about_Logging_Windows
Krótki opis
Program PowerShell rejestruje operacje wewnętrzne z aparatu, dostawców i poleceń cmdlet do dziennika zdarzeń systemu Windows.
Długi opis
Program PowerShell rejestruje szczegółowe informacje o operacjach programu PowerShell, takich jak uruchamianie i zatrzymywanie aparatu i dostawców oraz wykonywanie poleceń programu PowerShell.
Aby uzyskać informacje na temat rejestrowania w programie Windows PowerShell 5.1, zobacz about_Logging.
Program PowerShell obsługuje konfigurowanie dwóch kategorii rejestrowania:
Rejestrowanie modułów — rejestruje zdarzenia wykonywania potoku dla elementów członkowskich określonych modułów. Rejestrowanie modułów musi być włączone zarówno dla sesji, jak i określonych modułów. Aby uzyskać więcej informacji na temat konfigurowania tego rejestrowania, zobacz about_PowerShell_Config.
Jeśli rejestrowanie modułów jest włączone za pośrednictwem konfiguracji, możesz włączyć i wyłączyć rejestrowanie dla określonych modułów w sesji, ustawiając wartość właściwości LogPipelineExecutionDetails modułu.
Aby na przykład włączyć rejestrowanie modułu dla modułu PSReadLine :
$psrl = Get-Module PSReadLine $psrl.LogPipelineExecutionDetails = $true Get-Module PSReadline | Select-Object Name, LogPipelineExecutionDetailsName LogPipelineExecutionDetails ---- --------------------------- PSReadLine TrueRejestrowanie bloków skryptów — rejestruj przetwarzanie poleceń, bloków skryptów, funkcji i skryptów niezależnie od tego, czy wywoływane interaktywnie, czy za pośrednictwem automatyzacji.
Po włączeniu rejestrowania bloków skryptów program PowerShell rejestruje zawartość wszystkich bloków skryptu, które przetwarza. Po włączeniu tej informacji wszystkie nowe sesje programu PowerShell rejestrują te informacje. Aby uzyskać więcej informacji, zobacz Włączanie rejestrowania bloków skryptów.
Rejestrowanie dostawcy zdarzeń programu PowerShell w systemie Windows
W przeciwieństwie do systemu Linux lub macOS system Windows wymaga zarejestrowania dostawcy zdarzeń przed zapisaniem zdarzeń w dzienniku zdarzeń. Aby włączyć dostawcę zdarzeń programu PowerShell, uruchom następujące polecenie w wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień.
$PSHOME\RegisterManifest.ps1
Wyświetlanie wpisów dziennika zdarzeń programu PowerShell w systemie Windows
Dzienniki programu PowerShell można wyświetlić przy użyciu Podgląd zdarzeń systemu Windows. Dziennik zdarzeń znajduje się w grupie Dzienniki aplikacji i usług i nosi nazwę PowerShellCore. Skojarzony identyfikator GUID dostawcy ETW to {f90714a8-5509-434a-bf6d-b1624c8a19a2}.
Po włączeniu rejestrowania bloków skryptów program PowerShell rejestruje następujące zdarzenia w dzienniku programu PowerShellCore/Operational :
| Pole | Wartość |
|---|---|
| EventId | 4104 / 0x1008 |
| Kanał | Operational |
| Poziom | Verbose |
| Opcode | Create |
| Zadanie | CommandStart |
| Słowo kluczowe | Runspace |
Wyrejestrowywanie dostawcy zdarzeń programu PowerShell w systemie Windows
Zarejestrowanie dostawcy zdarzeń powoduje umieszczenie blokady w bibliotece binarnej używanej do dekodowania zdarzeń. Aby zaktualizować tę bibliotekę, dostawca musi być wyrejestrowany, aby zwolnić tę blokadę.
Aby wyrejestrować dostawcę programu PowerShell, uruchom następujące polecenie w wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień.
$PSHOME\RegisterManifest.ps1 -Unregister
Po zaktualizowaniu programu PowerShell uruchom polecenie $PSHOME\RegisterManifest.ps1 , aby zarejestrować zaktualizowanego dostawcę zdarzeń.
Włączanie rejestrowania bloków skryptów
Po włączeniu rejestrowania bloków skryptów program PowerShell rejestruje zawartość wszystkich bloków skryptu, które przetwarza. Po włączeniu tej informacji wszystkie nowe sesje programu PowerShell rejestrują te informacje.
Uwaga
Zaleca się włączenie rejestrowania zdarzeń chronionych, jak opisano poniżej, w przypadku korzystania z rejestrowania bloków skryptów w celach innych niż diagnostyka.
Rejestrowanie bloków skryptów można włączyć za pomocą zasad grupy lub ustawienia rejestru.
Za pomocą zasad grupy
Aby włączyć automatyczną transkrypcję, włącz funkcję Włącz rejestrowanie bloków skryptów programu PowerShell w zasadach grupy za pomocą szablonów administracyjnych ->PowerShell Core.
Korzystanie z rejestru
Uruchom następującą funkcję:
function Enable-PSScriptBlockLogging {
$basePath = @(
'HKLM:\Software\Policies\Microsoft'
'PowerShellCore\ScriptBlockLogging'
) -join '\'
if (-not (Test-Path $basePath)) {
$null = New-Item $basePath -Force
}
Set-ItemProperty $basePath -Name EnableScriptBlockLogging -Value "1"
}
Korzystanie z pliku konfiguracji programu PowerShell
Możesz ustawić ScriptBlockLogging opcję w powershell.config.json pliku, który steruje zachowaniem programu PowerShell. Aby uzyskać więcej informacji, zobacz about_PowerSHell_Config.
Rejestrowanie zdarzeń chronionych
Zwiększenie poziomu rejestrowania w systemie zwiększa możliwość, że zarejestrowana zawartość może zawierać poufne dane. Na przykład w przypadku włączenia rejestrowania skryptów poświadczenia lub inne poufne dane używane przez skrypt mogą być zapisywane w dzienniku zdarzeń. Po naruszeniu zabezpieczeń maszyny, która zarejestrowała poufne dane, dzienniki mogą dostarczyć osobie atakującej informacje potrzebne do rozszerzenia ich zasięgu.
Aby chronić te informacje, system Windows 10 wprowadza funkcję rejestrowania zdarzeń chronionych. Funkcja rejestrowania zdarzeń chronionych umożliwia uczestniczącym aplikacjom szyfrowanie poufnych danych zapisanych w dzienniku zdarzeń. Później można odszyfrować i przetworzyć te dzienniki w bardziej bezpiecznym i scentralizowanym module zbierającym dzienniki.
Zawartość dziennika zdarzeń jest chroniona przy użyciu standardu IETF Kryptograficzna składnia komunikatów (CMS). Usługa CMS używa kryptografii klucza publicznego. Klucze używane do szyfrowania zawartości i odszyfrowywania zawartości są przechowywane oddzielnie.
Klucz publiczny może być szeroko udostępniany i nie jest poufnymi danymi. Każda zawartość zaszyfrowana przy użyciu tego klucza publicznego może zostać odszyfrowana tylko przez klucz prywatny. Aby uzyskać więcej informacji na temat kryptografii klucza publicznego, zobacz Wikipedia — kryptografia klucza publicznego.
Aby włączyć zasady rejestrowania zdarzeń chronionych, wdróż klucz publiczny na wszystkich maszynach, które mają dane dziennika zdarzeń w celu ochrony. Odpowiedni klucz prywatny jest używany do przetwarzania dzienników zdarzeń w bezpieczniejszej lokalizacji, takiej jak centralny moduł zbierający dzienniki zdarzeń lub agregator SIEM . Rozwiązania SIEM można skonfigurować na platformie Azure. Aby uzyskać więcej informacji, zobacz Ogólna integracja rozwiązania SIEM.
Włączanie rejestrowania zdarzeń chronionych za pomocą zasad grupy
Aby włączyć rejestrowanie zdarzeń chronionych, włącz Enable Protected Event Logging funkcję w zasadach grupy za pomocą polecenia Administrative Templates -> Windows Components -> Event Logging. To ustawienie wymaga certyfikatu szyfrowania, który można podać w jednej z kilku formularzy:
- Zawartość certyfikatu X.509 zakodowanego w formacie base-64 (na przykład oferowana
Exportprzez opcję w Menedżerze certyfikatów). - Odcisk palca certyfikatu, który można znaleźć w magazynie certyfikatów komputera lokalnego (można go wdrożyć za pomocą infrastruktury infrastruktury PKI).
- Pełna ścieżka do certyfikatu (może być lokalna lub udział zdalny).
- Ścieżka do katalogu zawierającego certyfikat lub certyfikaty (może być udziałem lokalnym lub zdalnym).
- Nazwa podmiotu certyfikatu, który można znaleźć w magazynie certyfikatów komputera lokalnego (można wdrożyć za pomocą infrastruktury infrastruktury PKI).
Wynikowy certyfikat musi mieć Document Encryption rozszerzone użycie klucza (1.3.6.1.4.1.311.80.1) i Data Encipherment włączone użycie klucza lub Key Encipherment klucza.
Ostrzeżenie
Klucz prywatny nie powinien być wdrażany na maszynach rejestrującego zdarzenia. Powinny być przechowywane w bezpiecznej lokalizacji, w której odszyfrowywać komunikaty.
Odszyfrowywanie chronionych komunikatów rejestrowania zdarzeń
Poniższy skrypt pobiera i odszyfrowuje zdarzenia, przy założeniu, że masz klucz prywatny:
Get-WinEvent Microsoft-Windows-PowerShell/Operational |
Where-Object Id -eq 4104 |
Unprotect-CmsMessage
