, ,

Como detectar quem instalou software no seu servidor Windows

Como detectar quem instalou o software no seu servidor Windows?

Como muitos outros profissionais de IT em alguma situação instala-se um software ou outro num servidor sem uma apropriada analise de riscos, ou porque vai dar um jeito para uma tarefa especifica. Não importando o motivo o objectivo deste artigo é mostrar uma (de muitas) forma para detectar quando é instalado e qual o utilizador.

  1. Corra eventvwr.msc → Logs do Windows → Clique com o botão direito do mouse em log “Aplicativo” → Propriedades:
    • Verifique se a caixa de seleção “Ativar log/Enable Logging” está seleccionada
    • Aumentar o tamanho do log para pelo menos 1gb
    • Defina o método de retenção como “Substituir eventos conforme necessário”/Overwrite events as needed ou “Arquivar o registro quando cheio”/Archive the log when full”.
  2. Abra Event Viewer e procure o log de aplicativo para o Event ID 11707 com Event Source MsiInstaller para localizar o software instalado mais recente.
  3. Agora para receber um alerta instantâneo accionado após qualquer instalação de software, vamos usar o seguinte script powershell, configurando seus parâmetros e salvando-o em qualquer lugar como arquivo .ps1 (por exemplo, c:\Scritps\Get_software_log.ps1):
#Mail SMTP Setup Section
$SMTPSettings = @{
To = "[email protected]"
From = "[email protected]"
Subject = "New Software Has Been Installed on $env:COMPUTERNAME"
SmtpServer = "smtp.server"
Encoding = ([System.Text.Encoding]::UTF8)
}
#CSS Style for HTML purposes
$HTMLhead = "<style>
body{font-family: Arial; font-size: 11pt;}
H1{font-size: 16pt;}
H2{font-size: 14pt;}
H3{font-size: 12pt;}
TABLE{border: 0px solid black; border-collapse: collapse; font-size: 8pt;}
TH{border: 0.1px solid black; background: #000000; padding: 5px; color: #FFFFFF;}
TD{border: 0.1px solid black; padding: 5px;}
tr:nth-child(odd) { background-color:#d3d3d3;}
tr:nth-child(even) { background-color:white;}
</style>"
$Computer = $env:COMPUTERNAME
#Generates email body containing time created and message of application install.
$Body = Get-EventLog -ComputerName $Computer -LogName "Application" -InstanceId 11707 -Source MsiInstaller | Select MachineName,Message,TimeGenerated,UserName| ConvertTo-Html -Head $HTMLhead | Out-String
#Sending an e-mail.
Send-MailMessage @SMTPSettings -Body $Body -BodyAsHtml
  1. Executar o Task Scheduler → Criar nova schedule task → Dar um nome → Triggers tab → Novo Trigger → Configurar as seguintes opções:
    •  Iniciar a tarefa em um evento
    • Log – Aplicação
    • Fonte – Em branco
    • EventID – 11707.
  2. Vá para o separador Actions → New action com os seguintes parâmetros:
    • Acção – Iniciar um programa
    • Script do programa: powershell
    • Adicionar argumentos (opcional): -File “especificar o caminho do arquivo para o nosso script”
    • Clique em “OK”
  3. Agora será notificado sobre cada instalação de software no seu servidor Windows via mensagem de e-mail que conterá detalhes sobre o tempo de instalação do software, nome do software e ID do utilizador que instalou (SID).

Porém esta é somente uma parte do trabalho.

Detectar violações da política de instalação de software corporativo
A instalação acidental ou intencional de software não autorizado no Windows Server pode permitir que algum tipo ou forma de malware entre na sua rede, o que pode levar a problemas de desempenho e a perda de dados confidenciais.

As ameaças podem vir de dentro da organização, bem como de hackers no exterior: Funcionários podem inconscientemente baixar e instalar programas maliciosos, violando assim a sua política de instalação de software. É por isso que é fundamental estar ciente de que software foi instalado, quem fez e quando aconteceu.

Para reduzir os riscos de brechas e tempo de inactividade, os profissionais de TI precisam ser capazes de detectar quando um novo software é instalado e determinar rapidamente todos os detalhes (o que/onde/quando).

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Deixe um comentário