Cómo ver el historial de conexiones de los usuarios con PowerShell

Los scripts PowerShell desempeñan un papel inestimable en las operaciones y la seguridad de TI, ya que automatizan tareas y extraen información vital para su análisis. Hoy profundizaremos en un script que permite ver el historial de conexiones de los usuarios, una función importante para auditar y supervisar el acceso al sistema.

Antecedentes

Los registros de acceso son una mina de oro para los profesionales de TI. Ayudan a supervisar el uso del sistema, detectar accesos no autorizados y mantener la responsabilidad. El script que estamos analizando recupera los eventos de inicio y fin de sesión del usuario, un conjunto de datos esencial para cualquier estrategia de seguridad informática sólida. Al excluir las cuentas del sistema y centrarse únicamente en los usuarios auténticos, presenta un historial limpio y conciso del acceso de los usuarios, lo que simplifica y hace más eficiente la vida de los profesionales de TI y los proveedores de servicios gestionados (MSP).

El script para ver el historial de conexiones de los usuarios


#Requires -Version 5.1

<#
.SYNOPSIS
    This will return user session start and stop events.
.DESCRIPTION
    This will return user session start and stop events. Excluding system accounts.
.EXAMPLE
    No params needed
    Returns all login events for all users.
.EXAMPLE
     -UserName "Fred"
    Returns all user login events of the user Fred.
.EXAMPLE
     -Days 7
    Returns the last 7 days of login events for all users.
.EXAMPLE
     -Days 7 -UserName "Fred"
    Returns the last 7 days of login events for the user Fred.
.EXAMPLE
    PS C:> Get-User-Login-History.ps1 -Days 7 -UserName "Fred"
    Returns the last 7 days of login events for the user Fred.
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
.OUTPUTS
    Time                  Event        User  ID
    ----                  -----        ----  --
    10/7/2021 3:51:48 PM  SessionStop  User1 4634
    10/7/2021 3:51:48 PM  SessionStart User1 4624
.COMPONENT
    ManageUsers
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Specify one user
    [Parameter(Mandatory = $false)]
    [String]
    $UserName,
    # How far back in days you want to search, this is in 24 hour increments from the time it executes
    [Parameter(Mandatory = $false)]
    [int]
    $Days
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }

    # System accounts that we don't want
    $SystemUsers = @(
        "SYSTEM"
        "NETWORK SERVICE"
        "LOCAL SERVICE"
    )
    # Filter for only getting session start and stop events from Security event log
    $FilterHashtable = @{
        LogName = "Security";
        id      = 4634, 4624
    }
    # If Days was specified then add this parameter
    if ($Days) {
        $FilterHashtable.Add("EndTime", (Get-Date).AddDays(-$Days))
    }
    # Creating a hash table for parameter splatting
    $Splat = @{
        FilterHashtable = $FilterHashtable
    }
}

process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    # Get windows events, filter out everything but logins and logouts(Session starts and ends)
    Get-WinEvent @Splat | ForEach-Object {
        # UserName in the two event types are in different places in the Properties array
        if ($_.Id -eq 4634) {
            # Events with ID 4634 the user name is the second item in the array. Arrays start at 0 in PowerShell.
            $User = $_.Properties[1].Value
        }
        else {
            # Events with ID 4634 the user name is the sixth item in the array. Arrays start at 0 in PowerShell.
            $User = $_.Properties[5].Value
        }

        # Filter out system accounts and computer logins(Active Directory related)
        # DWM-0  = Desktop Window Manager
        # UMFD-0 = User Mode Framework Driver
        if ($SystemUsers -notcontains $User -and $User -notlike "DWM-*" -and $User -notlike "UMFD-*" -and $User -notlike "*$") {
            # If the UserName parameter was specified then only return that user's events
            if ($UserName -and $UserName -like $User) {
                # Write out to StandardOutput
                [PSCustomObject]@{
                    Time  = $_.TimeCreated
                    Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
                    User  = $User
                    ID    = $_.ID
                }
            } # If the UserName parameter was not specified return all users events
            elseif (-not $UserName) {
                # Write out to StandardOutput
                [PSCustomObject]@{
                    Time  = $_.TimeCreated
                    Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
                    User  = $User
                    ID    = $_.ID
                }
            }
        }
        # Null $User just in case the next loop iteration doesn't set it, we can then see that the user name is missing
        $User = $null
    }
}

end {}

 

Accede a más de 300 scripts en el Dojo de NinjaOne

Obtén acceso

Análisis detallado del script para ver el historial de conexiones de los usuarios

  • El script comienza con una serie de comentarios que describen su uso y el formato de salida.
  • A continuación, especifica sus parámetros, lo que permite al usuario filtrar los resultados por nombre de usuario o por un número concreto de días pasados.
  • En el bloque de inicio, el script establece sus requisitos, incluida la omisión de las cuentas del sistema y la especificación de los ID de eventos relevantes del registro de seguridad de Windows.
  • El bloque del proceso es donde se produce la magia. En primer lugar, garantiza que el script se ejecuta con privilegios de administrador. A continuación, obtiene los eventos de Windows correspondientes a las actividades de inicio y cierre de sesión, filtrando las cuentas del sistema o irrelevantes.
  • Para cada evento, determina el nombre de usuario y si el evento fue un inicio de sesión (SessionStart) o un cierre de sesión (SessionStop), mostrando estos detalles.

Posibles casos de uso

Pensemos en un administrador de TI llamado Alex. Recientemente, ha habido casos de acceso no autorizado a datos en la empresa. Alex decide revisar el historial de inicio de sesión de la última semana. Utilizando este script para ver el historial de conexiones de los usuarios con el parámetro -Days 7, Alex puede obtener una lista completa de todos los eventos de acceso de los usuarios, lo que le ayudará a localizar cualquier actividad sospechosa.

Comparaciones

Aunque existen herramientas y plataformas especializadas que ofrecen el seguimiento de la actividad de los usuarios, muchas de ellas suelen ir acompañadas de voluminosas suites de software o tienen un precio elevado. Este script PowerShell ofrece una alternativa ligera, personalizable y rentable para ver el historial de conexiones de los usuarios. Además, otros métodos pueden requerir configuraciones extensas, mientras que este script es plug-and-play, requiriendo una configuración mínima.

FAQ

  • ¿Es necesario ejecutar el script para ver el historial de conexiones de los usuarios con privilegios de administrador?
    Sí, acceder a los registros de seguridad requiere permisos elevados.
  • ¿Puedo recuperar registros de más de un mes de antigüedad?
    Por supuesto, solo tienes que ajustar el parámetro -Days al intervalo que desees.

Implicaciones

Conocer los patrones de acceso de los usuarios puede ser un arma de doble filo. Aunque faculta a los profesionales de TI para mantener la integridad del sistema, el manejo incorrecto de esta información podría infringir las directrices sobre privacidad. Además, una vigilancia persistente podría suscitar dudas sobre la confianza en el lugar de trabajo. Así pues, aunque el script es una herramienta poderosa, es esencial utilizarla con criterio, respetando las normas éticas y jurídicas.

Recomendaciones

  • Asegúrate siempre de que estás ejecutando la última versión de PowerShell para obtener un rendimiento y una seguridad óptimos.
  • Documenta todos los casos en los que utilices este script para ver el historial de conexiones de los usuarios con fines de auditoría.
  • Haz copias de seguridad periódicas de tus registros para evitar posibles pérdidas de datos.

Reflexiones finales

La gestión del acceso de los usuarios es una faceta crucial de la seguridad de TI. Este script PowerShell proporciona una forma eficaz de ver el historial de inicio de sesión, lo que ayuda a detectar y responder a tiempo a las amenazas. Aunque este script para ver el historial de conexiones de los usuarios es una solución independiente, su integración con plataformas como NinjaOne puede elevar sus capacidades, ofreciendo una solución holística de gestión de TI.

El uso de NinjaOne junto con dichos scripts puede consolidar el registro, mejorar los mecanismos de alerta y proporcionar un panel de control unificado para todas las operaciones informáticas, garantizando una infraestructura de TI sólida, racionalizada y segura.

Categorías:

Quizá también te interese…

×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón “Acepto” que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona “tal cual” y “según disponibilidad”, sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).