Situatie
Am învățat că nu poți avea prea multe fișiere de jurnal. Dacă doriți să aveți vizibilitate asupra a ceea ce rulează comenzi pe serverul dvs., cine rulează comenzi sau ce se execută, trebuie să activați jurnalizarea PowerShell.
Există malware foarte sofisticat care se poate încorpora în Windows. Unul dintre modurile de a obține o idee despre ce se întâmplă este să examinați jurnalele PowerShell din Event Viewer. Acest lucru vă va arăta comenzile care au fost executate, precum și adresa IP de unde malware-ul face apel acasă.
Solutie
Pentru a activa acest lucru, puteți seta jurnalizarea PowerShell cu politica de grup sau puteți activa o cheie de registry după cum urmează:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Politici \ Microsoft \ Windows \ PowerShell \ ScriptBlockLogging
și creați un DWord numit „EnableScriptBlockLogging” cu o valoare de 1.
Odată ce ați făcut oricare dintre opțiuni, puteți merge la Event Viewer și extindeți „ Applications and Services Log”, veți vedea „Windows PowerShell” unde acum puteți vizualiza toate evenimentele:
Există multe jurnale aici, dar veți începe să înțelegeți rapid lucrurile odată ce începeți să le sortați.
Iată câteva sfaturi suplimentare pentru înțelegerea jurnalelor PowerShell:
- Proprietatea „ScriptBlockText” afișează textul comenzii PowerShell care a fost executată.
- Proprietatea „IpAddress” afișează adresa IP de unde malware-ul face apel acasă.
- Proprietatea „ProcessId” afișează ID-ul procesului procesului PowerShell care a executat comanda.
Prin înțelegerea jurnalelor PowerShell, puteți obține o mai bună înțelegere a ceea ce se întâmplă pe serverul dvs. și identificați orice amenințări potențiale la securitate.
Leave A Comment?