Непрерывный аудит Active Directory с запланированными задачами

Опубликовано: 8 Апреля, 2023

Введение

В двух последних выпусках «непрерывного аудита Windows Active Directory» мы рассмотрели несколько эффективных способов аудита Windows Active Directory для вас, аудитора или специалиста по безопасности. В первой статье «Использование PowerShell для непрерывного аудита безопасности Active Directory» основное внимание уделялось использованию встроенной в Windows 7 технологии PowerShell. Используя PowerShell, вы можете запрашивать информацию из Active Directory благодаря доступу на чтение, предоставленному всем пользователям, которые являются частью домена. Во второй статье «Использование сохраненных запросов ADUC для непрерывного аудита Windows Active Directory» мы рассказали, как использовать инструмент «Пользователи и компьютеры Active Directory» для создания сохраненных запросов. Используя сохраненные запросы, вы можете просто «обновить» представление в инструменте, чтобы увидеть обновленные объекты, соответствующие критериям, которые вы хотите проверить.

Доступ к запланированным задачам в Windows 7

Запланированные задачи являются частью операционной системы и доступны обычным пользователям. Опять же, как аудиторы, вы являетесь стандартным пользователем почти во всех случаях, поэтому подобные инструменты могут оказаться бесценными для вас при сборе информации из Active Directory.

Чтобы получить доступ к запланированным задачам, вам необходимо выполнить следующие действия:

  1. Нажмите кнопку «Пуск»
  2. Затем нажмите «Все программы» — «Стандартные» — «Системные инструменты» — «Планировщик заданий».

Это запустит окно планировщика заданий, чтобы вы могли видеть существующие задачи и создавать новые задачи. Вы можете увидеть стандартный планировщик заданий на рисунке 1.

Изображение 23328
Рисунок 1: Планировщик заданий Windows 7.

Создание задач в планировщике задач

Планировщик заданий Windows 7 имеет два варианта создания заданий. Существует опция «Основная задача» и опция «Задача». Базовая задача очень проста, для ее создания требуется всего несколько записей. Чтобы создать задачу, вам необходимо ввести все аспекты вашей задачи вручную. Когда дело доходит до непрерывного аудита Active Directory с помощью PowerShell, вы можете выбрать любой вариант. Ниже приведено краткое описание каждого типа задач, а затем мы рассмотрим детали создания задач для непрерывного аудита.

Создание базовой задачи

Основная задача именно такая, основная. Он обеспечивает легкий и простой способ связать задачу с событием или расписанием с небольшими другими определениями. Для основной задачи вы просто определите следующее:

  • Название задачи
  • Описание задания
  • Частота задач
  • Триггер события (если не по частоте)
  • Действие задачи (электронная почта, программа, сообщение)

Это управляется мастером и очень легко настраивается. Вы можете увидеть основной мастер на рис. 2, где он просит вас определить идентификатор события.

Изображение 23329
Рисунок 2: Мастер основных задач позволяет запускать задачу на основе идентификатора события.

Создание Задания (Стандартного, более подробного!)

Шаги для перехода к стандартной задаче такие же, как и для базовой задачи, но параметры внутри существенно отличаются. Когда вы запускаете диалоговое окно «Создать задачу», у вас есть много параметров для настройки.

Сначала вам нужно будет заполнить вкладку «Общие», которая показана на рисунке 3.

Изображение 23330
Рис. 3. Вкладка «Создать задание» «Общие».

Затем вам нужно будет принять решения для триггеров, заполнив вкладку «Триггеры». Для этого необходимо добавить новые триггеры, нажав кнопку «Создать». Когда вы сделаете это, появится диалоговое окно New Trigger, показанное на рисунке 4.

Изображение 23331
Рис. 4. Диалоговое окно «Новый триггер», доступное на вкладке «Триггеры».

Далее вам нужно будет определить действия для вашей задачи. На вкладке «Действия» вы нажмете кнопку «Создать», и появится диалоговое окно «Новое действие», как показано на рисунке 5.

Изображение 23332
Рис. 5. Диалоговое окно «Новое действие» для вашей задачи.

Почти готово, нужно заполнить вкладку Условия. Здесь вы настраиваете, должна ли задача выполняться на основе других настроенных вами критериев. Вкладка «Условия» показана на рисунке 6.

Изображение 23333
Рис. 6. Вкладка «Условия» для вашей задачи.

Наконец, у вас есть вкладка «Настройки». Эта вкладка позволяет вам более подробно настроить поведение вашей задачи и действия для ваших событий просмотра событий. Вы можете увидеть эти параметры на рисунке 7.

Изображение 23334
Рисунок 7: Вкладка настроек для вашей задачи.

Создание запланированной задачи для командлета PowerShell

Когда вы создаете задачу для непрерывного аудита Active Directory с помощью PowerShell, вы сможете создать простую задачу или задачу, решать вам. Цель задачи — запустить задачу посреди ночи, чтобы утром вас ждал отчет. Вы сможете создать отдельный файл для каждой контрольной точки аудита, что поможет вам упорядочить данные после их получения.

Мы собираемся использовать командлет PowerShell, который мы использовали в предыдущей статье, поэтому, пожалуйста, прочитайте его, чтобы все работало правильно на вашем компьютере с Windows 7. Не забывайте, что вам нужно настроить PowerShell для выполнения командлетов, созданных другими, установив для политики выполнения значение remotesigned.

Мы собираемся создать файл, содержащий членов группы администраторов домена. Это отличный пример, так как в имени группы есть пробел, и это может вызвать некоторую боль при создании запланированного задания из-за пробела.

Сначала мы создадим базовую задачу. Выполните шаги, описанные выше, и введите следующую информацию для своей основной задачи:

Имя:

группа администраторов домена

Когда вы хотите, чтобы задание началось?

Один раз

Начинать:

Выберите дату и время

Какое действие вы хотите, чтобы задача выполняла?

Запустить программу

Программа/сценарий:

powershell.exe

Добавьте аргументы:

c:pscmdletsgetadinfo.ps1 -domain braincore.net -группа ""администраторы домена"" -tocsv c:pscmdletsdomainadmins.csv

Это создаст файл с разделителями-запятыми с именем domainadmins.csv и поместит его в папку c:pscmdlets. Конечно, вы можете изменить эти переменные, чтобы разместить файл там, где вы хотите, и дать ему имя, которое вам подходит.

Для задачи того же содержания вы должны ввести следующую информацию:

На вкладке Общие:

Имя:

группа администраторов домена

На вкладке Триггеры:

Нажмите кнопку «Создать», затем введите:

Настройки:

Один раз

Начинать:

Выберите дату и время

На вкладке Действия:

Нажмите кнопку «Создать», затем введите:

Действие:

Запустить программу

Программа/сценарий:

powershell.exe

Добавьте аргументы:

c:pscmdletsgetadinfo.ps1 -domain braincore.net -группа ""администраторы домена"" -tocsv c:pscmdletsdomainadmins.csv

Резюме

Теперь вы можете создать задачу почти для каждой части Active Directory, которую вы хотите постоянно проверять. Вы можете создавать свои файлы данных ежедневно, еженедельно, ежемесячно. По сути, всякий раз, когда вам нужно сгенерировать данные, вы можете это сделать. Если вы вернетесь к нескольким последним статьям о непрерывном аудите, вы сможете экстраполировать то, что мы собрали из этих статей, и ввести их в свое запланированное задание PowerShell. Просто убедитесь, что вы очистили старые файлы, прежде чем создавать новые!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023