Cum pot detecta cand cineva imi modifica grupul Domain Admins?
WMI?VBScript?
Ne folosim de un exemplu de script de pe “Hey! Scripting guy!” care ne ajuta sa cautam in textul dintr-un event si de modelul de script descris in articolul de aici.
In prima etapa scriptul monitorizeaza aparitia oricarui eveniment cu ID-ul 641
Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
("Select * from __InstanceCreationEvent Where " _
& "TargetInstance ISA ‘Win32_NTLogEvent’ " _
& "and TargetInstance.EventCode = ‘641’ ")
Urmand ca apoi sa caute un corpul mesajului textul “domain admins”.
If InStr(LCase(objLatestEvent.TargetInstance.Message), "domain admins") Then
Wscript.Echo "Message: " & objLatestEvent.TargetInstance.Message
End If
Intreg scriptul il gasiti mai jos:
strComputer = "."
Set objWMIService = GetObject("winmgmts:{(Security)}\\" & _
strComputer & "\root\cimv2")Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
("Select * from __InstanceCreationEvent Where " _
& "TargetInstance ISA ‘Win32_NTLogEvent’ " _
& "and TargetInstance.EventCode = ‘641’ ")Do
Set objLatestEvent = colMonitoredEvents.NextEvent
If InStr(LCase(objLatestEvent.TargetInstance.Message), "domain admins") Then
Wscript.Echo "Message: " & objLatestEvent.TargetInstance.Message
End IfLoop
Iata ce se intampla cand il rulam si modificam grupul Domain Admins.
Ca actiune in cazul modificarii unui event doar afisam un text in cazul scriptului de mai sus, insa actiunea potrivita ar fi generarea si trimiterea unui email pentru a avertiza administratorul (dar asta alta data).
Pentru o mai buna protectie e bine sa monitorizam si grupurile Administrators, Enterprise Admins, Schema Admins (chiar si Backup & Server Operators ar fi bine).