Cond3nz Nov 21 2024 at 08:15

Уведомление в telegram при блокировке пользователя AD или локального пользователя

Easy

5 min

2.3K

PowerShell*System administration*

From sandbox

Comments 9

lioncub Nov 21 2024 at 09:11

Следующий этап: собираем логи в loki, смотрим в grafana и настраиваем alertmanager.

zKeeper Nov 21 2024 at 17:23

Вероятно, стоит разрешить выполнять не подписанные скрипты: Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Bypass –Force

Cond3nz Nov 22 2024 at 10:47

Спасибо, поправил запуск скрипта, как разрешать запуск всех скриптов пожалуй не буду писать, так можно дырку в безопасности прорубить.

bazanovv Nov 22 2024 at 17:30

Как вариант, если компьютеры доверяют друг другу (домен), можно настроить отправку всех, или только нужных событий по фильтру на сервер-сборщик в отдельный лог, называется это Windows Event Forwarding. И уже на нём запускать скрипт, отправляющий уведомления. Минус - единая точка отказа, плюс - удобство и доступ в интернет нужен только на этом коллекторе.

Cond3nz Nov 22 2024 at 17:38

Да тоже хороший вариант, в нашем случае доступ в интернет на контроллерах присутствует и очень важно наличие многих точек отказа. Возможно позже дополню статью.

321785 Nov 25 2024 at 08:15

Далее нам нужно поместить данный скрипт в удобное для исполнения место.
Можно руками закинуть его на машины по нестандартному пути, или распространить файл при помощи групповой политики в разделе
Конфигурация компьютера\Настройка\Конфигурация Windows\Файлы
или
Computer Configuration\Preferences\Windows Settings\Files
Или расположить файл в какой нибудь сетевой папке, правда в таком случае нужно хорошенько подумать о правах доступа, ведь в случае подмены скрипта может произойти что угодно. Потому в случае с контроллерами домена рационально закинуть файл руками.

Можно объяснить?! Мб я несведущ. Почему достаточно большая масса ИТ спецов упорно раскладывает свои средства автоматизации куда угодно, но только не в защищённые системные каталоги типа %ProgramFiles%, %SystemRoot%? Зачем эти телодвижения? Заходишь потом на такую инфраструктуру и пытаешься понять, где и зачем так сделано?

Cond3nz Nov 25 2024 at 08:35

В моем случае на контроллерах я все положил как раз в PF, но когда распространял на серверы домена удобнее расположить файл в сетевой папке, в таком случае при модификации скрипта нужно поправить всего один файл и нет необходимости ждать обновления политик. Найти скрипт не так сложно, в конце концов путь написан в планировщике. К тому же некоторые безопасники могут сказать чем запутаннее тем лучше. Есть конечно над чем подумать.

321785 Nov 25 2024 at 08:31

Я бы чувствительную инфу по боту вынес в отдельный файл.

Вы не рассматривали вариант запуска с пониженными правами? Например от NETWORK SERVICE?

НЕ ИСПОЛЬЗОВАТЬ ПСЕВДОНИМЫ в СКРИПТАХ!!!11 Потому как ваш коллега запустит с ключом -NoProfile и может поиметь много вопросов.

Вы НЕ указали в условиях запуска задания "Запускать только при подключении к следующей сети:" - бот не будет терять сообщения до подключения к сети?

Cond3nz Nov 25 2024 at 08:52

Поправлю как найду время, спасибо за подсказки.