Аудит подій введення користувачів у Windows

Під час розслідування різних інцидентів адміністратору потрібно отримати інформацію, яка та при введенні певного комп'ютера Windows. Історія входів користувача в доменній мережі можна отримати з журналів контролерів домену. Але іноді простіше отримати інформацію безпосередньо з журналів комп'ютера. У цій статті ми покажемо, як отримати та проаналізувати історію введення користувача на комп'ютер/сервер Windows. Така статистика допоможе вам відповісти на запитання "як у Windows перевірити, хто і при використанні цього комп'ютера".

Зміст:

• Налаштування політики введення користувачів у Windows
• Шукайте події введення користувачів у журналі подій Windows
• Аналіз подій введення користувачів у Windows за допомогою PowerShell

Налаштування політики введення користувачів у Windows

Спочатку вам потрібно ввімкнути політику аудиту введення користувачів. На окремому комп’ютері для налаштування параметрів локальної групової політики використовується обладнання GPEDIT.MSC. Якщо ви хочете ввімкнути комп’ютери для комп’ютерів в домені Active Directorty, вам потрібно використовувати редактор домену GPO ( GPMC.MSC ).

1. Запустіть консоль GPMC, створіть новий GPO та призначте її організованим одиницям (OU) за допомогою комп'ютерів та / або серверів, для яких ви хочете ввімкнути політику введення аудиту;
2. Відкрийте об’єкт GPO та перейдіть до конфігурації комп'ютера -> Політика -> Налаштування Windows -> Налаштування безпеки -> Конфігурація політики розширеної аудиту -> Аудит Поліції -> Лог/Лофф;
3. Увімкніть дві аудиторські політики Аудит і Logoff аудиту. Це буде контролювати як події вхідних та вихідних подій. Якщо ви хочете відстежувати лише успішні події вступу, включіть у налаштування політику лише варіант Успіх; Цей же розділ включає політику аудиту подій блокування акцій, зміни в групах Active Directory та t.D.
4. Закрийте редактор GPO та оновіть налаштування політики щодо клієнтів.

Шукайте події введення користувачів у журналі подій Windows

Після того, як ви включили політику аудиту вступу, на кожному вході користувача Windows у переглядач подій, з’явиться запис запису. Давайте подивимось, як це виглядає.

1. Відкрийте обладнання для перегляду заходів ( EventVwr.MSC );
2. Розгорніть розділ журналів Windows та виберіть журнал Безпека;
3. Клацніть на нього за допомогою правильної клавіші та виберіть елемент Журнал струму фільтра;
4. У полі вказують на події ідентифікатора 4624 і натисніть кнопку ОК;
5. У вікні події залишиться лише події введення користувачів, системні сервіси з описом залишиться Обліковий запис успішно увійшов ;
6. Опис події вказує назву та домен користувача, який ввів систему:

   Новий вхід: Ідентифікатор безпеки: WinitPro \ a.Назва облікового запису Храмов: a.Домен облікового запису Храмов: WinitPro

Нижче наведено інші корисні EventID:

Ідентифікатор події	Опис
4624	Подія входу в обліковий запис
4625	Обліковий запис не ввійшов увійти
4648	Вхід був здійснений за допомогою явних облікових даних
4634	Обліковий запис був вимкнений
4647	Ініційований користувачем logoff

Якщо ви переглянете журнал подій, ви можете побачити, що він містить не лише події запису користувача на комп'ютер. Будуть також події доступу до цього комп'ютера (при відкритті загальних файлів або друку в мережевих принтерах), запуск різних служб та завдань планувальника тощо.D. Т.Е. Є багато додаткових подій, які не належать до введення місцевого користувача. Щоб вибрати лише події інтерактивного входу користувача на комп'ютерну консоль, вам потрібно додатково зробити зразок значення параметра входу. У таблиці нижче перераховані коди типу входу.

Код типу входу	Опис
0	Система
2	Інтерактивний
3	Мережа
чотири	Партія
п’ять	Послуга
6	Проксі
7	Розблокувати
8	NetworkClearText
дев'ять	Newcredientials
10	Віддалений
одинадцять	Кашедивний
12	Качедремотектив
13	Качедунлок

З віддаленим підключенням до робочого столу RDP комп'ютер, у журналі подій будуть записи з входом 10 або 3. Детальніше про аналіз журналів RDP у Windows читайте.

Відповідно до цієї таблиці, подія локального входу користувача на комп'ютер повинен містити тип входу: 2.

Цей код події з’являється на автоматичному вході до Windows.

Щоб відфільтрувати вхід вхід вхід, щоб містити тип входу, краще використовувати PowerShell.

Аналіз подій введення користувачів у Windows за допомогою PowerShell

Скажімо, наше завдання - отримати інформацію про те, які користувачі були включені на цей комп'ютер нещодавно. Нас цікавить події інтерактивного входу (через консоль) з Logontype = 2 . Щоб вибрати події з журналів перегляду подій, ми будемо використовувати командира Підрозділ.

Наступний сценарій PowerShell відобразить історію вступу користувачів до поточного комп'ютера та представить його у вигляді графічної таблиці міста.

$ query = @'



*[System [EventId = '4624']
і (
EventData [дані [@name = 'virtalaccount'] = '%% 1843']
і
EventData [дані [@name = 'logontype'] = '2']
)
]



'@
$ Protterties = @(
@n = 'користувач'; e = $ _.Властивості [5].Значення,
@n = 'домен'; e = $ _.Властивості [6].Значення,
@n = 'timestamp'; e = $ _.Timecreed
@n = 'logontype'; e = $ _.Властивості [8].Значення
)
Get -wineeent -filterxml $ Query | Виберіть -Object $ Properties | Out -City

Якщо вам потрібно вибрати вхідні події за останні кілька днів, ви можете додати трубу з наступним станом:

| Що -Object $ _.Timestamp -gt '5/10/22'

Команда Get Wineeent дозволяє отримувати інформацію з віддалених комп'ютерів. Наприклад, щоб отримати історію входів з двох комп'ютерів, дотримуйтесь наступного сценарію:

'MSK-Comp1', 'MSK-Comp2' |
Foreach -Object
Get -wineeent -ComputErname $ _ -filterxml $ Запит | Виберіть -Object $ Properties


Якщо протокол RPC закритий між комп'ютерами, ви можете отримати дані з віддалених комп'ютерів за допомогою PowerShell Remoting Invoke-Command:

INSP-Command -ComputErname 'msk-comp1', 'msk-comp2' get-winevent -filterxml $ query | Виберіть -Object $ Properties