Comment détecter qui a créé une tâche planifiée sur Windows Server

Audit Natif

• Exécutez eventvwr.msc → Journaux Windows → Cliquez droit sur le journal "Sécurité" → Propriétés :
  • Assurez-vous que la case à cocher "Activer la journalisation" est sélectionnée
  • Augmentez la taille du journal d'au moins 1 Go.
• Définissez la méthode de rétention sur « Écraser les événements si nécessaire ».
• Ouvrez l'Observateur d'événements et recherchez dans le journal de Sécurité l'ID d'événement 4698 pour trouver les tâches planifiées récemment créées.
• Pour créer une alerte instantanée après chaque création de tâches planifiées, vous devez modifier le script powershell suivant en configurant vos paramètres et l'enregistrer sous le nom detectst.ps1 par exemple (suivez les commentaires) :

      $Subject = "New Scheduled Task Has Been Created" # Message Subject
$Server = "smtp.server" # SMTP Server
$From = "From@domain.com" # From whom we are sending an e-mail(add anonymous logon permission if needed)
$To = "To@domain.com" # To whom we are sending
$Pwd = ConvertTo-SecureString "enterpassword" -AsPlainText –Force #Sender account password
#(Warning! Use a very restricted account for the sender, because the password stored in the script will be not encrypted)
$Cred = New-Object System.Management.Automation.PSCredential("From@domain.com" , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Setting encoding to UTF8 for message correct display
#Powershell command for filtering the security log about created scheduled task event
$Body=Get-WinEvent -FilterHashtable @{LogName="Security";ID=4698;} | Select TimeCreated, machinename, @{n="Task Creator";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.’#text’}}},@{n="Scheduled Task Name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TaskName"}| %{$_.’#text’}}} | select-object -first 1
#Sending an e-mail.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body "$Body" -Subject $Subject -Credential $Cred -Encoding $encoding,/p>
      

• Exécutez "Planificateur de tâches" → Créez une nouvelle tâche planifiée → Entrez son nom → Onglet Déclencheurs → Nouveau déclencheur → Configurez les options suivantes :
  • Commencez la tâche lors d'un événement
  • Journal – Sécurité
  • Source – Vide
  • EventID – 4698.
• Allez dans l'onglet "Actions" → Nouvelle action avec les paramètres suivants :
  • Action – Démarrer un programme
  • Script de programme : powershell
  • Ajoutez des arguments (facultatifs) : -File "chemin d'accès à notre script"
  • Cliquez sur « OK ».
• Désormais, vous serez notifié de chaque tâche planifiée créée sur votre serveur windows par e-mail qui contiendra l'heure de création de la tâche planifiée, le nom, le nom de l'ordinateur sur lequel cette tâche a été créée et le nom du créateur.

Netwrix Auditor pour Windows Server

• Exécutez Netwrix Auditor → Allez dans « Rapports » → « Serveur Windows » → « Modifications du Serveur Windows » → Sélectionnez le rapport « Modifications des tâches planifiées » → Cliquez sur « Afficher ».

Pour recevoir le rapport régulièrement par e-mail, cliquez sur le bouton « S'abonner » et choisissez le planning que vous préférez.

Afin de créer une alerte instantanée lors de la création d'une tâche planifiée :

• Depuis la page d'accueil de Netwrix Auditor naviguez vers « Alertes » → Cliquez sur « Ajouter » → Spécifiez le nom de l'alerte.
• Accédez à « Destinataires » → Cliquez sur « Ajouter un destinataire » → Spécifiez une adresse e-mail pour l'alerte.
• Naviguez jusqu’à « Filtres » → Ajustez les filtres suivants :
  • Filtre = “Quoi”
    Opérateur = “Contient”
    Valeur = “Tâches planifiées”
  • Filtre = “Action”
    Opérateur = “Égale”
    Valeur = “Ajouté”
• Cliquez sur « Ajouter » pour enregistrer l'alerte.
  
  Chaque fois que quelqu'un crée une tâche planifiée, vous recevrez une alerte similaire :