Visualizzare la cronologia degli accessi degli utenti con PowerShell

Gli script PowerShell svolgono un ruolo importantissimo nelle operazioni IT e nella sicurezza, automatizzando le attività ed estraendo informazioni vitali per l’analisi. Oggi analizzeremo uno script che consente di visualizzare la cronologia degli accessi degli utenti, una funzione importante per l’auditing e il monitoraggio degli accessi al sistema.

Background

I log di accesso sono una miniera d’oro per i professionisti IT. Aiutano a monitorare l’utilizzo del sistema, a rilevare gli accessi non autorizzati e a sottolineare l’importanza della responsabilità individuale. Lo script per visualizzare la cronologia degli accessi degli utenti fornito recupera gli eventi di avvio e interruzione delle sessioni utente, un set di dati essenziale per qualsiasi solida strategia di sicurezza informatica. Escludendo gli account di sistema e concentrandosi solo sugli utenti reali, lo script permette di recuperare una cronologia chiara e sintetica degli accessi degli utenti, rendendo la vita dei professionisti IT e dei Managed Service Provider (MSP) più semplice e le operazioni più efficienti.

Lo script per visualizzare la cronologia degli accessi degli utenti

#Requires -Version 5.1

<#
.SYNOPSIS
    This will return user session start and stop events.
.DESCRIPTION
    This will return user session start and stop events. Excluding system accounts.
.EXAMPLE
    No params needed
    Returns all login events for all users.
.EXAMPLE
     -UserName "Fred"
    Returns all user login events of the user Fred.
.EXAMPLE
     -Days 7
    Returns the last 7 days of login events for all users.
.EXAMPLE
     -Days 7 -UserName "Fred"
    Returns the last 7 days of login events for the user Fred.
.EXAMPLE
    PS C:> Get-User-Login-History.ps1 -Days 7 -UserName "Fred"
    Returns the last 7 days of login events for the user Fred.
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
.OUTPUTS
    Time                  Event        User  ID
    ----                  -----        ----  --
    10/7/2021 3:51:48 PM  SessionStop  User1 4634
    10/7/2021 3:51:48 PM  SessionStart User1 4624
.COMPONENT
    ManageUsers
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Specify one user
    [Parameter(Mandatory = $false)]
    [String]
    $UserName,
    # How far back in days you want to search, this is in 24 hour increments from the time it executes
    [Parameter(Mandatory = $false)]
    [int]
    $Days
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }

    # System accounts that we don't want
    $SystemUsers = @(
        "SYSTEM"
        "NETWORK SERVICE"
        "LOCAL SERVICE"
    )
    # Filter for only getting session start and stop events from Security event log
    $FilterHashtable = @{
        LogName = "Security";
        id      = 4634, 4624
    }
    # If Days was specified then add this parameter
    if ($Days) {
        $FilterHashtable.Add("EndTime", (Get-Date).AddDays(-$Days))
    }
    # Creating a hash table for parameter splatting
    $Splat = @{
        FilterHashtable = $FilterHashtable
    }
}

process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    # Get windows events, filter out everything but logins and logouts(Session starts and ends)
    Get-WinEvent @Splat | ForEach-Object {
        # UserName in the two event types are in different places in the Properties array
        if ($_.Id -eq 4634) {
            # Events with ID 4634 the user name is the second item in the array. Arrays start at 0 in PowerShell.
            $User = $_.Properties[1].Value
        }
        else {
            # Events with ID 4634 the user name is the sixth item in the array. Arrays start at 0 in PowerShell.
            $User = $_.Properties[5].Value
        }

        # Filter out system accounts and computer logins(Active Directory related)
        # DWM-0  = Desktop Window Manager
        # UMFD-0 = User Mode Framework Driver
        if ($SystemUsers -notcontains $User -and $User -notlike "DWM-*" -and $User -notlike "UMFD-*" -and $User -notlike "*$") {
            # If the UserName parameter was specified then only return that user's events
            if ($UserName -and $UserName -like $User) {
                # Write out to StandardOutput
                [PSCustomObject]@{
                    Time  = $_.TimeCreated
                    Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
                    User  = $User
                    ID    = $_.ID
                }
            } # If the UserName parameter was not specified return all users events
            elseif (-not $UserName) {
                # Write out to StandardOutput
                [PSCustomObject]@{
                    Time  = $_.TimeCreated
                    Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
                    User  = $User
                    ID    = $_.ID
                }
            }
        }
        # Null $User just in case the next loop iteration doesn't set it, we can then see that the user name is missing
        $User = $null
    }
}

end {}

 

Accedi a oltre 700 script nel Dojo NinjaOne

Ottieni l’accesso

Analisi dettagliata dello script per visualizzare la cronologia degli accessi degli utenti

  • Lo script per visualizzare la cronologia degli accessi degli utenti inizia con una serie di commenti che ne descrivono lo scopo e il formato di output.
  • Quindi specifica i suoi parametri, consentendo all’utente di filtrare i risultati in base al nome utente o a un numero specifico di giorni passati.
  • Nel blocco iniziale, lo script per visualizzare la cronologia degli accessi degli utenti stabilisce i suoi requisiti, tra cui l’esclusione degli account di sistema e la specificazione degli ID degli eventi rilevanti dal registro di sicurezza di Windows.
  • Il blocco del processo è il luogo in cui avviene la magia. Innanzitutto, qui si assicura che lo script per visualizzare la cronologia degli accessi degli utenti venga eseguito con i privilegi di amministratore. Quindi lo script recupera gli eventi di windows corrispondenti alle attività di login e logout, non prendendo in considerazione gli account di sistema o irrilevanti.
  • Per ogni evento, determina il nome utente e se l’evento è stato un login (SessionStart) o un logout (SessionStop), visualizzando questi dettagli.

Casi d’uso potenziali

Consideriamo un amministratore IT di nome Alex. Recentemente si sono verificati casi di accesso non autorizzato ai dati dell’azienda. Alex decide di rivedere la cronologia degli accessi dell’ultima settimana. Utilizzando questo script per visualizzare la cronologia degli accessi degli utenti con il parametro -Days 7, Alex può ottenere un elenco completo di tutti gli eventi di accesso dell’utente, per riuscire a individuare qualsiasi attività sospetta.

Confronti

Sebbene esistano strumenti e piattaforme dedicate che offrono il tracciamento delle attività degli utenti, molti sono spesso abbinati a suite software ingombranti o hanno un prezzo elevato. Questo script PowerShell per visualizzare la cronologia degli accessi degli utenti offre un’alternativa leggera, personalizzabile ed economica. Inoltre, altri metodi potrebbero richiedere configurazioni estese, mentre questo script per visualizzare la cronologia degli accessi degli utenti è plug-and-play e richiede una configurazione minima.

Domande frequenti

  • È necessario eseguire lo script per visualizzare la cronologia degli accessi degli utenti con i privilegi di amministratore?
    Sì, l’accesso ai registri di sicurezza richiede autorizzazioni elevate.
  • Posso recuperare i log più vecchi di un mese?
    Assolutamente, basta regolare il parametro -Days sull’intervallo desiderato.

Implicazioni

Conoscere i pattern di accesso degli utenti può essere un’arma a doppio taglio. Se da un lato consente ai professionisti IT di mantenere l’integrità del sistema, dall’altro una gestione errata di queste informazioni potrebbe violare le linee guida sulla privacy. Inoltre, un monitoraggio persistente potrebbe sollevare preoccupazioni circa la fiducia sul posto di lavoro. Pertanto, sebbene lo script per visualizzare la cronologia degli accessi degli utenti sia uno strumento potente, è essenziale usarlo con giudizio, rispettando gli standard etici e legali.

Raccomandazioni

  • Assicurati sempre di utilizzare l’ultima versione di PowerShell per ottenere prestazioni e sicurezza ottimali.
  • Documenta tutti i casi in cui utilizzi questo script per visualizzare la cronologia degli accessi degli utenti a fini di verifica.
  • Esegui regolarmente il backup dei registri per evitare una potenziale perdita di dati.

Considerazioni finali

La gestione degli accessi degli utenti è un aspetto cruciale della sicurezza informatica. Questo script PowerShell fornisce un modo efficiente per visualizzare la cronologia degli accessi degli utenti, favorendo il rilevamento e la risposta tempestiva alle minacce. Sebbene lo script per visualizzare la cronologia degli accessi degli utenti sia una soluzione che funziona bene anche da sola, l’integrazione con piattaforme come NinjaOne può amplificarne le capacità e offrire una soluzione completa di gestione IT.

L’utilizzo di NinjaOne insieme a script di questo tipo permette di centralizzare il recupero dei log, di migliorare i meccanismi di avviso e di fornire una dashboard unificata per tutte le operazioni IT, garantendo un’infrastruttura IT solida, snella e sicura.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Categorie:

Ti potrebbe interessare anche

Guarda una demo×
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.