Oddelenie informačnej bezpečnosti si stanovilo za úlohu vyvinúť najjednoduchší systém auditu, ktorým je denné odovzdávanie štatistík účtov Active Directory vytvorených za posledných 24 hodín, ako aj informácií o tom, kto tieto účty vytvoril v doméne..
obsah:
- Skript Powershell na získanie zoznamu nedávno vytvorených používateľov v službe Active Directory
- Ako zistiť, kto si vytvoril účet v službe Active Directory
Skript Powershell na získanie zoznamu nedávno vytvorených používateľov v službe Active Directory
Pre zoznam používateľov vytvorených v službe Active Directory za posledných 24 hodín je najjednoduchším spôsobom použitie cmdlet PowerShell. Get-ADUser. Výstup rutiny cmdlet bude filtrovaný podľa atribútu používateľa whencreated, ktorý ukladá dátum a čas vytvorenia účtu. Dostanem taký jednoduchý skript PowerShell:
$ lastday = ((Get-Date) .AddDays (-1))
$ filename = Get-Date -Format rrrr.MM.dd
$ exportcsv = ”c: \ ps \ new_ad_users_” + $ filename + “.csv”
Get-ADUser -filter (keď bol vytvorený minulý deň -ge $) | Export-csv-cesta $ exportcsv
V tomto príklade sa zoznam účtov AD uloží do súboru s aktuálnym dátumom ako menom. Pomocou plánovača môžete nakonfigurovať denné spustenie tohto skriptu, v dôsledku čoho sa budú v zadanom adresári ukladať súbory obsahujúce informácie o dátume vytvorenia konkrétneho účtu. Do prehľadu môžete pridať ďalšie atribúty používateľa z Active Directory (pozri článok o používaní programu Get-ADUser).
Ako zistiť, kto si vytvoril účet v službe Active Directory
Okrem toho, že ste vytvorili účet, môžu mať ochrancovia tiež záujem o informácie o mene konkrétneho používateľa, ktorý si vytvoril konkrétny účet v službe Active Directory. Tieto informácie je možné získať z protokolov zabezpečenia radiča domény Active Directory..
Pri zadávaní nového používateľa do denníka zabezpečenia radiča domény (len to DC, na ktorej bol účet vytvorený) sa objaví udalosť s kódom EvenId 4720 (DC musí mať povolenú politiku správy účtov auditu v predvolenej politike radiča domény).
Popis tejto udalosti obsahuje riadok Vytvoril sa užívateľský účet a potom účet, z ktorého bol vytvorený nový používateľský účet AD (zvýraznené na obrázku nižšie).
Skript na stiahnutie všetkých udalostí vytvorenia účtu z protokolu radiča domény za posledných 24 hodín môže vyzerať takto:
$ time = (get-date) - (new-timespan -h 24)
$ filename = Get-Date -Format rrrr.MM.dd
$ exportcsv = ”c: \ ps \ ad_users_creators” + $ filename + “.csv”
Get-WinEvent -FilterHashtable @ LogName = "Security"; ID = 4720; StartTime = $ Time | Foreach
$ event = [xml] $ _. ToXml ()
ak ($ udalosť)
$ Time = Get-Date $ _. TimeCreated -UFormat "% Y-% m-% d% H:% M:% S"
$ CreatorUser = $ event.Event.EventData.Data [4]. "# Text"
$ NewUser = $ event.Event.EventData.Data [0]. "# Text"
$ dc = $ event.Event.System.computer
$ dc + „|“ + $ Čas + „|“ + $ NewUser + „|“ + $ CreatorUser | outex file $ exportcsv -append
Analogicky s článkom „Jednoduchý systém auditu odstraňovania súborov a priečinkov pre systém Windows Server“ môžete nakonfigurovať informácie o udalostiach, ktoré sa nenachádzajú v textových súboroch na každom serveri DC, ale prostredníctvom MySQL .NET Connector for PowerShell jedinej databázy MySQL..
