Получаем логи (историю) входа пользователя в домен AD

В Active Directory есть несколько различных инструментов получения информации о времени входа пользователя в домен. Время последней успешной аутентификации пользователя можно получить из значения атрибута lastLogon (значение обновляется только на контроллере домена, который выполнил аутентификацию) или lastLogonTimpestamp (реплицируется между DC в домене, но только через 14 дней). Значение этих атрибутов пользователя можно получить в редакторе атрибутов AD или командлетом Get-ADUser. Однако иногда нужно получить историю активности (входов) пользователя в домене за большой период времени.

В этой статье мы покажем, как в домене настроить политику аудита событий аутентификации пользователей и с помощью PowerShell собрать информацию об успешных входах пользователей из журналов безопасности контроллеров домена. Простой скрипт позволит быстро получить полную историю активности пользователя в домене, время начала работы и компьютеры, с которых работал пользователь.

Настройка политики аудита входа в домен Active Directory

Чтобы в журналах контроллеров домена AD фиксировалась события успешного/неудачного входа пользователей, нужно настроить доменную политику аудита.

1. Откройте консоль редактора доменных GPO, GPMC.msc
2. Создайте новый объект групповых политики, и назначьте его на корень домена (не рекомендуется редактировать GPO Default Domain Policy)
3. Откройте новую политику и перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings –> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff;
4. Включите две политики аудита (Audit Logon и Audit Other Logon/Logoff Events). Чтобы в журналах Security на DC и компьютерах регистрировались как успешные, так и неуспешные политики входа, выберите в настройках политика аудита опции Success и (опционально) Failure
5. Затем включите аудит событий Kerberos аутентификации. Перейдите в секцию Audit Policies -> Account Logon –> Audit Kerberos Authentication Service -> включите аудит событий Success
6. Сохраните изменения в GPO
7. Дождитесь репликации новой политики между DC.
8. Контроллеры домена применяют настройки GPO каждые 5 минут. Можете обновить настройки групповых политик вручную командой: gpupdate /force

Теперь при входе пользователя на любой компьютер домена Active Directory в журнале Security контроллера домена, который выполняет аутентификацию пользователя ( LogonServer) появляется событие с Event ID 4624 (An account was successfully logged on). В описании события указана учетная запись вошедшего пользователя (Account Name), имя (Workstation name) или IP адрес (Source Network Address) компьютера, с которого выполнен вход.

В поле Logon Type события можно узнать код (тип) входа пользователя . Нам могут быть интересны следующие коды:

• Logon Type 2 – интерактивный (локальный) вход на компьютер: An account was successfully logged on
• Logon Type 3 – Network logon сетевой вход (происходит при аутентификации пользователя на DC, подключении к сетевой папке, принтеру или службе IIS)
• Logon Type 10 – Remote Interactive logon – удаленный вход через терминальные службы (RDP), теневое подключение или Remote Assistance. Это событие используется при анализе событий входа пользователей по RDP.
• Logon Type 7 – событие разблокировки сессии пользователя (после ручной или автоматической блокировки экрана компьютера)

Также можно отслеживать вход пользователя в домен по событию выдачи билета Kerberos при аутентификации пользователя. Event ID 4768: A Kerberos authentication ticket (TGT) was requested.

В событии 4768 указана учетная запись пользователя (Account Name или User ID), который получил билет Kerberos (аутентифицировался) и имя (IP адрес) компьютера.

PowerShell: вывести историю входов пользователя в домене

Рассмотрим, как с помощью PowerShell извлечь из журналов безопасности контроллеров домена информацию о входе пользователя. Т.к. в домене может быть несколько контроллеров домена, у каждого из которых собственных журнал Security, придется выполнять поиск событий на каждом DC.

В первоначальной версии скрипта для получения событий с определенным EventID из журналов безопасности контроллеров домена использовался командлет Get-Eventlog. Пример PowerShell скрипта, который выведет события входа пользователя за последние 2 дня со всех контроллеров домена:

# имя пользователя, историю входов которого нужно получить
$checkuser='*ivanov*'


На выходе вы получаете таблицу с историей входа пользователя, компьютеров, с которых аутентифицировался пользователь и контроллеров домена, обработавших вход.

Главный недостаток командлета Get-Eventlog в том, что он выполняет поиск событий очень медленно. Вместо него лучше использовать более быстрый командлет поиска событий Get-WinEvent. Пример аналогичного скрипта для получения событий входа со всех DC, который будет отрабатывать намного быстрее:

 $TargetUsername = 'abelov'  
$StartTime = (Get-Date).AddHours(-24)
$LogonTypeDescriptions = @{
    '2'  = 'Interactive'
    '3'  = 'Network'
    '7'  = 'Unlock'
    '10' = 'RemoteInteractive'
    '11' = 'CachedInteractive'
}
$DomainControllers = Get-ADDomainController -Filter *
$LogonEvents = @()
foreach ($DC in $DomainControllers) {
    $FilterHashtable = @{
        LogName   = 'Security'
        ID        = 4624
        StartTime = $StartTime
    }
    $Events = Get-WinEvent -ComputerName $DC.HostName -FilterHashtable $FilterHashtable -ErrorAction SilentlyContinue
    foreach ($Event in $Events) {
        $EventData = [xml]$Event.ToXml()
        $EventUser = $EventData.Event.EventData.Data[5].'#text'
        $LogonTypeCode = $EventData.Event.EventData.Data[8].'#text'
        if ($EventUser -eq $TargetUsername) {
            $LogonEvent = [PSCustomObject]@{
                TimeCreated  = $Event.TimeCreated
                ComputerName = $EventData.Event.EventData.Data[18].'#text'  
                IPAddress    = $EventData.Event.EventData.Data[18].'#text'  
                Username     = $EventUser
                LogonType    = $LogonTypeDescriptions[$LogonTypeCode] 
                DCName       = $DC.HostName
            }
            $LogonEvents += $LogonEvent
        }
    }
}

Если нужно экспортировать логи входа пользователей в CSV файл, воспользуйтесь командлетом Export-Csv:

$FileName = "C:\PS\LogonEvents" +  $startDate.ToString('yy_MM_dd')  + ".csv"
$LogonEvents| Export-Csv $FileName -Append -NoTypeInformation -encoding UTF8

Получаем информацию об активности пользователя в домене по событиям Kerberos

Также вы можете получить историю аутентификации пользователя в домене по по событию выдачи билета Kerberos (TGT Request — EventID 4768). В этом случае в итоговых данных будет содержаться меньшее количество событий (исключены сетевые входы, обращения к папкам на DC во время получения политик и выполнения логон-скриптов). Следующий PowerShell скрипт выведет информацию о всех входах пользователей за последние 24 часа:

$alluserhistory = @()
$startDate = (get-date).AddDays(-2)
$DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs){
$logonevents = Get-Eventlog -LogName Security -InstanceID 4768 -after $startDate -ComputerName $dc.HostName
foreach ($event in $logonevents){
if ($event.ReplacementStrings[0] -notlike '*$') {
$userhistory = New-Object PSObject -Property @{
UserName = $event.ReplacementStrings[0]
IPAddress = $event.ReplacementStrings[9]
Date = $event.TimeGenerated
DC = $dc.Name
}
$alluserhistory += $userhistory
}
}
}
$alluserhistory

Обратите, что в этом случае вы не увидите события входов пользователей, которые аутентифицировались с клиентов или приложений, которые используют NTLM вместо Kerberos.