Windows Powershell-Aufzeichnung per GPO einrichten

image_pdfimage_print

Enable Powershell Auditing

Zur Überwachung der Powershell-Nutzung können wir das Auditing (Transkription) mit Hilfe einer Gruppenrichtlinie aktivieren.

Alle Anwendungen die das Powershell-Modul einsetzen, wie z.B. Windows Powershell, Windows Powershell ISE oder Drittanwendungen werden auditiert.

Dazu erstellen wir ein neues GPO und navigieren zu

Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows-Komponenten \ Windows PowerShell

Geben den Ausgabepfad an und aktivieren den Header um auch die Zeitstempel zu erfassen.

Windows Powershell Auditing aktivieren

Öffnen die Powershell und aktivieren und deaktivieren das SMRemoting.

Enable Powershell Transcription

Innerhalb der Freigabe wird ein Ordner mit aktuellen Datum erzeugt und die Logs abgelegt.

Powershell Audit Log

Öffnen das Log und alle unsere Aktionen wurden protokolliert.

Powershell Aufzeichnung

Server Manager Remoting – SMRemoting