Централизованный аудит событий SRP в домене

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Автоматические уведомления позволяют решить следующие задачи:

• вовремя реагировать и подправлять политику, если нужные программы были заблокированы и перестали работать при внедрении Application Whitelisting в пределах домена;
• отслеживать попытки запуска пользователем нежелательных программ;
• своевременно отслеживать блокировки попыток запуска троянских программ из Интернета, съёмных дисков и других источников.

—

Для Windows Vista и выше вопрос решается созданием задачи в Task Scheduler (Планировщике задач) со следующими параметрами:

• User Account: SYSTEM, Do not store password;
• Run whether user is logged on or not; Run with highest privileges;
• Trigger: On an Event, Log: Application, Event ID: 865;
• Action1: Start a program, CMD /c wevtutil.exe qe Application «/q:*[System [(EventID=865)]]» /f:text /rd:true /c:1 > C:\Windows\EventDetails.txt
• Action2: Start a program, BLAT C:\Windows\EventDetails.txt -f eventlog@MyCompany.com -to support@MyCompany.com -subject «EventLog Monitor — SRP Events» -server Mail.MyCompany.com

Команды BLAT в Windows нет, это отдельная программа (просто exe-файл), источник: http://www.blat.net/. Можно воспользоваться и встроенным типом действия Send an e-mail, однако тогда придётся текст аудированного события прикладывать отдельным файлом. Я предпочитаю видеть все детали сразу в теле письма.

Разумеется, создавать задачу в Task Scheduler каждого отдельного компьютера не нужно. Воспользуйтесь Group Policy Preferences, они запросто внесут задачу в Планировщики, а также раскидают BLAT.EXE сразу на все машины домена. При появлении в журнале Application события с номером 865 срабатывает триггер, затем детали актуального события экспортируются в текстовый файл и высылаются на почту.

—

В Windows XP/2003 ловушка события создаётся чуть иначе. Вместо Task Scheduler придётся воспользоваться командой EVENTTRIGGERS:

EVENTTRIGGERS /Create /TR «EventLog Monitor — SRP Events» /RU «SYSTEM» /L Application /EID 865 /TK «C:\Windows\EventLogMonitor.bat Event865»

Далее программируем реакцию на событие в файле EventLogMonitor.bat:

CSCRIPT C:\Windows\System32\eventquery.vbs -l Application -fi «ID eq 865» -R 1 -v > C:\Windows\EventDetails.txt
BLAT C:\Windows\EventDetails.txt -f eventlog@MyCompany.com -to support@MyCompany.com -subject «EventLog Monitor — SRP Events» -server Mail.MyCompany.com

Команда CSCRIPT и VBS-файл являются встроенными в XP/2003.

Надеюсь, оформить команду EVENTTRIGGERS в качестве Startup Script (сценария загрузки) для компьютеров всего домена сможете самостоятельно. Максимум, вам потребуется создать отдельный WMI-фильтр для выборки политикой только компьютеров с нужной операционной системой:

Select * from Win32_OperatingSystem where Caption = «Microsoft Windows XP Professional»

—

Немного подумав, вы сможете в данное наколенное решение добавить уведомления и по некоторым другим важным событиям — например, Account Lockout (XP: EventID=644, Log:Security) (Vista: EventID=4740, Log:Security).