Odjel za informacijsku sigurnost postavio je zadatak razviti najjednostavniji sustav revizije, a to je učitavanje statistika na račune Active Directory kreirane u protekla 24 sata, kao i informacije o tome tko je stvorio te račune u domeni.
sadržaj:
- Powershell skripta za dobivanje popisa nedavno kreiranih korisnika u Active Directoryu
- Kako saznati tko je stvorio račun u Active Directoryu
Powershell skripta za dobivanje popisa nedavno kreiranih korisnika u Active Directoryu
Za popis korisnika kreiran u Active Directoryu u posljednja 24 sata, najlakši je način da koristite PowerShell cmdlet Get-ADUser. Izlaz cmdleta filtrirat će se po atributu korisnika whencreated, koji pohranjuje datum i vrijeme kreiranja računa. Dobijam tako jednostavnu skriptu PowerShell-a:
$ lastday = ((Datum-datum) .Dodaj (-1))
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = "c: \ ps \ new_ad_users_" + $ filename + ".csv"
Get-ADUser -filter (kada je kreiran -ge $ lastday) | Export-csv -path $ exportcsv
U ovom primjeru popis AD računa sprema se u datoteku s trenutnim datumom kao imenom. Pomoću alata za planiranje možete konfigurirati svakodnevno pokretanje ove skripte, što će rezultirati time da će se datoteke s podacima o datumu kreiranja određenog računa nakupljati u specificiranom direktoriju. U izvješće možete dodati bilo koje druge korisničke atribute iz aktivnog imenika (pogledajte članak o korištenju Get-ADUser).
Kako saznati tko je stvorio račun u Active Directoryu
Pored činjenice stvaranja računa, zaštitare bi mogli zanimati podaci o imenu određenog korisnika koji je stvorio određeni račun u Active Directoryu. Te se informacije mogu dobiti iz sigurnosnih zapisnika kontrolera domene Active Directory..
Kada unosite novog korisnika u sigurnosni dnevnik kontrolera domene (samo to DC na kojem je račun kreiran) događaj se prikazuje s kodom EvenId 4720 (DC mora imati uključenu politiku upravljanja računom revizije u pravilima zadanog kontrolera domena).
Opis ovog događaja sadrži liniju Napravljen je korisnički račun, a zatim račun iz kojeg je stvoren novi korisnički račun AD (istaknuto na slici ispod).
Skripta za preuzimanje svih događaja kreiranja računa iz dnevnika kontrolera domene u posljednja 24 sata može izgledati ovako:
$ time = (datum uzimanja) - (novo razdoblje - sat 24)
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = "c: \ ps \ ad_users_creators" + ime datoteke $ + ".csv"
Get-WinEvent -FilterHashtable @ LogName = "Sigurnost"; ID = 4720; StartTime = $ Time | Foreach
$ event = [xml] $ _. ToXml ()
ako ($ događaj)
$ Time = Datum dobivanja $ _. Vrijeme izrađeno -UFormat "% Y-% m-% d% H:% M:% S"
$ CreatorUser = $ event.Event.EventData.Data [4]. "# Tekst"
$ NewUser = $ event.Event.EventData.Data [0]. "# Tekst"
$ dc = $ event.Event.System.computer
$ dc + "|" + $ Vrijeme + "|" + $ NewUser + "|" + $ CreatorUser | poslati datoteku $ exportcsv -prilog
Analogno članku "Jednostavan sustav revizije brisanja datoteka i mapa za Windows Server", možete konfigurirati informacije o događajima za koje se utvrdi da nisu tekstualna datoteka na svakom DC-u, već preko MySQL .NET Connector za PowerShell jednu MySQL bazu podataka.
