Powershellは、変更アラートでActive Directoryを監査します。 パート1

Active Directoryの監視に関する一連の出版物を開始します。
これらの記事では、最も基本的な問題とそれらを解決する方法を紹介します。 これらのデータに基づいて、機能は必要な要件に簡単に拡張できます。
現在、Powershellは、Windows Server 2003 R2およびWindows XP SP3以降のすべてのオペレーティングシステムで使用できることを前提としています。 この記事は役に立つ助けになると思います。なぜなら、 管理者が追加の資金を導入する必要はありません。 基本的に定期的な手段による監視。

---

それでは始めましょう。

Active Directoryの監視

すべてのITブログコミュニティでADモニタリングに関する多くの記事を見つけることができますが、...しかし、それらの90％以上はサードパーティアプリケーションの使用に専念しており、その多くは、たとえ多くではなくても、すべての企業が喜んで提供するわけではない一定の金額がかかります。 おそらく、記事数の記録保持者はNetWrix Corporationの製品です。 あちこちで、IT専門家がこのプログラムの素晴らしい特徴を描きます。 しかし、なんと罪を隠すのか、彼はこのプログラムをデモモードで使用しました。 正直なところ、私はそれが好きで、すべてがシンプルで手頃な価格ですが、彼らはそれのためにお金を与えません。つまり、デモ期間の終わりまでにADは再び「鋭い」目なしで放置されることを意味します 基本的に私に合わなかったもの。

小さなトリアー

ご存じのとおり、すべてのストライプのWindowsのセキュリティポリシーには、イベントを監査する機能があります。 この監査により、ジャーナル「セキュリティ」のイベントログにエントリを自動的に生成できます。 監査は、ログイン、オブジェクトへのアクセス、アカウント管理、ポリシーの変更など、いくつかのタイプのイベントに対して実施できます。 9種類のイベントのみ。 これは基本的な監査です。 Windows 7およびWindows Server 2008R2以降、監査イベントの数は53に増加しました。これにより、必要なイベントのみをより詳細に監査できます。 高度な監査ポリシーの詳細については、 こちらをご覧ください 。
しかし、ご存知のように、少なくとも一度はEventLogのセキュリティセクションを調べてそこに何かを見つけました-不可能ではないにしても、少なくとも非常に困難です。

アイデア...

そして、ここでアイデアが生まれました... WindowsはEventLogにイベントログエントリを作成できるため、理論的にはこの情報を取得できます。 1つの「しかし」...このログは大きすぎて目的のイベントを手動で検索できず、時間の経過とともにログのサイズを制限しないと、数十ギガバイトに成長する可能性があります。 そのため、EventLogで適切な情報を自動的に見つける問題を解決する必要があります。 幸いなことに、各タイプのイベント（たとえば、ユーザーアカウントの作成）には、それを見つけるための独自のIDがあります。
したがって、検索の問題を解決するには、ジャーナルでこのイベントを見つけるだけです。
Powershell 2.0には、EventLog- Get-WinEventを操作するための特別なコマンドレットがあります。
このコマンドレットを使用すると、EventLogで特定のレコードを取得できます。

実装

グループポリシーで、ドメインコントローラーに適用してアカウントに関連するイベントを監査することを示したとします。
次に、ADで開かれたアカウントでのアクションは、特定の識別子でEventLogにエントリを作成するイベントを生成します。 たとえば、この操作が実行されたドメインコントローラーのドメインにコンピューターが追加されると、セキュリティログのEventLogにID = 4741のエントリーがあり、いつ、誰がどのコンピューターをドメインに追加したかを示します。
指定された識別子を持つ最後のイベントを取得するには、Powershellクエリを使用します。

Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4741} 

しかし、残念ながら、出力形式は最高のものを残したいのです。 セキュリティ識別子、一連の属性など、多くの追加情報。

 TimeCreated : 12.07.2012 14:02:19 ProviderName : Microsoft-Windows-Security-Auditing Id : 4741 Message :    . :  : S-1-5-21-451469775-2953165952-2320738315-500   : administrator   : DOMAIN  : 0xb3acf    :  : S-1-5-21-451469775-2953165952-2320738315-2979   : TEST$   : DOMAIN :    SAM: TEST$  : -   : -  : -  : -   : -   : -   : -   : <>     : <>   : 515  : -   UAC: 0x0   UAC: 0x85    :    "  " -  "    " -   : -  SID: -  : <  > DNS- : -   : -  : Privileges - 

最も基本的な情報、時間、作成者、コンピューター名に興味があります。 これを行うには、リクエストを「少し」微調整します。

 Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4741} | Select TimeCreated,@{n=””;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SubjectUserName”} |%{$_.'#text'}}},@{n=” ”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SamAccountName”}| %{$_.'#text'}}} 

その結果、このクエリの結果は、すでに目に便利な情報になります。

 TimeCreated : 12.07.2012 14:02:19  : administrator   : TEST$ 

この要求は、EventLogのイベントをXMLオブジェクトと見なします。 そして、必要な値、つまり 時間（TimeCreated）、オペレーター、コンピューター名。

ご覧のとおり、コードは非常に読みやすくありません。 イベントを処理できるようにするため、Windows Eventlogは各イベントを部分文字列に解析できる特別な.Netクラスを提供します。Powershellは実際には.NETであるため、これらの機能も利用できます。

たとえば、次のコードはイベントを部分文字列に解析します。

 Get-Eventlog Security -InstanceId 4768| Select TimeGenerated,ReplacementStrings | % { New-Object PSObject -Property @{ UserName = $_.ReplacementStrings[0] IPAddress = $_.ReplacementStrings[9] Date = $_.TimeGenerated } } 

その結果、次のような結果が得られます。

 Date : 12.07.2012 14:02:19 Username : administrator IPAddress : 10.10.10.1 

このコードは読みやすくなっています。

リクエストをさらに詳しく考えてみましょう。

オプション1（要求はイベントをXLMと見なします）：

EventLogのエントリを開くと、一般と詳細の2つのブックマークが表示されます。
「詳細」タブに移動して表示モード「XMLモード」を選択すると、同じイベント構造がXML形式で表示されます。
このイベントをXMLとして解析し、そこから必要な値を選択します。Event.EventData.Dataセクションで、SubjectUserNameという名前のパラメーターはコンピューターを作成したユーザーの名前で、SamAccountNameという名前のパラメーターは作成されたコンピューターの名前です。

オプション2（部分文字列の下で解析）：

同様に、イベントをXMLとして開き、セクションEvent.EventData.Dataを見つけて、行をカウントします（0から開始）-これらはサブストリングのインデックスです。 必要な値を持つ行を見つけ、それが何行にあるかを検討します。

ここで、この情報をどこかに表示する必要があります。コンソールに保存しないでください。
さらに良いことに、それが管理者にメールなどで送信される場合。
Powershell 2.0には、コンソールスタイルのSMTPセッションと電子メールの送信機能があります。
Send-MailMessage-この機能を実行するコマンドレット。
メッセージを送信するには、SMTPサーバー、送信者アドレス、受信者アドレス、メッセージ本文、メッセージの件名、ユーザー名、パスワードを指定する必要があります。
その結果、ID = 4741の識別子で最後のイベントを検索し、管理者にメールで情報を送信する次のリクエストを取得します。

 #     $Theme = “    ” #     ,     . $Subject = “ ” #   $Server = “mail.domain.ru” # SMTP  $From = “audit@domain.ru” #   $To = “admin@domain.ru” #  $pass = ConvertTo-SecureString “PASSWORD” -AsPlainText -Force #    $cred = New-Object System.Management.Automation.PSCredential(“AUDIT” , $pass) #    $encoding = [System.Text.Encoding]::UTF8 #  UTF8        #    .       ID.     Body. $Body=Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4741} | Select TimeCreated,@{n=””;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SubjectUserName”} |%{$_.'#text'}}},@{n=” ”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SamAccountName”}| %{$_.'#text'}}} | select-object -first 1 # . Send-MailMessage -From $From -To $To -SmtpServer $server -Body “$Theme `n$BodyM” -Subject $Subject -Credential $cred -Encoding $encoding 

まとめ

このスクリプトを、ps1拡張子の付いたファイルに保存します。たとえば、D：\ Scripts \ ADCompAdd.ps1
Powershellコンソールを開きます。
次のコマンドを入力します： Set-ExecutionPolicy Unrestricted

「Y」を押して入力します。 したがって、サーバーでのPowershellスクリプトの実行を許可します。
スクリプトをコンソールにドラッグし（ドラッグアンドドロップ）、Enterキーを押します。 スクリプトがエラーなしで実行されたことを確認します（つまり、コンソールに赤いテキストボックスが表示されなかった）。 必要なデータを含む新しいメッセージがないかメールを確認します。

イベントが発生した瞬間に何らかの形でこのスクリプトを実行することだけが残っています。
次に、「タスクスケジューラ」が役立ちます。
スケジューラには、EventLogの特定のイベントに応答する機能があります。
セキュリティログに表示される番号4741の下のイベントに応答することをトリガーで示すタスクを作成します。
また、このスクリプトを実行する必要があることも示しています。 これを行うには、「アクション」でプログラムを実行することを指定し、「プログラムまたはスクリプト」フィールドに「 powershell 」と記述します。 「引数の追加（オプション）」フィールドに「 -nologo -noprofile -File」と入力しますD：\ Scripts \ ADCompAdd.ps1″ ”

次に、作成された構造がどのように機能するかをテストします。 ADのどの部門にもテストコンピューターを作成します。 メールでメッセージを確認します。

スクリプトは完全に安全ではありません ユーザー名とパスワードがクリアテキストで含まれているため、このスクリプトを使用する場合は、アカウントを使用して最小限の権限でメッセージを送信することを強くお勧めします。

私の測定によると、イベントに対する反応時間は1秒です。 つまり 作成から手紙の受領まで1秒が経過します。 もちろん、インターネットのどこかではなく、ローカルメールサーバーを使用している場合に限ります。 遅延がある場合があります。 しかし、全体的には高くありません。

その結果、このスクリプトを基礎として、イベント内のイベントから取得する必要があるイベント番号とデータを変更すると、ADのアカウントでのすべての操作を監視できます：create-delete、disable-enable、lock-unlock。、Add to groups and例外とか。 一般に、Windowsを監査できるイベント監視。 リクエスト内のXMLフィルターを変更するだけです。これを行うには、XMLモードで必要なイベントを確認し、必要な値を選択して、リクエストフィルターに入力します。

PS：

Windows Server 2008R2の便利なイベント識別子を次に示します。

ID = 4741ドメインでのコンピューターの作成

ID = 4743ドメインからコンピューターを削除する

ID = 4728セキュリティグループへの追加

ID = 4729セキュリティグループから削除しています

ID = 4720ユーザー作成

ID = 4726ユーザーの削除

ID = 4740アカウントロックアウト

ID = 4767アカウントのロック解除

ID = 4722アカウントを有効にする

ID = 4725アカウントの切断