PowerShellの監査設定 のバックアップ(No.1)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• PowerShellの監査設定 へ行く。
  • 1 (2019-11-28 (木) 13:33:17)

---

・PowerShellの悪用

PowerShellスクリプトのログ設定 †

• PowerShellのログを有効にします。
  [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[モジュールログを有効にする] を [有効] に設定し、[オプション]>[モジュール名]>[表示] をクリックします。
  [モジュール名] の入力画面で、[値] に [Microsoft.PowerShell.*] [Microsoft.WSMan.Management] の2行を入力し、[OK] をクリックします。

PowerShellスクリプトのログのサブスクリプション設定 †

• 各端末のPowerShellスクリプトのログをログ管理サーバーに送信させ、収集管理します。 Windows Server 2016およびWindows Server 2012 R2でEventLog転送を構成するためのベストプラクティス: https://support.microsoft.com/en-us/help/4494356/best-practice-eventlog-forwarding-performance

1. エンドポイントの設定

• [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[システム サービス]>[Windows Remote Mangement(WS-Management)] の [スタートアップ] を [自動] に設定する。

2. サブスクリプションマネージャの構成

• [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[イベント転送]>[ターゲット サブスクリプション マネージャを構成する] を [有効] に設定します。[オプション] の [サブスクリプションマネージャ] の [表示] をクリックし、以下の値を設定します。

  "Server=http://<FQDN of your upstream Windows Event Collector Server>:5985/wsman/SubscriptionManager/WEC"

3. イベントコレクターの構成

• イベントコレクターサーバーで以下のコマンドを管理者権限で実行します。

  Winrm Quickconfig

  これにより、ソースコンピュータからのWS-Management 要求を受け入れます。

(以下、作成中）