Netwrix 1Secure oferece visibilidade unificada de dados e identidade — gratuito por 14 dias com acesso completo.Comece um teste gratuito

Centro de recursosGuia prático
Como detectar quem criou uma Tarefa Agendada no Windows Server

Como detectar quem criou uma Tarefa Agendada no Windows Server

Unknown block type "undefined", specify a component for it in the `components.types` option

Auditoria Nativa

  • Execute eventvwr.msc → Logs do Windows → Clique com o botão direito no log "Segurança" → Propriedades:
    • Certifique-se de que a caixa de seleção "Habilitar registro" esteja marcada
    • Aumente o tamanho do log para pelo menos 1gb.
  • Defina o método de retenção para "Sobrescrever eventos conforme necessário".
  • Abra o Visualizador de Eventos e pesquise no log de Segurança pelo ID de evento 4698 para encontrar as tarefas agendadas criadas recentemente.
  • Para criar um alerta instantâneo após a criação de cada tarefa agendada, você precisa editar o seguinte script em powershell definindo seus parâmetros e salvá-lo como detectst.ps1, por exemplo (siga os comentários):
      $Subject = "New Scheduled Task Has Been Created" # Message Subject
$Server = "smtp.server" # SMTP Server
$From = "From@domain.com" # From whom we are sending an e-mail(add anonymous logon permission if needed)
$To = "To@domain.com" # To whom we are sending
$Pwd = ConvertTo-SecureString "enterpassword" -AsPlainText –Force #Sender account password
#(Warning! Use a very restricted account for the sender, because the password stored in the script will be not encrypted)
$Cred = New-Object System.Management.Automation.PSCredential("From@domain.com" , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Setting encoding to UTF8 for message correct display
#Powershell command for filtering the security log about created scheduled task event
$Body=Get-WinEvent -FilterHashtable @{LogName="Security";ID=4698;} | Select TimeCreated, machinename, @{n="Task Creator";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"} |%{$_.’#text’}}},@{n="Scheduled Task Name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TaskName"}| %{$_.’#text’}}} | select-object -first 1
#Sending an e-mail.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body "$Body" -Subject $Subject -Credential $Cred -Encoding $encoding,/p>
      
  • Execute "Task Scheduler" → Crie uma nova tarefa agendada → Insira o nome dela → Aba de gatilhos → Novo gatilho → Configure as seguintes opções:
    • Inicie a tarefa em um evento
    • Log – Segurança
    • Fonte – Blank
    • EventID – 4698.
  • Vá para a aba "Ações" → Nova ação com os seguintes parâmetros:
    • Ação – Iniciar um programa
    • Script do programa: powershell
    • Adicione argumentos (opcional): -File "caminho do arquivo para o nosso script"
    • Clique em "OK".
  • Agora você será notificado sobre cada tarefa agendada criada no seu servidor windows por e-mail, que conterá o horário de criação da tarefa agendada, nome, nome do computador no qual esta tarefa foi criada e o nome do criador.
Image

Netwrix Auditor para Windows Server

  • Execute o Netwrix Auditor → Vá para “Relatórios” → “Windows Server” → “Alterações no Windows Server” → Selecione o relatório "Alterações de Tarefas Agendadas" → Clique em "Visualizar".

Para receber o relatório regularmente por e-mail, clique no botão “Inscrever-se” e escolha o cronograma de sua preferência.

Image

Para criar um alerta instantâneo na criação de tarefas agendadas:

  • Da página inicial do Netwrix Auditor navegue até “Alertas” → Clique em “Adicionar” → Especifique o nome do alerta.
  • Navegue até “Destinatários” → Clique em “Adicionar Destinatário” → Especifique um endereço de email para o alerta.
  • Navegue até “Filtros” → Ajuste os seguintes filtros:
    • Filtro = “O quê”
      Operador = “Contém”
      Valor = “Tarefas Agendadas”
    • Filter = “Action”
      Operator = “Equals”
      Value = “Added”
  • Clique em “Adicionar” para salvar o alerta.

    Sempre que alguém criar uma tarefa agendada, você receberá um alerta semelhante:
Image

Compartilhar em