{"id":387015,"date":"2024-11-28T12:53:08","date_gmt":"2024-11-28T12:53:08","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=script_hub&p=387015"},"modified":"2024-11-28T12:53:08","modified_gmt":"2024-11-28T12:53:08","slug":"ueberwachung-von-dateiaenderungen-powershell","status":"publish","type":"script_hub","link":"https:\/\/www.ninjaone.com\/de\/script-hub\/ueberwachung-von-dateiaenderungen-powershell\/","title":{"rendered":"Wie man Dateiver\u00e4nderungen \u00fcberwacht und die Integrit\u00e4t mit PowerShell sicherstellt"},"content":{"rendered":"

In der IT-Welt ist die Wahrung der Integrit\u00e4t und Sicherheit von Dateien von gr\u00f6\u00dfter Bedeutung. IT-Experten und Managed Service Provider (MSPs)<\/a> ben\u00f6tigen zuverl\u00e4ssige Methoden zur \u00dcberwachung von Datei\u00e4nderungen<\/strong>, um unbefugte Modifikationen zu verhindern, die Compliance zu gew\u00e4hrleisten und die Systemstabilit\u00e4t zu erhalten. In diesem Blogbeitrag wird ein leistungsf\u00e4higes PowerShell-Skript<\/a> vorgestellt, mit dem gepr\u00fcft werden kann, ob eine Datei vorhanden ist, ob sie innerhalb eines bestimmten Zeitraums ge\u00e4ndert wurde und ob ihre Integrit\u00e4t mithilfe einer Hash-Pr\u00fcfung \u00fcberpr\u00fcft wurde.<\/p>\n

Kontext<\/h2>\n

IT-Experten und MSPs stehen oft vor der Herausforderung, sicherzustellen, dass Dateien unver\u00e4ndert bleiben, es sei denn, sie werden ausdr\u00fccklich von autorisierten Mitarbeiter:innen ge\u00e4ndert. Unerlaubte \u00c4nderungen k\u00f6nnen zu Sicherheitsverletzungen<\/a>, Datenbesch\u00e4digung und Problemen bei der Compliance f\u00fchren. Um diese Probleme zu bew\u00e4ltigen, ist eine robuste L\u00f6sung zur \u00dcberwachung von Datei\u00e4nderungen und zur Gew\u00e4hrleistung der Dateiintegrit\u00e4t erforderlich. Dieses PowerShell-Skript bietet einen optimierten Ansatz, um diese Anforderungen zu erf\u00fcllen, indem es Warnmeldungen auf der Grundlage bestimmter Bedingungen, wie zum Beispiel Datei\u00e4nderungen oder deren Fehlen, sendet.<\/p>\n

Das Skript zur \u00dcberwachung von Datei\u00e4nderungen<\/h2>\n
<#\r\n.SYNOPSIS\r\n    Checks whether a file is present and if it has been updated within your specified time frame or fails a hash check.\r\n.DESCRIPTION\r\n    Checks whether a file is present and if it has been updated within your specified time frame or fails a hash check.\r\n\r\nPARAMETER: -Alert \"Alert If Change\" or -Alert \"Alert If No Change\"\r\n    Raise an alert if the file has or hasn't been modified based on your other parameters.\r\n\r\nPARAMETER: -Hash \"REPLACEMEC32D73431CED24FF114B2A216671C60117AF5012B40\"\r\n    The hash or checksum to verify that the file hasn't been modified.\r\nPARAMETER: -Algorithm \"SHA256\"\r\n    The hashing algorithm used for your inputted hash.\r\n.EXAMPLE\r\n    -Path \"C:\\TestFile.txt\" -Hash \"REPLACEME04C6F26CC32D73431CED24FF114B2A216671C60117AF5012B40\" -Alert \"Alert If No Change\"\r\n\r\n    C:\\TestFile.txt exists!\r\n    Hash Given: REPLACEME04C6F26CC32D73431CED24FF114B2A216671C60117AF5012B40\r\n    Current Hash: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3EEEF0\r\n    Hash mismatch!\r\n\r\n.EXAMPLE\r\n    -Path \"C:\\TestFile.txt\" -Hash \"35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0\" -Alert \"Alert If No Change\"\r\n\r\n    C:\\TestFile.txt exists!\r\n    Hash Given: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0\r\n    Current Hash: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0\r\n    Hash matches!\r\n    [Alert] File has not been modified!\r\n\r\nPARAMETER: -Days \"REPLACEMEWITHANUMBER\"\r\n    Raise an alert if the file hasn't been modified within the specified number of days. \r\n    Minutes and Hours are added to this time.\r\n\r\nPARAMETER: -Hours \"REPLACEMEWITHANUMBER\"\r\n    Raise an alert if the file hasn't been modified within the specified number of hours. \r\n    Days and Minutes are added to this time.\r\n\r\nPARAMETER: -Minutes \"REPLACEMEWITHANUMBER\"\r\n    Raise an alert if the file hasn't been modified within the specified number of minutes. \r\n    Days and Hours are added to this time.\r\n.EXAMPLE\r\n    -Path \"C:\\TestFile.txt\" -Days 365 -Alert \"Alert If Change\"\r\n\r\n    C:\\TestFile.txt exists!\r\n    Checking if the file was modified in the last 365 day(s) 00 hour(s) 00 minute(s)\r\n    File was last modified on 02\/07\/2024 14:59:56.\r\n    File has been updated within the time period.\r\n    [Alert] File has been modified!\r\n.EXAMPLE\r\n    -Path \"C:\\TestFile.txt\" -Days 30 -Alert \"Alert If Change\"\r\n\r\n    C:\\TestFile.txt exists!\r\n    Checking if the file was modified in the last 30 day(s) 00 hour(s) 00 minute(s)\r\n    File was last modified on 05\/15\/2023 15:13:55.\r\n    File has not been modified within the time period.\r\n\r\n.OUTPUTS\r\n    None\r\n.NOTES\r\n    Minimum OS Architecture Supported: Windows 8+, Server 2012+\r\n    Release Notes:\r\n    Initial Release\r\nBy using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https:\/\/www.ninjaone.com\/terms-of-use.\r\n    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. \r\n    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. \r\n    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. \r\n    Warranty Disclaimer: The script is provided \u201cas is\u201d and \u201cas available\u201d, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. \r\n    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. \r\n    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. \r\n    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).\r\n#>\r\n\r\n[CmdletBinding()]\r\nparam (\r\n    [Parameter()]\r\n    [String]$Alert,\r\n    [Parameter()]\r\n    [String]$Path,\r\n    [Parameter()]\r\n    [String]$Hash,\r\n    [Parameter()]\r\n    [String]$Algorithm = \"SHA256\",\r\n    [Parameter()]\r\n    [int]$Days,\r\n    [Parameter()]\r\n    [int]$Hours,\r\n    [Parameter()]\r\n    [int]$Minutes\r\n)\r\n\r\nbegin {\r\n    # Replace parameters with dynamic script variables\r\n    if ($env:alert -and $env:alert -notlike \"null\") { $Alert = $env:alert }\r\n    if ($env:targetFilePath -and $env:targetFilePath -notlike \"null\") { $Path = $env:targetFilePath }\r\n    if ($env:hash -and $env:hash -notlike \"null\") { $Hash = $env:hash }\r\n    if ($env:algorithm -and $env:algorithm -notlike \"null\") { $Algorithm = $env:algorithm }\r\n    if ($env:daysSinceLastModification -and $env:daysSinceLastModification -notlike \"null\") { $Days = $env:daysSinceLastModification }\r\n    if ($env:hoursSinceLastModification -and $env:hoursSinceLastModification -notlike \"null\") { $Hours = $env:hoursSinceLastModification }\r\n    if ($env:minutesSinceLastModification -and $env:minutesSinceLastModification -notlike \"null\") { $Minutes = $env:minutesSinceLastModification }\r\n\r\n    # Test for local administrator permissions\r\n    function Test-IsElevated {\r\n        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()\r\n        $p = New-Object System.Security.Principal.WindowsPrincipal($id)\r\n        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)\r\n    }\r\n\r\n    if (-not (Test-IsElevated)) {\r\n        Write-Warning -Message \"Some files or folders may require local Administrator permissions to view.\"\r\n    }\r\n\r\n    # Verify the given algorithm is supported by PowerShell\r\n    $AllowedAlgorithms = \"SHA1\", \"SHA256\", \"SHA384\", \"SHA512\", \"MD5\"\r\n    if ($AllowedAlgorithms -notcontains $Algorithm) {\r\n        Write-Host \"[Error] Invalid Algorithm selected ($Algorithm)! Allowed selections are 'SHA1','SHA256','SHA384','SHA512' and 'MD5'.\"\r\n        exit 1\r\n    }\r\n\r\n    # Check for required parameter\r\n    if (-Not ($Path)) {\r\n        Write-Host \"[Error] A filepath is required!\"\r\n        Exit 1\r\n    }\r\n\r\n    switch ($Alert) {\r\n        \"Alert If Change\" { Write-Verbose \"Alerting if file $Path has been modified.\" }\r\n        \"Alert If No Change\" { Write-Verbose \"Alerting if file $Path has not been modified.\" }\r\n        default { Write-Verbose \"No alert was selected.\" }\r\n    }\r\n\r\n    $ExitCode = 0\r\n}\r\nprocess {\r\n\r\n    # File existence check\r\n    if ($Path -and -Not (Test-Path $Path -ErrorAction SilentlyContinue)) {\r\n        Write-Host \"[Alert] $Path does not exist!\"\r\n        Exit 1\r\n    }\r\n    else {\r\n        Write-Host \"$Path exists!\"\r\n    }\r\n\r\n    # Confirm we were given a filepath and not a directory\r\n    $File = Get-Item -Path $Path -ErrorAction SilentlyContinue\r\n    if ($File.PSIsContainer) {\r\n        Write-Host \"[Error] Please provide a file path, not a directory.\"\r\n        Exit 1\r\n    }\r\n\r\n    # If given the files hash verify it matches\r\n    if ($Hash) {\r\n        $CurrentHash = Get-FileHash -Path $File.FullName -Algorithm $Algorithm | Select-Object -ExpandProperty Hash\r\n        Write-Host \"Hash Given: $Hash\"\r\n        Write-Host \"Current Hash: $CurrentHash\"\r\n\r\n        if ($Hash -notlike $CurrentHash) {\r\n            Write-Host \"Hash mismatch!\"\r\n\r\n            if($Alert -eq \"Alert If Change\"){\r\n                Write-Host \"[Alert] File has been modified!\"\r\n                $ExitCode = 1\r\n            }\r\n        }\r\n        else {\r\n            Write-Host \"Hash matches!\"\r\n\r\n            if($Alert -eq \"Alert If No Change\"){\r\n                Write-Host \"[Alert] File has not been modified!\"\r\n                $ExitCode = 1\r\n            }\r\n        }\r\n    }\r\n\r\n    # Get the current date and subtract the days, hours and minutes to compare with the file \r\n    $Cutoff = Get-Date\r\n    $CurrentDate = $Cutoff\r\n\r\n    if ($Days) { $Cutoff = $Cutoff.AddDays(-$Days) }\r\n    if ($Hours) { $Cutoff = $Cutoff.AddHours(-$Hours) }\r\n    if ($Minutes) { $Cutoff = $Cutoff.AddMinutes(-$Minutes) }\r\n\r\n    $TimeSpan = New-TimeSpan $Cutoff $CurrentDate\r\n\r\n    if (($Days -or $Hours -or $Minutes) -and ($Cutoff -ne $CurrentDate)) {\r\n        Write-Host \"Checking if the file was modified in the last $($TimeSpan.ToString(\"dd' day(s) 'hh' hour(s) 'mm' minute(s)'\"))\"\r\n        Write-Host \"File was last modified on $($File.LastWriteTime).\"\r\n\r\n        if ($File.LastWriteTime -ge $Cutoff) {\r\n            Write-Host \"File has been updated within the time period.\"\r\n\r\n            if($Alert -eq \"Alert If Change\"){\r\n                Write-Host \"[Alert] File has been modified!\"\r\n                $ExitCode = 1\r\n            }\r\n        }\r\n        else {\r\n            Write-Host \"File has not been updated within the time period.\"\r\n\r\n            if($Alert -eq \"Alert If No Change\"){\r\n                Write-Host \"[Alert] File has not been modified!\"\r\n                $ExitCode = 1\r\n            }\r\n        }\r\n    }\r\n\r\n    Exit $ExitCode\r\n}\r\nend {<\/pre>\n
 <\/p>\n\n
Greifen Sie auf \u00fcber 300 Skripte im NinjaOne Dojo zu.<\/p>\n
Zugang erhalten<\/a><\/p>\n<\/div>\n
Detailansicht<\/h2>\n
Dieses PowerShell-Skript \u00fcberpr\u00fcft die Existenz einer Datei, stellt fest, ob sie innerhalb eines bestimmten Zeitraums ge\u00e4ndert wurde, und f\u00fchrt eine Hash-Pr\u00fcfung durch, um die Dateiintegrit\u00e4t sicherzustellen. Schauen wir uns das Skript Schritt f\u00fcr Schritt an:<\/p>\n
    \n
  1. Definition der Parameter<\/strong>: Das Skript beginnt mit der Definition von Parametern wie Alert, Path, Hash, Algorithm, Days, Hours und Minutes. Mit diesen Parametern k\u00f6nnen Benutzer:innen die zu \u00fcberwachende Datei, den erwarteten Hash-Wert, den Hash-Algorithmus und den Zeitrahmen f\u00fcr die \u00c4nderungspr\u00fcfungen angeben.<\/li>\n
  2. Ersetzen von Umgebungsvariablen<\/strong>: Das Skript ersetzt die Parameter dynamisch durch Umgebungsvariablen, wenn diese gesetzt sind. Diese Flexibilit\u00e4t erm\u00f6glicht eine einfache Integration in automatisierte Systeme und Skripte.<\/li>\n
  3. \u00dcberpr\u00fcfung der Administratorberechtigungen<\/strong>: Mit der Funktion ‚Test-IsElevated‘ wird \u00fcberpr\u00fcft, ob das Skript mit Administratorrechten ausgef\u00fchrt wird, um sicherzustellen, dass es \u00fcber die erforderlichen Berechtigungen f\u00fcr den Zugriff auf die angegebenen Dateien und deren \u00dcberwachung verf\u00fcgt.<\/li>\n
  4. Validierung des Algorithmus<\/strong>: Das Skript pr\u00fcft, ob der angegebene Hashing-Algorithmus unterst\u00fctzt wird. Erlaubte Algorithmen sind SHA1, SHA256, SHA384, SHA512 und MD5.<\/li>\n
  5. Pr\u00fcfung auf Vorhandensein und Typ der Datei<\/strong>: Das Skript pr\u00fcft, ob der angegebene Pfad existiert und best\u00e4tigt, dass es sich um eine Datei und nicht um ein Verzeichnis handelt.<\/li>\n
  6. Hash-Verifizierung<\/strong>: Wenn ein Hash-Wert angegeben wird, berechnet das Skript den aktuellen Hash-Wert der Datei mit dem angegebenen Algorithmus und vergleicht ihn mit dem angegebenen Hash-Wert. Es gibt dann eine Warnmeldung aus, wenn eine Nicht\u00fcbereinstimmung vorliegt oder die Datei nicht ge\u00e4ndert wurde, je nach dem Parameter ‚Alert‘.<\/li>\n
  7. Pr\u00fcfung der \u00c4nderungszeit<\/strong>: Das Skript berechnet die Abschlusszeit auf der Grundlage der angegebenen ‚Days‘, ‚Hours‘ und ‚Minutes‘. Es vergleicht dann die letzte \u00c4nderungszeit der Datei mit der Abschlusszeit und gibt eine Warnmeldung aus, wenn die Datei innerhalb des angegebenen Zeitrahmens ge\u00e4ndert wurde oder nicht.<\/li>\n<\/ol>\n
    Potenzielle Anwendungsf\u00e4lle<\/h2>\n
    Stellen Sie sich einen IT-Experten vor, der f\u00fcr die Aufrechterhaltung der Sicherheit<\/a> und Integrit\u00e4t sensibler Konfigurationsdateien auf einem Server verantwortlich ist. Mit diesem Skript k\u00f6nnen sie eine t\u00e4gliche Pr\u00fcfung einrichten, um festzustellen, ob kritische Dateien ge\u00e4ndert wurden. Sie k\u00f6nnten das Skript beispielsweise zur \u00dcberwachung einer Konfigurationsdatei verwenden, um zu gew\u00e4hrleisten, dass diese nicht unerwartet ge\u00e4ndert wurde. Wenn das Skript eine Ver\u00e4nderung feststellt, l\u00f6st es eine Benachrichtigung aus, sodass der IT-Experte diese untersuchen und entsprechende Ma\u00dfnahmen ergreifen kann.<\/p>\n
    Vergleiche<\/h2>\n
    Im Vergleich zu anderen Methoden zur \u00dcberwachung von Datei\u00e4nderungen, wie zum Beispiel zur Verwendung von Software von Drittanbietern oder manuellen Pr\u00fcfungen, bietet dieses PowerShell-Skript mehrere Vorteile:<\/p>\n