В своих предыдущих статьях о непрерывном аудите Windows Active Directory я рассматривал некоторые способы аудита Windows Active Directory, доступные для аудитора или специалиста безопасности Windows Active Directory. В первой статье, Using PowerShell to Continuously Audit Security of Active Directory, речь шла о том, как использовать интегрированную в Windows 7 технологию PowerShell. С помощью PowerShell можно собирать информацию с Active Directory благодаря разрешению чтения, которое предоставляется всем пользователям домена. Во второй статье, Using ADUC Saved Queries to Continuously Audit Windows Active Directory, мы рассматривали то, как использовать инструмент Directory Users and Computers для создания сохраняемых запросов (Saved Queries). Используя сохраняемые запросы, можно просто обновлять вид в инструменте для просмотра обновленных объектов, которые отвечают критериям аудита.

Доступ к запланированным задачам в Windows 7

Запланированные задачи являются частью ОС и доступны для обычных пользователей. Будучи аудиторами, вы, в большинстве случаев, будете обычными пользователями, поэтому такие инструменты могут быть бесценными для сбора информации из Active Directory.

Для доступа к запланированным задачам нужно выполнить следующие шаги:

1. Нажмите кнопку Пуск
2. Затем нажмите Все программы – Стандартные – Служебные – Планировщик задач

В результате у вас запустится планировщик задач, где вы найдете некоторые интересные задачи и сможете создать новые. Стандартный планировщик задач показан на рисунке 1.

Рисунок 1: Планировщик задач Windows 7.

Создание задач в планировщике задач

Планировщик задач Windows 7 идет с двумя опциями создания задач. Есть опция создания простых задач ('Basic Task') и опция задач ('Task'). Простое задание говорит само за себя, оно требует указания лишь нескольких параметров при создании. Для создания Задачи нужно указать все аспекты задачи вручную. Когда речь заходит о непрерывном аудите Active Directory с помощью PowerShell, можно выбрать любую из вышеуказанных опций. Ниже приведена сводка по каждому типу задач, а позже мы подробно рассмотрим создание задачи непрерывного аудита.

Создание простой задачи

Простая задача – это простая задача. Она дает простой и быстрый способ связи задачи с событием или графиком с минимальным набором параметров. В простой задаче нужно указать следующее:

• Имя задачи
• Описание задачи
• Частоту выполнения задачи
• Триггер события (если не по времени)
• Действие задачи (email, программа, сообщение)

Настройка осуществляется с помощью мастера, что делает ее еще проще. Мастер создания простой задачи показан на рисунке 2, он просит указать ID события.

Рисунок 2: Мастер создания простой задачи позволяет инициировать выполнение задачи на основе ID события.

Создание задачи (стандартная, более подробная задача!)

Шаги создания стандартной задачи такие же, как и для простой задачи, однако опции ее создания значительно отличаются. При запуске диалога создания задачи у вас появляется множество опций для настройки.

Во-первых, нужно заполнить закладку Общие, рисунок 3.

Рисунок 3: Закладка Общие в диалоге создания задачи.

Затем нужно определить триггеры, заполнив закладку Триггеры. Для этого нужно добавить новые триггеры, нажав кнопку Новый (New). При нажатии на эту кнопку у вас откроется диалог добавления нового триггера, как показано на рисунке 4.

Рисунок 4: Диалог добавления нового триггера в закладке Триггеры.

Далее нужно определить действие вашей задачи. В закладке Действия (Actions) нужно использовать кнопку добавления нового действия (New), после чего откроется диалог добавления нового действия, рисунок 5.

Рисунок 5: Диалог добавления нового действия задачи.

Почти готово, теперь нужно заполнить закладку условий (Conditions). Здесь указывается, должна ли выполняться задача на основе других критериев, настроенных вами. Эта закладка показана на рисунке 6.

Рисунок 6: Закладка условий задачи.

Наконец, у вас есть закладка параметров (Settings). Эта закладка позволяет вам более тонко настраивать поведение задачи и действия в программе просмотра событий. Эта закладка показана на рисунке 7.

Рисунок 7: Закладка параметров задачи.

Создание запланированной задачи для команды PowerShell

Когда вы создаете задачу для непрерывного аудита Active Directory с помощью PowerShell, вы можете создать простую задачу или задачу, решать вам. Целью задачи будет ее выполнение в полночь, чтобы к утру у вас был готовый отчет. Вы сможете создать отдельный файл для каждой точки контроля аудита, который поможет вам организовать данные после их сбора.

Мы воспользуемся командой PowerShell, которую использовали в своей предыдущей статье, поэтому для правильной работы на компьютере Windows 7 рекомендую еще раз перечитать ту статью. Не забудьте, что нужно настроить PowerShell на выполнение команд, созданных другими, путем настройки executionpolicy на remotesigned.

Мы создадим файл, содержащий участников группы администраторов домена Domain Admins. Это отличный пример, так как имя группы имеет пространство и это может вызвать некоторые трудности при генерировании запланированной задачи в силу пространства.

Во-первых, мы создадим простую задачу. Для этого выполняем вышеописанные шаги и вводим следующую информацию для нашей простой задачи:

Это сгенерирует файл с разделителями-запятыми под именем domainadmins.csv и расположит его в папку c:\pscmdlets. Конечно, можно изменить эти переменные, чтобы сохранить файл в то место, куда вам нужно под нужным вам именем.

Для задачи с таким же содержимым нужно ввести следующую информацию:

Заключение

Теперь вы можете создавать задачу практически для каждой части Active Directory, для которой хотите выполнять непрерывный аудит. Можно генерировать файлы данных на ежедневной, еженедельной или ежемесячной основе. По сути, вы можете генерировать данные, когда вам это необходимо. Если вы вернетесь к нескольким предыдущим статьям о непрерывном аудите, вы сможете взять данные, которые мы собрали в тех статьях, и вставить их в задачу PowerShell. Только нужно обязательно очистить старые файлы перед генерированием новых!