Bagaimana untuk mengesan siapa yang memasang perisian apa-apa pada Windows Server dalam masa nyata - Bagaimana Untuk

Bagaimana untuk mengesan siapa yang memasang perisian apa-apa pada Windows Server dalam masa nyata

Perisian yang mencurigakan pada Windows Server anda mungkin disebabkan oleh pemasangan yang tidak dibenarkan oleh pekerja anda sendiri atau berasal dari serangan peretas. Sebarang perisian mencurigakan berpotensi menyebabkan kebocoran data yang paling sensitif, terjamin, tidak kira kelembapan prestasi pelayan atau pelanggaran dasar pematuhan. Itulah sebabnya penting untuk mengetahui sebarang kejadian pemasangan perisian dan melihat apa yang dipasang, siapa yang melakukannya dan apabila tidak lama selepas itu berlaku.
https://www.netwrix.com/how_to_detect_software_installations.html

7 langkah total

Langkah 1: Mengkonfigurasi Log Acara

Jalankan eventvwr.msc → Log Windows → Klik kanan "Aplikasi" log → Properties:
Pastikan kotak semak "Dayakan pembalakan" dipilih
Meningkatkan saiz log sekurang-kurangnya 1gb
Tetapkan kaedah pengekalan untuk "Tulis ganti peristiwa yang diperlukan" atau "Atur log apabila penuh".

Langkah 2: Membuat Pemberitahuan

Untuk membuat amaran segera yang dicetuskan pada mana-mana pemasangan perisian, anda perlu mengedit skrip powerhell berikut dengan menetapkan parameter anda dan menyimpannya di mana saja sebagai fail .ps1 (contohnya, detect_software.ps1):

Langkah 3: Kod Skrip

Seksyen Persediaan SMTP #Mail
$ Subject = "Perisian Baru Telah Dipasang pada $ env: COMPUTERNAME" # Subjek Mesej
$ Server = "smtp.server" # Pelayan SMTP
$ Dari = "[email protected]" # Dari siapa kita menghantar e-mel (tambah kebenaran logon anonim jika diperlukan)

$ To = "[email protected]" # Kepada siapa kami menghantar
$ Pwd = ConvertTo-SecureString "enterpassword" -AsPlainText -Force #Sender account password
# (Amaran! Gunakan akaun yang sangat terhad untuk penghantar, kerana kata laluan yang disimpan dalam skrip tidak akan disulitkan)
$ Cred = New-Object System.Management.Automation.PSCredential ("[email protected]", $ Pwd) # credential accountSender

$ encoding = [System.Text.Encoding] :: UTF8 # Pengekodan penyetelan ke UTF8 untuk paparan mesej yang betul

#Menerangkan penggunaID yang boleh dibaca manusia dari UserSID dalam log.
$ UserSID = (Get-WinEvent -FilterHashtable @ {LogName = "Application"; ID = 11707; ProviderName = "MsiInstaller"}). UserID.Value | pilih -First 1
$ objSID = New-Object System.Security.Principal.SecurityIdentifier ("$ UserSID")
$ UserID = $ objSID.Translate ([System.Security.Principal.NTAccount])

#Berasa badan e-mel yang mengandungi masa yang dibuat dan mesej pemasangan aplikasi.
$ Body = Get-WinEvent -FilterHashtable @ {LogName = "Application"; ID = 11707; ProviderName = 'MsiInstaller'} | Pilih TimeCreated, Mesej | pilih-objek -First 1

# Melanggan e-mel.
Send-MailMessage -From $ From -To $ To -SmtpServer $ Server -Body "$ Body Installed by: $ UserID" -Subject $ Subject -Credential $ Cred -Encoding $ encoding

Langkah 4: Membuat Tugas Terjadual Baru

Jalankan Tugas Penjadual → Buat tugas jadual baru → Masuk namanya → Tab pencetus → Cuba baru → Sediakan pilihan berikut:
Mulakan tugas pada acara
Log - Permohonan
Sumber - Blank
EventID - 11707.

Langkah 5: Tetapan Tindakan

Pergi ke Tab Tindakan → Tindakan baru dengan parameter berikut:
Tindakan - Mulakan program
Skrip program: powershell
Tambah hujah (pilihan): -File "tentukan laluan fail ke skrip kami"
Klik "OK".

Langkah 6: Mulakan Menerima Makluman

Kini anda akan dimaklumkan mengenai setiap pemasangan perisian pada pelayan Windows anda melalui mesej e-mel yang akan mengandungi butiran masa pemasangan perisian, nama perisian dan nama pengguna pemasang.

Langkah 7: Video Kes Kegunaan Nyata Hayat

http://www.youtube.com/watch?v=xE4QcIk9CTA

Mengemas kini skrip untuk menunjukkan nama pengguna dan nama komputer bukan penggunaID.