Szybkie łącza
Inspekcja Active Directory w czasie rzeczywistym
Inspekcja serwera plików
Śledzenie pracowników
Audyt zgodności
Inspekcja serwera członkowskiego
Audyty stacji roboczych
- Raporty z inspekcji zmian na stacjach roboczych Windows AD
- Audyt logowania do stacji roboczych Mac
Najważniejsze funkcje

Rejestrowanie zdarzeń i audyt PowerShell

ADAudit Plus upraszcza proces śledzenia aktywności PowerShell, przekształcając nieprzetworzone i zaszumione dane dziennika PowerShell w raporty i alerty w czasie rzeczywistym. Umożliwia to łatwe śledzenie aktywności PowerShell.

Najważniejsze funkcje audytu PowerShell z ADAudit Plus

Monitorowanie kodu

Audyt poleceń PowerShell i zawartości skryptów wykonywanych w środowisku Windows Server.

Śledzenie procesów

Dowiedz się, kto, kiedy i skąd wykonał proces PowerShell w Twoim środowisku.

Gotowe do audytu raporty zgodności

Zautomatyzuj generowanie i dostarczanie raportów audytu PowerShell, aby spełnić wymagania zgodności.

Natychmiastowe alerty bezpieczeństwa

Otrzymuj powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości e-mail i SMS o krytycznych działaniach, takich jak wykonanie określonego skryptu.

Rejestrowanie i audyt PowerShell za pomocą natywnych narzędzi

Windows PowerShell jest powszechnie używany do zarządzania krytycznymi zasobami Windows Server, takimi jak użytkownicy, grupy, GPO i pliki. Śledzenie aktywności PowerShell jest więc niezbędne. Aktywność PowerShell występującą w środowisku można śledzić, wykonując trzy kroki opisane poniżej.

Krok 1: Włączenie rejestrowania aktywności PowerShell
PowerShell obsługuje trzy rodzaje rejestrowania: rejestrowanie modułów, rejestrowanie bloków skryptów i transkrypcję.
- Rejestrowanie modułów pozwala określić moduły, które mają być rejestrowa
- Rejestrowanie bloków skryptów rejestruje pełną zawartość kodu; dostarcza również informacji o użytkowniku, który uruchomił polecenia PowerSh
- Transkrypcja rejestruje uruchamiane polecenia wraz z ich wynikami; nie rejestruje jednak zawartości wykonywanych skryptów ani danych wyjściowych zapisywanych w innych miejscach docelowych, takich jak system plików.
- Aby włączyć rejestrowanie modułów za pomocą zasad grupy, przejdź do Konfiguracja komputera → Zasady → Szablony administracyjne → Składniki systemu Windows → Windows PowerShell → Włącz rejestrowanie modułów. Aby rejestrować wszystkie moduły, przejdź do Włącz rejestrowanie modułów → Opcje → Pokaż i wpisz * w oknie Nazwy modułów
- Aby włączyć rejestrowanie bloków skryptów za pomocą zasad grupy, przejdź do Konfiguracja komputera → Zasady → Szablony administracyjne → Składniki systemu Windows → Windows PowerShell → Włącz rejestrowanie bloków skryptów PowerShell.
- Aby włączyć transkrypcję za pomocą zasad grupy, przejdź do Konfiguracja komputera → Zasady → Szablony administracyjne → Składniki systemu Windows → Windows PowerShell → Włącz transkrypcję PowerShell. Aby zarejestrować znacznik czasu dla każdego wykonanego polecenia, przejdź do Włącz transkrypcję PowerShell i zaznacz pole wyboru Uwzględnij nagłówki wywołań.
Wskazówka: Zaleca się, aby co najmniej włączyć rejestrowanie bloków skryptów w celu śledzenia kodu wykonywanego w PowerShell.
Krok 2: Skonfiguruj odpowiedni rozmiar dziennika programu PowerShell
Aby skonfigurować rozmiar dziennika PowerShell za pomocą zasad grupy, przejdź do Konfiguracja komputera → Preferencje → Ustawienia systemu Windows. Kliknij prawym przyciskiem myszy Rejestr, a następnie wybierz Nowy → Element rejestru. W oknie Nowe właściwości rejestru:
- W polu Akcja wybierz opcję Aktualizuj z listy rozwijanej.
- W polu Hive wybierz HKEY_LOCAL_MACHINE z listy rozwijane
- W polu Ścieżka klucza wpisz
- W polu Nazwa wartości odznacz pole obok Domyślna i wpisz MaxSize.
- W polu Typ wartości wybierz REG_DWORD z listy rozwijanej.
- W polu Dane wartości wpisz odpowiednią wartość.
- W polu Postać wybierz opcję Dziesiętna.
- Kliknij przycisk Zastosuj.
Wskazówka: Rozmiar dziennika zdarzeń PowerShell powinien wynosić co najmniej 150 MB, aby zapewnić zachowanie danych przez rozsądny okres czasu.
Krok 3: Ciągłe śledzenie zdarzeń PowerShell
Dzienniki PowerShell można znaleźć w Podglądzie zdarzeń w sekcji
Dzienniki aplikacji i usług → Microsoft → Windows → PowerShell → Operacyjne.
- Zdarzenia rejestrowania modułów są zapisywane w identyfikatorze zdarzenia
- Zdarzenia rejestrowania bloku skryptów są zapisywane w identyfikatorze zdarzenia
- Dzienniki transkrypcji nie są zapisywane w żadnym identyfikatorze zdarzenia; zamiast tego są przechowywane jako pliki tekstowe, których domyślna lokalizacja to C:\Users\%USERNAME%\Documents.
Wskazówka: Biorąc pod uwagę ogromną ilość generowanych zdarzeń PowerShell, śledzenie aktywności PowerShell przy użyciu natywnych narzędzi może być pracochłonnym procesem. Rozwiązanie innej firmy, takie jak ADAudit Plus, może pomóc w przezwyciężeniu tego problemu.

Bądź na bieżąco z aktywnością PowerShell’a za pomocą kilku kliknięć

Gotowe do audytu raporty zgodności
Konfiguracja natychmiastowych alertów bezpieczeństwa

1

Otrzymuj powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości e-mail i SMS o krytycznych działaniach, takich jak wykonanie określonego skryptu.

2

Zautomatyzuj reakcje, takie jak wyłączenie urządzenia

Configure instant security alerts
Otrzymuj powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości e-mail i SMS o krytycznych działaniach, takich jak wykonanie określonego skryptu.
Zautomatyzuj reakcje, takie jak wyłączenie urządzenia
1

Zachowaj kompleksową ścieżkę audytu tego, kto co zrobił, kiedy i skąd.

2

Automatyzacja generowania i dostarczania raportów w celu spełnienia wymogów zgodności.

Audit-ready compliance reports
Zachowaj kompleksową ścieżkę audytu tego, kto co zrobił, kiedy i skąd.
Automatyzacja generowania i dostarczania raportów w celu spełnienia wymogów zgodności.

Pełna przejrzystość aktywności PowerShell
Użyj ADAudit Plus.

Pobierz bezpłatną wersję próbną

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Dziękujemy za pobranie!

Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund.
Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie.

Pobierz Sprzedaż kontaktowa Zarezerwuj demo