none
POWERSHELL : Auditer l'utilisation de Powershell RRS feed

  • Question

  • Bonjour,

    Je souhaite, dans le cadre d'un domaine d'entreprise, auditer l'utilisation de powershell. Je voudrais que, dès qu'un utilisateur utilise Powershell, qu'un EventLog Windows soit créé et que chaque commande passée dans PowerShell soit également "loggée".

    Je ne trouve pas de solution, que ce soit dans la stratégie de domaine ou dans les options PowerShell.

    En vous remerciant,

    Max

    jeudi 16 avril 2015 08:01

Toutes les réponses

  • Bonjour,

    Je souhaite, dans le cadre d'un domaine d'entreprise, auditer l'utilisation de powershell. Je voudrais que, dès qu'un utilisateur utilise Powershell, qu'un EventLog Windows soit créé et que chaque commande passée dans PowerShell soit également "loggée".

    Je ne trouve pas de solution, que ce soit dans la stratégie de domaine ou dans les options PowerShell.

    En vous remerciant,

    Max

    Bonjour Maxime,

    Il y a des solutions en PowerShell 5.0 :

    Windows PowerShell transcription has been improved to apply to all hosting applications (such as Windows PowerShell ISE) in addition to the console host (powershell.exe). Transcription options (including enabling a system-wide transcript) can be configured by enabling the Turn on PowerShell Transcription Group Policy setting, found in Administrative Templates/Windows Components/Windows PowerShell.

    A new detailed script tracing feature lets you enable detailed tracking and analysis of Windows PowerShell scripting use on a system. After you enable detailed script tracing, Windows PowerShell logs all script blocks to the Event Tracing for Windows (ETW) event log, Microsoft-Windows-PowerShell/Operational.

    Il me semble qu'il y a aussi ce genre de solution depuis PowerShell 3, mais je n'arrive pas à retrouver le lien qui va bien.


    Blog
    Scripts

    jeudi 16 avril 2015 10:44
  • Ok merci!

    Sachant que nous sommes en 2.0, et que je pense que la mise à jour de powershell ne soit pas la priorité...

    Donc pas possible en version inférieure à 5.0?

    Je garde l'info sous le coude, mais j'aimerais le faire en 2.0 si possible.

    jeudi 16 avril 2015 12:28
  • Salut,

    regarde du coté de:

    Start-Transcript

    Si cela peut te convenir.


    mercredi 20 mai 2015 14:28
  • Bonjour Maxime,

    Je te recommande ce document qui traite les sujets securité autour de powershell v2 et v3 (Page 12-13) tu as une comparaison des possibilités de "logging" offertes entre la v2.0 et v3.0:

    https://www.fireeye.com/content/dam/legacy/resources/pdfs/fireeye-lazanciyan-investigating-powershell-attacks.pdf

    Essaye au moins de passer en V3 voir V5 sur tes postes d'admins.


    Kévin KISOKA - MCITP Entreprise Messaging Administrator, MCTS Hyper-V Server Virtualization I do not represent the organisation I work for, all the opinions expressed here, are my own. This posting is provided AS IS with no warranties or guarantees and confers no rights.

    vendredi 22 mai 2015 10:04