पड़ा:
$_ अर्थ है वह वस्तु जो मूल रूप से प्रकट होती है
-eq अर्थ है मूल्य की समानता, हमारे मामले में 528

निष्पादन का परिणाम निम्नलिखित होगा:



सामान्य तौर पर, क्या आवश्यक है, लेकिन केवल गलत जानकारी हमें प्रदर्शित की जाती है। हम इसे सही करेंगे। ऑब्जेक्ट के तीन पैरामीटर मेरे लिए प्रासंगिक हैं, ये हैं: समय, उपयोगकर्ता नाम, आईपी पता। भविष्य में, एक ऑब्जेक्ट बनाएं, और हमारे लिए ब्याज का डेटा दर्ज करें। मैंने स्क्रिप्ट "test.ps1" बनाई, क्योंकि पूरी टीम टाइप करने के लिए समस्याग्रस्त होगी।

$Events = Get-EventLog security -message "* :?10*" -after (get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 528 }

$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)

$Events | %{

$Data.time = $_.TimeGenerated

$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.UserName = ($message | ?{$_ -like ":*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like " :*"} | %{$_ -replace "^.+:."})

$data

}

आइए इस कोड पर एक नज़र डालें।
$Events = Get-EventLog security -message "* :?10*" -after (get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 528 } $Events = Get-EventLog security -message "* :?10*" -after (get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 528 } - हमने घटनाओं के चयन के परिणामों को एक चर में रखा, ताकि भविष्य में इसके साथ काम करना सुविधाजनक हो।

इसके बाद, हमारे भविष्य की तालिका के लिए एक "टेम्पलेट" बनाएं जिसमें तीन मान हों: समय, उपयोगकर्ता नाम और पता।
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null $Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null )


$Events | %{} $Events | %{} - प्रत्येक ऑब्जेक्ट के माध्यम से जाना जो चयन परिणामों में होगा

$Data.time = $_.TimeGenerated - समय $Data.time = $_.TimeGenerated
$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()} $message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()} ।
$Data.UserName = ($message | ?{$_ -like ":*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like " :*"} | %{$_ -replace "^.+:."}) $Data.UserName = ($message | ?{$_ -like ":*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like " :*"} | %{$_ -replace "^.+:."}) अगला, नवगठित सरणी में, हम लाइन पर मैचों की तलाश करते हैं। उपयोगकर्ता: "और" स्रोत नेटवर्क का पता: ", और -replace इन नियमित अभिव्यक्तियों को हटा देता है, जिससे जानकारी स्वयं निकल जाती है।

कमांड के साथ स्क्रिप्ट चलाएँ .\test.ps1 (जैसा कि आप देख सकते हैं, पीएस स्क्रिप्ट को चलाने के लिए आपको पथ निर्दिष्ट करना होगा, भले ही वह वर्तमान कार्यशील फ़ोल्डर में हो):


यदि स्क्रिप्ट शुरू नहीं हुई है, तो सबसे अधिक संभावना है कि आपके पॉश को स्क्रिप्ट चलाने के लिए कॉन्फ़िगर नहीं किया गया है। Set-ExecutionPolicy RemoteSignet ।

यह बहुत अच्छा लग रहा है, लेकिन मुझे लगता है कि आप स्क्रिप्ट में सुधार कर सकते हैं। सुविधा के लिए, हम इसमें पैरामीटर सेट करने की क्षमता जोड़ेंगे और आईपी एड्रेस मास्क का उपयोग करके लाइनों को रंग से हाइलाइट करेंगे।

param ($key1,$val1,$val2,$val3,$val4,$val5,$val6)

if ($val1 -eq $null) {$val1=0};

$mydate = Get-date -hour 0 -minute 0 -second 0;

if ($key1 -eq "year") { $mydate = (Get-date -hour 0 -minute 0 -second 0 -day 1 -month 1); $mydate = $mydate.addyears(-$val1); };

if ($key1 -eq "month") { $mydate = (Get-date -hour 0 -minute 0 -second 0 -day 1); $mydate = $mydate.addmonths(-$val1); };

if ($key1 -eq "day") { $mydate = $mydate.adddays(-$val1) };

if ($key1 -eq "date") { $mydate = (Get-date -hour 0 -minute 0 -second 0 -day $val1 -month $val2 -year $val3); }; #

if ($val4 -eq $null) {$Events = Get-EventLog security -message "* :?10*" -after ($mydate) | ?{$_.eventid -eq 528 }}
if ($val4 -ne $null) {$Events = Get-EventLog security -message "* :?10*" -after ($mydate) -before (get-date -hour 0 -minute 0 -second 0 -day $val4 -month $val5 -year $val6) | ?{$_.eventid -eq 528 }}
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)

$Events | %{

$Data.time = $_.TimeGenerated

$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.UserName = ($message | ?{$_ -like ":*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like " :*"} | %{$_ -replace "^.+:."})

$textcolor = $host.ui.rawui.foregroundcolor

$host.ui.rawui.foregroundcolor = "red"

if ($data.address -like "192.168.0*") {$host.ui.rawui.foregroundcolor = "DarkGreen"}
if ($data.address -like "10.*") {$host.ui.rawui.foregroundcolor = "yellow"}

$data

$host.ui.rawui.foregroundcolor = $textcolor

}

param ($key1,$val1,$val2,$val3,$val4,$val5,$val6) - स्क्रिप्ट को दिए गए मापदंडों को परिभाषित करता है।

if ($key1 -eq "day") { $mydate = $mydate.adddays(-$val1) };; हम कुंजी के अनुपालन के लिए हस्तांतरित मापदंडों की जांच करते हैं, यदि कुंजी मेल खाती है, तो हम निर्दिष्ट मापदंडों के अनुसार तारीख को समायोजित करते हैं। इस स्थिति में, "दिन" कुंजी को एक पैरामीटर के रूप में पारित किया जाता है, जिसके तर्क से हम एक निश्चित दिन पहले की तारीख का अनुवाद करेंगे। यानी एक निश्चित दिनों के लिए एक लॉग प्रदर्शित किया जाएगा, बाकी की शर्तें सादृश्य द्वारा, एक महीने के लिए और एक वर्ष के लिए पूरी की जाती हैं। यदि "दिनांक" कुंजी निर्दिष्ट की जाती है, तो एक स्पेस द्वारा इंगित की गई विशिष्ट तिथि को प्रारंभिक बिंदु के रूप में लिया जाता है, उदाहरण के लिए, "01 05 2011", यदि हम अंतरिक्ष के माध्यम से एक अलग तारीख का संकेत देते हैं, तो इन तिथियों पर संकेतित एक निश्चित अवधि स्क्रीन पर प्रदर्शित होगी। रंग में जानकारी को आउटपुट करने के लिए, मूल रूप से राइट-होस्ट cmdlet का उपयोग करने की योजना बनाई गई थी, जिसमें पैरामीटर -backgroundcolor और -foregroundcolor है, लेकिन अंत में मुझे इसे छोड़ देना पड़ा क्योंकि यह वस्तुओं के आउटपुट के साथ अनुकूल नहीं है।



मैंने स्पष्टता के लिए आंतरिक स्थानीय नेटवर्क के प्रदर्शन को हरे रंग, बाहरी पीले और अन्य सभी अपरिचित पतों को लाल बनाया।

और यदि आप {$_.eventid -eq 529 } तो परिणाम गलत पासवर्ड के साथ सभी लॉगिन प्रयास होंगे।



यह सूची बहुत लंबी थी, ऐसे खलनायकों को दिन में कई बार फायरवॉल पर रोकना और जाँचना उपयोगी था।

नतीजतन, स्क्रिप्ट, न्यूनतम संशोधन के साथ, ईवेंट लॉग में निहित किसी भी जानकारी को आसानी से प्रदर्शित करने के लिए अनुकूलित किया जा सकता है।