فعال کردن لاگ های PowerShell

برای PowerShell سه نوع لاگ زیر بایستی فعال شوند تا فعالیت های مشکوک (مثل اجرای اسکریپت یا دستورات رمزگذاری شده) ثبت گردند.

• Module Logging
• Script Block Logging
• Transcription

در ادامه نحوه فعال کردن هر یک توضیح داده شده است.

فعال کردن Module Logging برای PowerShell

در پاورشل، ماژول یک بسته شامل دستورات، توابع، کلاس ها و فایل های کمکی است که قابلیت های جدیدی به محیط PowerShell اضافه می‌کند. به عبارتی می‌توان آنها را همانند کتابخانه ها در زبان های برنامه نویسی یا مثل Add-ons Plugins برای نرم افزارها دانست. برای مشاهده تمامی ماژول های PowerShell می‌توانید از دستور زیر در PowerShell استفاده نمایید.

Get-Module -ListAvailable | select-object Name

برخی از قابلیت های لاگ گیری PowerShell بر روی ماژول ها متمرکزند و زمانیکه Module Logging برای یک ماژول فعال شود، هربار که این ماژول اجرا شود جزئیات آن در لاگ ها ثبت می‌گردد. در جدول ۲ مهم ترین ماژول هایی که بایستی لاگ آنها ثبت گردد مشخص شده اند.

برای فعال کردن لاگ Module Logging مراحل زیر را دنبال نمایید.

در Group Policy به مسیر زیر بروید.

Computer Configuration → Administrative Templates → Windows Components →
Windows PowerShell

در این قسمت گزینه زیر را فعال نمایید

Turn on Module Logging → Enabled

در قسمت Options بر روی دکمه Show کلیک کنید و در پنجره Show Contents ماژول های معرفی شده در جدول را مطابق شکل وارد نمایید.

نکته: دقت نمایید که املای صحیح ماژول ها را رعایت کنید زیرا در صورت ورود اشتباه، هیچ پیام خطایی نمایان نمی‌گردد اما لاگ ماژول مورد نظر نیز فعال نمی‌شود. در انتها دکمه OK را فشار دهید تا عملیات تایید گردد.

تصویر زیر نمایی از فعال نمودن لاگ Module Logging را نمایش می‌دهد:

فعال کردن Script Block Logging برای PowerShell

هر دستوری که در PowerShell اجرا شود، ابتدا به صورت یک بلاک دستوری تفسیر می‌گردد. Script Block Logging باعث می‌شود تمام این بلاک‌های دستوری در لاگ‌های امنیتی ویندوز ثبت شوند، حتی اگر یک اسکریپت مخرب تلاش کند کد را به‌صورت داینامیک تولید یا رمزگذاری نماید (برای مثال با استفاده از Base64). در این حالت، Script Block Logging نسخه خام (غیر رمز شده) آن را ذخیره می‌کند.

این ویژگی برای شناسایی حملاتی مانند Fileless Malware یا Obfuscated Scripts بسیار حائز اهمیت است و نقش مهمی در تقویت کارایی لاگ‌های امنیتی ویندوز دارد. برای فعال کردن Script Block Logging مراحل زیر را دنبال کنید:

در Group Policy به مسیر زیر بروید

Computer Configuration → Administrative Templates → Windows Components → Windows PowerShell

در این قسمت گزینه زیر را فعال نمایید.

Turn on PowerShell Script Block Logging → Enabled

در قسمت Options، گزینه Log script block invocation start/stop events را فعال نمایید و در نهایت با فشردن دکمه OK، مراحل را تایید نمایید.

فعال کردن Transcription برای PowerShell

فعال کردن Transcription باعث می‌شود تمام دستورات PowerShell و خروجی آن‌ها در یک فایل متنی که جزئی از لاگ‌های امنیتی ویندوز محسوب می‌شود، ذخیره شوند. این فایل لاگ شامل اطلاعاتی مانند زمان، کاربر اجراکننده، نام کامپیوتر و متن کامل دستورات و نتایج آن‌ها است. بدین ترتیب مشخص می‌گردد چه فردی چه دستوری را در PowerShell اجرا کرده است و این امر به پایش و امنیت سیستم کمک شایانی می‌کند.

برای فعال کردن لاگ Transcription مراحل زیر را دنبال نمایید:

در Group Policy به مسیر زیر بروید.

Computer Configuration → Administrative Templates → Windows Components → Windows PowerShell

در این قسمت گزینه زیر را فعال نمایید.

Turn on PowerShell Transcription → Enabled

در قسمت Options می‌توانید مسیر ذخیره سازی فایل های لاگ را از طریق گزینه Transcript output directory مشخص نمایید. مسیر ذخیره لاگ به صورت پیش فرض در مسیر C:\Users\<Username>\Documents قرار دارد.

در نهایت با فشردن دکمه OK، مراحل زیر را تایید نمایید.

فعال کردن Audit Log ها در ویندوز

لاگ های حسابرسی (Audit Logs) از جمله لاگ های امنیتی ویندوز است که نقش حیاتی در پایش امنیتی و تحلیل فارنزیک دارند. این لاگ ها اطلاعات دقیقی از فعالیت های کاربران و سیستم ارائه می‌دهند از جمله ورود و خروج به سیستم، ایجاد یا تغییر حساب های کاربری، اجرای پردازش ها، تغییر در تنظیمات امنیتی و دسترسی به فایل ها و منابع حساس.

در حالت پیش فرض بسیاری از این لاگ ها غیرفعال هستند. به همین دلیل در صورت وقوع حادثه امنیتی بخش زیادی از ردپاهای مهاجم یا حتی خطاهای سیستمی مهم در لاگ های امنیتی ویندوز ثبت نمی‌شوند. فعال سازی درست Audit Log ها باعث می‌شود:

۱- رویداد های حیاتی برای تشخیص نفوذ و حملات ثبت شوند.

۲- امکان بازسازی فعالیت مهاجم در هنگام فارنزیک فراهم شود.

۳- تغییرات مهم در حساب های کاربری، سیاست ها یا دسترسی ها شفاف و مستند باشند.

۴- تیم امنیتی بتواند پایش مداوم و پاسخ سریع به رخداد ها داشته باشد.

بنابراین، فعال سازی و پیکربندی صحیح Audit Log ها یکی از گام های کلیدی در امن سازی ویندوز و آماده سازی سیستم برای تحلیل های بعدی است.

برای فعال سازی Audit Log ها از طریق GP به روش زیر عمل نمایید:

در GP به مسیر زیر بروید:

Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration → System Audit Policies

در این بخش دسته های مختلفی مانند Detailed Tracking، Account Management، Account Logon و غیره نمایش داده می‌شوند. با باز کردن هر دسته می‌توانید زیر گروه ها را مشاهده کرده و برای هر کدام تعین کنید که رویداد های Success، Failure یا هر دو ثبت شوند. در شکل زیر نمایی از Advanced Audit Policy Configuration نمایش داده شده است.

در ادامه مشخص شده است که برای هر دسته چه زیر گروه ها و برای آنها چه رویداد هایی فعال گردند:

Account Logon

Audit Credential Validation → Success & Failure
 Audit Kerberos Authentication Service → Success & Failure
 Audit Kerberos Service Ticket Operations → Success & Failure

این دسته از لاگ های امنیتی ویندوز امکان کشف لاگین های جعلی، حملات Path-the-Hash و تلاش های مشکوک برای ورود به دامنه را فراهم می‌کند.

Logon/Logoff

Audit Logon → Success & Failure

Audit Logoff → Success

Audit Special Logon → Success

Audit Other Logon/Logoff Events → Success & Failure

Audit Network Policy Server → Success & Failure

این دسته از لاگ های امنیتی ویندوز امکان تشخیص ورود های غیرمجاز (مثلا RDP مشکوک) و ردیابی زمان و محل ورود کاربران را فراهم می‌کند.

Account Management

Audit User Account Management → Success & Failure

Audit Computer Account Management → Success & Failure

Audit Security Group Management → Success & Failure

Audit Distribution Group Management → Success & Failure

Audit Application Group Management → Success & Failure

این دسته از لاگ های امنیتی ویندوز امکان شناسایی ایجاد یا حذف حساب های غیرمجاز و اضافه شدن ناگهانی کاربران به گروه های با دسترسی بالا را فراهم می‌کند.

DS Access (Domain Controller)

این دسته برای سیستم هایی است که عضو دامنه هستند فعال شود:

Audit Directory Service Access → Success & Failure

Audit Directory Service Changes → Success & Failure

این دسته از لاگ های امنیتی ویندوز امکان کشف تغییرات مشکوک در Active Directory،‌مثل ایجاد حساب کاربری مخفی یا تغییر مجوز ها را فراهم می‌کند.

Object Access

Audit File Share → Success & Failure

Audit File System → Success & Failure

Audit Registry → Success & Failure

Audit Removable Storage → Success & Failure

Audit Filtering Platform Packet Drop / Connection → Success & Failure

این دسته امکان کشف دسترسی غیرمجاز به فایل های حساس، تغییر در رجیستری و کپی داده ها روی USB را فراهم می‌کند.

Policy Change

Audit Audit Policy Change → Success & Failure

Audit Authentication Policy Change → Success & Failure

Audit Authorization Policy Change → Success & Failure

این دسته امکان شناسایی تغییرات غیرمجاز در سیاست های امنیتی، مثل غیرفعال کردن فایروال یا تغییر Audit Policy را فراهم می‌کند.

Privilege Use

Audit Sensitive Privilege Use → Success & Failure

این دسته امکان تشخیص استفاده یا سواستفاده از دسترسی های ویژه توسط مهاجم را فراهم می‌کند.

Detailed Tracking

Audit Process Creation → Success

Audit Process Termination → Success

Audit DPAPI Activity → Failure

Audit RPC Events → Success & Failure

این دسته امکان ردیابی دقیق اجرای پردازش ها و دستورات، از جمله بدافزار ها یا اسکریپت های مشکوک را فراهم می‌کند.

System

Audit Security System Extension → Success & Failure
 Audit System Integrity → Success & Failure
 Audit IPSec Driver / Other System Events → Success & Failure

این دسته امکان شناسایی تلاش برای خاموش کردن سرویس های امنیتی، دستکاری سیستم یا تغییرات غیرعادی در سطح کرنل را فراهم می‌کند.

Global Object Access Auditing

این قابلیت باعث می‌گردد تمامی دسترسی ها به فایل ها و کلید های رجیستری در کل سیستم ثبت گردند. به عبارت دیگر، برخلاف NTFS Auditing که لاگ مربوطه تنها برای پوشه های مشخص شده فعال می‌گردد این قابلیت باعث می‌شود لاگ مربوط به هر نوع عملیات بر روی فایل و رجیستری در کل سیستم ثبت شود. ثبت مداوم رخداد های دسترسی به فایل ها و رجیستری می‌تواند باعث ایجاد مشکلات زیر شود:

۱- پر شدن سریع حجم لاگ Security و در نتیجه از دست رفتن لاگ های قدیمی به دلیل بازنویسی لاگ های جدید بر روی آنها

۲- کاهش محسوس کارایی سیستم.

به همین دلیل، توصیه می‌شود Global Object Access Auditing فقط در شرایط خاص مثلا برای سناریوی تحلیل رخداد که نیاز به ردیابی دقیق تمام دسترسی به فایل ها را دارد فعال شود.

فعال سازی Command Line Auditing

Command Line Auditing در ویندوز قابلیتی است که باعث می‌شود وقتی یک فرایند در سیستم ایجاد می‌شود،‌علاوه بر نام فایل اجرایی مثلا cmd.exe یا powershell.exe آرگومان ها و سوییچ های خط فرمان که همراه آن اجرا شده اند هم در لاگ های امنیتی ویندوز ثبت شوند. شکل زیر نحوه نمایش آت را نشان می‌دهد.

برای فعال سازی این قابلیت مراحل زیر را دنبال کنید:

۱- در GP به مسیر زیر بروید:

Computer Configuration → Administrative Templates → System → Audit Process
Creation

۲- در این قسمت گزینه زیر را فعال نمایید.

Include command line in process creation events → Enabled

از این پس با اجرای هر فرآیند علاوه بر نام آن، Command Line مربوط به ان نیز در لاگ Security (Event ID 4688) ذخیره می‌گردد.

در تصویر زیر نحوه فعال سازی آن را مشاهده می‌کنید.

تفاوت Basic Audit Policy و Advanced Audit Policy Configuration و رفع تداخل آنها

در ویندوز دو روش برای تنظیمات حسابرسی (Audit) وجود دارد:

۱- Pasic Audit Policy

• از مسیر: Local Security Policy -> Local Policies -> Audit Policy
• این روش قدیمی تر است و تنها ۹ گزینه کلی دارد شامل Object Access، Logon/Logoff و غیره.

۲- Advanced Audit Policy Configuration

• از مسیر: Group Policy -> Advanced Audit Policy Configuration
• این روش جدیدتر است. (از ویندوز ۷ و server 2008 R2 به بعد)
• تنظیمات در سطح Subcategory انجام می‌شود.
• بسیار دقیق تر و توصیه شده است.

مشکل تداخل

اگر همزمان هر دو فعال باشند در برخی شرایط ویندوز فقط Basic را اعمال می‌کند و Advanced را نادیده می‌گیرد. در نتیجه این ابهام بوجود می‌آید که Advanced فعال است، ولی لاگ های تب Basic جمع آوری می‌شوند. همین موضوع باعث سردرگمی و از دست رفتن لاگ های حیاتی می‌شود.

روش رفع تداخل

برای رفع تداخل بایستی در ویندوز تنظیماتی اعمال گردد که ویندوز Advanced Audit را در اولویت قرار دهد. برای اینکار مراحل زیر را دنبال نمایید:

۱- در Group Policy به مسیر زیر بروید:

Computer Configuration → Windows Settings → Security Settings → Local Policies →
Security Options

۲- در این قسمت گزینه زیر را فعال نمایید.

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit
policy category settings → Enabled

نتیجه‌گیری

در مجموع، فعال‌سازی حسابرسی پیشرفته و افزایش حجم لاگ‌های امنیتی ویندوز گامی اساسی برای تضمین امنیت و امکان انجام تحلیل‌های دقیق فارنزیک است. هنگامی که لاگ‌ها به‌درستی پیکربندی و در حجم کافی ذخیره شوند، تیم امنیتی می‌تواند با دقت بسیار بیشتری رویدادهای مهم را رهگیری کرده و رفتارهای مشکوک را قبل از تبدیل‌ شدن به تهدید جدی شناسایی کند. استفاده از ترکیب قابلیت‌های بومی ویندوز مانند Advanced Audit Policy و ابزارهای مکملی چون Sysmon نیز دید عمیق‌تری نسبت به فعالیت‌های سیستم فراهم کرده و لایه‌ای قدرتمند برای پایش پیوسته ایجاد می‌کند. در نهایت، استانداردسازی این تنظیمات از طریق Group Policy نه‌تنها مدیریت امنیت را ساده‌تر می‌کند، بلکه از یکپارچگی و پوشش مناسب در کل محیط سازمانی اطمینان می‌دهد.