Come rilevare chi ha creato un'attività pianificata su Windows Server

Audit Nativo

• Esegui eventvwr.msc → Registri di Windows → Fai clic destro sul registro "Sicurezza" → Proprietà:
  • Assicurati che la casella di controllo "Abilita registrazione" sia selezionata
  • Aumentare la dimensione del log di almeno 1gb.
• Imposta il metodo di conservazione su "Sovrascrivi eventi se necessario".
• Apri Visualizzatore eventi e cerca nel registro Sicurezza l'ID evento 4698 per trovare le ultime attività pianificate create.
• Per creare un avviso immediato dopo ogni creazione di attività pianificate è necessario modificare lo script powershell seguente impostando i propri parametri e salvarlo come detectst.ps1 ad esempio (segui i commenti):

      $Subject = "New Scheduled Task Has Been Created" # Message Subject
$Server = "smtp.server" # SMTP Server
$From = "From@domain.com" # From whom we are sending an e-mail(add anonymous logon permission if needed)
$To = "To@domain.com" # To whom we are sending
$Pwd = ConvertTo-SecureString "enterpassword" -AsPlainText –Force #Sender account password
#(Warning! Use a very restricted account for the sender, because the password stored in the script will be not encrypted)
$Cred = New-Object System.Management.Automation.PSCredential("From@domain.com" , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Setting encoding to UTF8 for message correct display
#Powershell command for filtering the security log about created scheduled task event
$Body=Get-WinEvent -FilterHashtable @{LogName="Security";ID=4698;} | Select TimeCreated, machinename, @{n="Task Creator";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.’#text’}}},@{n="Scheduled Task Name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TaskName"}| %{$_.’#text’}}} | select-object -first 1
#Sending an e-mail.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body "$Body" -Subject $Subject -Credential $Cred -Encoding $encoding,/p>
      

• Esegui "Task Scheduler" → Crea nuova attività pianificata → Inserisci il suo nome → Scheda Trigger → Nuovo trigger → Configura le seguenti opzioni:
  • Inizia il compito in occasione di un evento
  • Registro – Sicurezza
  • Fonte – Blank
  • EventID – 4698.
• Vai alla scheda "Azioni" → Nuova azione con i seguenti parametri:
  • Azione – Avviare un programma
  • Script del programma: powershell
  • Aggiungi argomenti (opzionali): -File "percorso del file al nostro script"
  • Fai clic su "OK".
• Ora riceverete una notifica via e-mail per ogni attività pianificata creata sul vostro server windows che conterrà l'orario di creazione dell'attività pianificata, il nome, il nome del computer su cui è stata creata questa attività e il nome del creatore.

Netwrix Auditor per Windows Server

• Esegui Netwrix Auditor → Vai a “Reports” → “Windows Server” → “Windows Server Changes” → Seleziona il rapporto "Scheduled Task Changes" → Clicca su "View".

Per ricevere regolarmente il rapporto via email, clicca sul pulsante “Iscriviti” e scegli il programma che preferisci.

Per creare un avviso immediato sulla creazione di attività pianificate:

• Dalla pagina iniziale di Netwrix Auditor navigare verso “Alerts” → Cliccare su “Aggiungi” → Specificare il nome dell’allerta.
• Vai a “Destinatari” → Clicca su “Aggiungi Destinatario” → Specifica un indirizzo email per l'allerta.
• Vai a “Filtri” → Regola i seguenti filtri:
  • Filtro = “Cosa”
    Operatore = “Contiene”
    Valore = “Scheduled Tasks”
  • Filter = “Azione”
    Operator = “Uguale”
    Value = “Aggiunto”
• Fai clic su “Aggiungi” per salvare l'allerta.
  
  Ogni volta che qualcuno crea un'attività pianificata, riceverai un'allerta simile: