Cómo ver las tareas programadas en el Programador de tareas de Windows

El Programador de tareas de Windows ha sido el punto de entrada de muchos hackers para infiltrarse en el sistema. Incluso Windows 10, que cuenta con un sandbox (una función que ejecuta aplicaciones no fiables en un entorno independiente para que la instalación principal no se vea afectada), ha sido propenso a que los hackers ejecuten scripts y tareas maliciosas a través del Programador de tareas. Estos scripts maliciosos ayudan al hacker a escalar privilegios dentro de su red.

Activar la auditoría del Programador de tareas para controlar las tareas sospechosas que se han creado debería formar parte de su plan de seguridad. En los pasos siguientes, puede ver cómo obtener detalles de las tareas programadas en un servidor Windows. Alternativamente, en la pestaña ADAudit Plus encontrará una forma más sencilla de utilizar los informes preconfigurados de ADAudit Plus para ver y exportar las tareas programadas.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

Con auditoría nativa de AD
Con ADAudit Plus

Cómo ver las tareas programadas en el Programador de tareas con ADAudit Plus
Para realizar un seguimiento de las tareas programadas, tendrá que activar la auditoría de su Active Directory. (Consulte el paso 1 de la pestaña Auditoría de AD nativa)
En la consola de ADAudit Plus, vaya a 'Reports' y navegue hasta 'Process Tracking' en el panel izquierdo. Esto le proporciona una lista de informes preconfigurados sobre la actividad de los procesos dentro de AD.
Puede seleccionar el informe "Scheduled Task Created" para ver las nuevas tareas que se han programado.
También puede crear informes personalizados y exportarlos en formatos CSV, PDF, XSL, HTML.

Paso 1: Habilite la auditoría de directiva de grupo
Inicie sesión en el controlador de dominio con privilegios de administrador e inicie la Consola de administración de directiva de grupo.
En el panel izquierdo, expanda los nodos “Bosque” y “Dominios” para revelar el dominio especificado para el que desea realizar el seguimiento de los cambios.
Expanda el dominio y haga clic con el botón derecho en Directiva de dominio predeterminada. También puede elegir una directiva de dominio que sea universal en todo el dominio o crear un nuevo GPO y vincularlo a la Directiva de dominio predeterminada.
Haga clic en Editar de la directiva de grupo deseada para abrir el Editor de administración de directivas de grupo.
Expanda el archivo 'Configuración del equipo'--->Directivas---->Configuración de Windows----->Configuración de seguridad----->Configuración de directiva de auditoría avanzada----->Directiva de auditoría------>Acceso a objetos----->Auditar otros eventos de acceso a objetos
Configure las propiedades tanto para el 'Éxito' como para el 'Error'. Salga del Editor de administración de directiva de grupo.
En GPMC, elija el GPO modificado y haga clic en “Agregar” en la sección “Seguridad” en el panel derecho. Escriba "todos" en el cuadro de texto y haga clic en "Comprobar nombres" para incluir el valor. Salga del GPMC.
Para aplicar estos cambios en todo el dominio, ejecute el comando “gpupdate /force”, en la consola de “Ejecutar”.
Paso 2: Permita auditoría de AD a través de ADSI Edit
Desde su “Administrador de servidores”, vaya a “Herramientas” y seleccione “ADSI Edit”.
Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana “Configuración de conexión”.
Seleccione la opción “Contexto de nomenclatura predeterminado” de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.
Haga clic en “Aceptar” y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic derecho en este sub-nodo y haga clic en “Propiedades”.
En la ventana 'Propiedades', vaya a la pestaña 'Seguridad' y seleccione 'Avanzado'. Después de eso, seleccione 'Auditoría' y haga clic en 'Agregar'.
Haga clic en 'Seleccionar una entidad de seguridad'. Esto hará que aparezca una ventana de 'Seleccione Usuario, Computador o Grupo'. Escriba “Todos” en el cuadro de texto y verifíquelo con “Comprobar nombres”.
La “Entidad de seguridad” en la ventana “Entrada de auditoría” ahora muestra “Todos”. En el menú desplegable “Tipo”, seleccione “Todos”para auditar los eventos de “Éxito” y “Error”.
En el menú desplegable “Seleccionar” elija “Este objeto y todos los objetos descendientes”. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione “Control total” en la sección “Permisos”.
Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:
1. Control total
2. Contenido de la lista
3. Lea todas las propiedades
4. Lea permisos
Paso 3: Vea eventos en el Visor de eventos.
Puede supervisar las tareas programadas accediendo a "Registros de seguridad" en el "Visor de eventos". Puede filtrar su registro para buscar el siguiente evento.
ID de evento: 4698 describe una tarea que se ha programado.

¿Llega a ser demasiado la auditoría nativa?

Simplifique la auditoría y la generación de informes de eventos del sistema con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

¡La auditoría de Active Directory ahora es más fácil!

ADAudit Plus viene con más de 300 informes predefinidos que facilitan su auditoría de AD. La solución también envía alertas en tiempo real para eventos críticos y, de este modo, le ayuda a proteger su red de amenazas y a mejorar su postura de seguridad de TI. Consulte aquí las funciones de ADAudit Plus.
Descargar ADAudit Plus

Cómo ver las tareas programadas en el Programador de tareas de Windows

Con auditoría nativa de AD

Con ADAudit Plus

Cómo ver las tareas programadas en el Programador de tareas con ADAudit Plus

Paso 1: Habilite la auditoría de directiva de grupo

Paso 2: Permita auditoría de AD a través de ADSI Edit

Paso 3: Vea eventos en el Visor de eventos.