about_Logging_Windows

Krótki opis

Program PowerShell rejestruje operacje wewnętrzne z aparatu, dostawców i poleceń cmdlet do dziennika zdarzeń systemu Windows.

Długi opis

Program PowerShell rejestruje szczegółowe informacje o operacjach programu PowerShell, takich jak uruchamianie i zatrzymywanie aparatu i dostawców oraz wykonywanie poleceń programu PowerShell.

Uwaga

Windows PowerShell wersji 3.0, 4.0, 5.0 i 5.1 obejmują polecenia cmdlet EventLog dla dzienników zdarzeń systemu Windows. W tych wersjach, aby wyświetlić listę poleceń cmdlet EventLog , wpisz: Get-Command -Noun EventLog. Aby uzyskać więcej informacji, zobacz dokumentację poleceń cmdlet i about_EventLogs dla używanej wersji Windows PowerShell.

Wyświetlanie wpisów dziennika zdarzeń programu PowerShell w systemie Windows

Dzienniki programu PowerShell można wyświetlić przy użyciu Podgląd zdarzeń systemu Windows. Dziennik zdarzeń znajduje się w grupie Dzienniki aplikacji i usług i ma nazwę PowerShellCore. Skojarzony dostawca GUID ETW to {f90714a8-5509-434a-bf6d-b1624c8a19a2}.

Po włączeniu rejestrowania bloków skryptów program PowerShell rejestruje następujące zdarzenia w dzienniku PowerShellCore/Operational :

Pole Wartość
EventId 4104 / 0x1008
Kanał Operational
Poziom Verbose
Opcode Create
Zadanie CommandStart
Słowo kluczowe Runspace

Rejestrowanie dostawcy zdarzeń programu PowerShell w systemie Windows

W przeciwieństwie do systemu Linux lub macOS system Windows wymaga zarejestrowania dostawcy zdarzeń przed zapisaniem zdarzeń w dzienniku zdarzeń. Aby włączyć dostawcę zdarzeń programu PowerShell, uruchom następujące polecenie w wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień.

$PSHOME\RegisterManifest.ps1

Wyrejestrowywanie dostawcy zdarzeń programu PowerShell w systemie Windows

Zarejestrowanie dostawcy zdarzeń powoduje umieszczenie blokady w bibliotece binarnej używanej do dekodowania zdarzeń. Aby zaktualizować tę bibliotekę, dostawca musi zostać wyrejestrowany, aby zwolnić tę blokadę.

Aby wyrejestrować dostawcę programu PowerShell, uruchom następujące polecenie w wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień.

$PSHOME\RegisterManifest.ps1 -Unregister

Po zaktualizowaniu programu PowerShell uruchom polecenie $PSHOME\RegisterManifest.ps1 , aby zarejestrować zaktualizowanego dostawcę zdarzeń.

Włączanie rejestrowania bloków skryptów

Po włączeniu rejestrowania bloków skryptów program PowerShell rejestruje zawartość wszystkich bloków skryptu, które przetwarza. Po włączeniu tej opcji każda nowa sesja programu PowerShell rejestruje te informacje.

Uwaga

Zaleca się włączenie rejestrowania zdarzeń chronionych, jak opisano poniżej, w przypadku korzystania z rejestrowania bloków skryptów w celach innych niż diagnostyka.

Rejestrowanie bloków skryptów można włączyć za pośrednictwem zasady grupy lub ustawienia rejestru.

Za pomocą zasad grupy

Aby włączyć automatyczną Turn on PowerShell Script Block Logging transkrypcję, włącz funkcję w zasady grupy za pomocą Administrative Templates -> Windows Components -> Windows PowerShellpolecenia .

Korzystanie z rejestru

Uruchom następującą funkcję:

function Enable-PSScriptBlockLogging
{
    $basePath = 'HKLM:\Software\Policies\Microsoft\Windows' +
      '\PowerShell\ScriptBlockLogging'

    if(-not (Test-Path $basePath))
    {
        $null = New-Item $basePath -Force
    }

    Set-ItemProperty $basePath -Name EnableScriptBlockLogging -Value "1"
}

Rejestrowanie zdarzeń chronionych

Zwiększenie poziomu rejestrowania w systemie zwiększa możliwość, że zarejestrowana zawartość może zawierać poufne dane. Na przykład w przypadku włączenia rejestrowania skryptów poświadczenia lub inne poufne dane używane przez skrypt można zapisać w dzienniku zdarzeń. Po naruszeniu bezpieczeństwa maszyny, która zarejestrowała poufne dane, dzienniki mogą dostarczyć osobie atakującej informacje potrzebne do rozszerzenia ich zasięgu.

Aby chronić te informacje, Windows 10 wprowadzono funkcję rejestrowania zdarzeń chronionych. Funkcja rejestrowania zdarzeń chronionych umożliwia uczestniczącym aplikacjom szyfrowanie poufnych danych zapisanych w dzienniku zdarzeń. Później można odszyfrować i przetworzyć te dzienniki w bardziej bezpieczny i scentralizowany moduł zbierający dzienniki.

Zawartość dziennika zdarzeń jest chroniona przy użyciu standardu składni komunikatów kryptograficznych IETF (CMS). Usługa CMS używa kryptografii klucza publicznego. Klucze używane do szyfrowania zawartości i odszyfrowywania zawartości są przechowywane oddzielnie.

Klucz publiczny można szeroko udostępniać i nie jest poufnymi danymi. Każda zawartość zaszyfrowana za pomocą tego klucza publicznego może zostać odszyfrowana tylko przez klucz prywatny. Aby uzyskać więcej informacji na temat kryptografii klucza publicznego, zobacz Wikipedia — kryptografia klucza publicznego.

Aby włączyć zasady rejestrowania zdarzeń chronionych, wdróż klucz publiczny na wszystkich maszynach z danymi dziennika zdarzeń w celu ochrony. Odpowiedni klucz prywatny służy do przetwarzania dzienników zdarzeń w bezpieczniejszej lokalizacji, takiej jak centralny moduł zbierający dzienniki zdarzeń lub agregator SIEM . Usługę SIEM można skonfigurować na platformie Azure. Aby uzyskać więcej informacji, zobacz Ogólna integracja rozwiązania SIEM.

Włączanie rejestrowania zdarzeń chronionych za pośrednictwem zasady grupy

Aby włączyć rejestrowanie zdarzeń chronionych, włącz Enable Protected Event Logging tę funkcję w zasady grupy za pomocą polecenia Administrative Templates -> Windows Components -> Event Logging. To ustawienie wymaga certyfikatu szyfrowania, który można podać w jednej z kilku formularzy:

  • Zawartość certyfikatu X.509 zakodowanego w formacie base-64 (na przykład oferowana Export przez opcję w Menedżerze certyfikatów).
  • Odcisk palca certyfikatu, który można znaleźć w magazynie certyfikatów komputera lokalnego (można wdrożyć za pomocą infrastruktury PKI).
  • Pełna ścieżka do certyfikatu (może być lokalna lub udział zdalny).
  • Ścieżka do katalogu zawierającego certyfikat lub certyfikaty (może to być udział lokalny lub zdalny).
  • Nazwa podmiotu certyfikatu, który można znaleźć w magazynie certyfikatów komputera lokalnego (można wdrożyć za pomocą infrastruktury PKI).

Wynikowy certyfikat musi być Document Encryption rozszerzonym użyciem klucza (1.3.6.1.4.1.311.80.1) i Data Encipherment włączonym użyciem kluczy lub Key Encipherment kluczami.

Ostrzeżenie

Klucz prywatny nie powinien być wdrażany na maszynach rejestrunych zdarzeń. Powinna być przechowywana w bezpiecznej lokalizacji, w której odszyfrujesz komunikaty.

Odszyfrowywanie chronionych komunikatów rejestrowania zdarzeń

Poniższy skrypt pobierze i odszyfrowuje, zakładając, że masz klucz prywatny:

Get-WinEvent Microsoft-Windows-PowerShell/Operational |
  Where-Object Id -eq 4104 | Unprotect-CmsMessage

Zobacz też