Wie man erkennt, wer eine geplante Aufgabe auf Windows Server erstellt hat

Native Prüfung

• Starten Sie eventvwr.msc → Windows-Protokolle → Rechtsklick auf das "Sicherheits"-Protokoll → Eigenschaften:
  • Stellen Sie sicher, dass das Kontrollkästchen „Logging aktivieren“ ausgewählt ist
  • Erhöhen Sie die Protokollgröße auf mindestens 1 GB.
• Legen Sie die Aufbewahrungsmethode auf „Ereignisse bei Bedarf überschreiben“ fest.
• Öffnen Sie die Ereignisanzeige und suchen Sie im Sicherheitsprotokoll nach der Ereignis-ID 4698, um die zuletzt erstellten geplanten Aufgaben zu finden.
• Um sofortige Benachrichtigungen nach jeder Erstellung geplanter Aufgaben zu erstellen, müssen Sie das folgende Powershell-Skript bearbeiten, indem Sie Ihre Parameter einstellen und es beispielsweise als detectst.ps1 speichern (den Kommentaren folgen):

      $Subject = "New Scheduled Task Has Been Created" # Message Subject
$Server = "smtp.server" # SMTP Server
$From = "From@domain.com" # From whom we are sending an e-mail(add anonymous logon permission if needed)
$To = "To@domain.com" # To whom we are sending
$Pwd = ConvertTo-SecureString "enterpassword" -AsPlainText –Force #Sender account password
#(Warning! Use a very restricted account for the sender, because the password stored in the script will be not encrypted)
$Cred = New-Object System.Management.Automation.PSCredential("From@domain.com" , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Setting encoding to UTF8 for message correct display
#Powershell command for filtering the security log about created scheduled task event
$Body=Get-WinEvent -FilterHashtable @{LogName="Security";ID=4698;} | Select TimeCreated, machinename, @{n="Task Creator";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.’#text’}}},@{n="Scheduled Task Name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TaskName"}| %{$_.’#text’}}} | select-object -first 1
#Sending an e-mail.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body "$Body" -Subject $Subject -Credential $Cred -Encoding $encoding,/p>
      

• Starten Sie "Task Scheduler" → Erstellen Sie eine neue geplante Aufgabe → Geben Sie ihren Namen ein → Registerkarte "Auslöser" → Neuer Auslöser → Richten Sie die folgenden Optionen ein:
  • Beginnen Sie die Aufgabe bei einem Ereignis
  • Protokoll – Sicherheit
  • Quelle – Leer
  • Ereignis-ID – 4698.
• Gehen Sie zum Register „Aktionen“ → Neue Aktion mit folgenden Parametern:
  • Aktion – Starten Sie ein Programm
  • Programmskript: powershell
  • Fügen Sie Argumente hinzu (optional): -File "Dateipfad zu unserem Skript"
  • Klicken Sie auf „OK“.
• Nun werden Sie über jede geplante Aufgabe, die auf Ihrem Windows-Server erstellt wurde, per E-Mail benachrichtigt. Diese enthält die Erstellungszeit der geplanten Aufgabe, den Namen, den Computernamen, auf dem diese Aufgabe erstellt wurde, sowie den Namen des Erstellers.

Netwrix Auditor für Windows Server

• Starten Sie Netwrix Auditor → Navigieren Sie zu „Berichte“ → „Windows Server“ → „Änderungen am Windows Server“ → Wählen Sie den Bericht „Geplante Aufgabeneränderungen“ → Klicken Sie auf „Anzeigen“.

Um den Bericht regelmäßig per E-Mail zu erhalten, klicken Sie auf die Schaltfläche „Abonnieren“ und wählen Sie den gewünschten Zeitplan.

Um einen sofortigen Alarm bei der Erstellung geplanter Aufgaben zu erstellen:

• Von der Netwrix Auditor-Startseite navigieren Sie zu „Alerts“ → Klicken Sie auf „Hinzufügen“ → Geben Sie den Namen des Alerts an.
• Navigieren Sie zu „Empfänger“ → Klicken Sie auf „Empfänger hinzufügen“ → Geben Sie eine E-Mail-Adresse für den Alarm an.
• Navigieren Sie zu „Filter“ → Passen Sie die folgenden Filter an:
  • Filter = „Was“
    Operator = „Enthält“
    Wert = „Geplante Aufgaben“
  • Filter = „Aktion“
    Operator = „Gleich“
    Wert = „Hinzugefügt“
• Klicken Sie auf „Hinzufügen“, um den Alarm zu speichern.
  
  Immer wenn jemand eine geplante Aufgabe erstellt, erhalten Sie einen ähnlichen Alarm: