Los scripts PowerShell desempeñan un papel inestimable en las operaciones y la seguridad de TI, ya que automatizan tareas y extraen información vital para su análisis. Hoy profundizaremos en un script que permite ver el historial de conexiones de los usuarios, una función importante para auditar y supervisar el acceso al sistema.
Antecedentes
Los registros de acceso son una mina de oro para los profesionales de TI. Ayudan a supervisar el uso del sistema, detectar accesos no autorizados y mantener la responsabilidad. El script que estamos analizando recupera los eventos de inicio y fin de sesión del usuario, un conjunto de datos esencial para cualquier estrategia de seguridad informática sólida. Al excluir las cuentas del sistema y centrarse únicamente en los usuarios auténticos, presenta un historial limpio y conciso del acceso de los usuarios, lo que simplifica y hace más eficiente la vida de los profesionales de TI y los proveedores de servicios gestionados (MSP).
El script para ver el historial de conexiones de los usuarios
#Requires -Version 5.1
<#
.SYNOPSIS
This will return user session start and stop events.
.DESCRIPTION
This will return user session start and stop events. Excluding system accounts.
.EXAMPLE
No params needed
Returns all login events for all users.
.EXAMPLE
-UserName "Fred"
Returns all user login events of the user Fred.
.EXAMPLE
-Days 7
Returns the last 7 days of login events for all users.
.EXAMPLE
-Days 7 -UserName "Fred"
Returns the last 7 days of login events for the user Fred.
.EXAMPLE
PS C:> Get-User-Login-History.ps1 -Days 7 -UserName "Fred"
Returns the last 7 days of login events for the user Fred.
.NOTES
Minimum OS Architecture Supported: Windows 10, Windows Server 2016
Release Notes:
Initial Release
.OUTPUTS
Time Event User ID
---- ----- ---- --
10/7/2021 3:51:48 PM SessionStop User1 4634
10/7/2021 3:51:48 PM SessionStart User1 4624
.COMPONENT
ManageUsers
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding()]
param (
# Specify one user
[Parameter(Mandatory = $false)]
[String]
$UserName,
# How far back in days you want to search, this is in 24 hour increments from the time it executes
[Parameter(Mandatory = $false)]
[int]
$Days
)
begin {
function Test-IsElevated {
$id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$p = New-Object System.Security.Principal.WindowsPrincipal($id)
if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
{ Write-Output $true }
else
{ Write-Output $false }
}
# System accounts that we don't want
$SystemUsers = @(
"SYSTEM"
"NETWORK SERVICE"
"LOCAL SERVICE"
)
# Filter for only getting session start and stop events from Security event log
$FilterHashtable = @{
LogName = "Security";
id = 4634, 4624
}
# If Days was specified then add this parameter
if ($Days) {
$FilterHashtable.Add("EndTime", (Get-Date).AddDays(-$Days))
}
# Creating a hash table for parameter splatting
$Splat = @{
FilterHashtable = $FilterHashtable
}
}
process {
if (-not (Test-IsElevated)) {
Write-Error -Message "Access Denied. Please run with Administrator privileges."
exit 1
}
# Get windows events, filter out everything but logins and logouts(Session starts and ends)
Get-WinEvent @Splat | ForEach-Object {
# UserName in the two event types are in different places in the Properties array
if ($_.Id -eq 4634) {
# Events with ID 4634 the user name is the second item in the array. Arrays start at 0 in PowerShell.
$User = $_.Properties[1].Value
}
else {
# Events with ID 4634 the user name is the sixth item in the array. Arrays start at 0 in PowerShell.
$User = $_.Properties[5].Value
}
# Filter out system accounts and computer logins(Active Directory related)
# DWM-0 = Desktop Window Manager
# UMFD-0 = User Mode Framework Driver
if ($SystemUsers -notcontains $User -and $User -notlike "DWM-*" -and $User -notlike "UMFD-*" -and $User -notlike "*$") {
# If the UserName parameter was specified then only return that user's events
if ($UserName -and $UserName -like $User) {
# Write out to StandardOutput
[PSCustomObject]@{
Time = $_.TimeCreated
Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
User = $User
ID = $_.ID
}
} # If the UserName parameter was not specified return all users events
elseif (-not $UserName) {
# Write out to StandardOutput
[PSCustomObject]@{
Time = $_.TimeCreated
Event = if ($_.Id -eq 4634) { "SessionStop" } else { "SessionStart" }
User = $User
ID = $_.ID
}
}
}
# Null $User just in case the next loop iteration doesn't set it, we can then see that the user name is missing
$User = $null
}
}
end {}
Accede a más de 300 scripts en el Dojo de NinjaOne
Análisis detallado del script para ver el historial de conexiones de los usuarios
- El script comienza con una serie de comentarios que describen su uso y el formato de salida.
- A continuación, especifica sus parámetros, lo que permite al usuario filtrar los resultados por nombre de usuario o por un número concreto de días pasados.
- En el bloque de inicio, el script establece sus requisitos, incluida la omisión de las cuentas del sistema y la especificación de los ID de eventos relevantes del registro de seguridad de Windows.
- El bloque del proceso es donde se produce la magia. En primer lugar, garantiza que el script se ejecuta con privilegios de administrador. A continuación, obtiene los eventos de Windows correspondientes a las actividades de inicio y cierre de sesión, filtrando las cuentas del sistema o irrelevantes.
- Para cada evento, determina el nombre de usuario y si el evento fue un inicio de sesión (SessionStart) o un cierre de sesión (SessionStop), mostrando estos detalles.
Posibles casos de uso
Pensemos en un administrador de TI llamado Alex. Recientemente, ha habido casos de acceso no autorizado a datos en la empresa. Alex decide revisar el historial de inicio de sesión de la última semana. Utilizando este script para ver el historial de conexiones de los usuarios con el parámetro -Days 7, Alex puede obtener una lista completa de todos los eventos de acceso de los usuarios, lo que le ayudará a localizar cualquier actividad sospechosa.
Comparaciones
Aunque existen herramientas y plataformas especializadas que ofrecen el seguimiento de la actividad de los usuarios, muchas de ellas suelen ir acompañadas de voluminosas suites de software o tienen un precio elevado. Este script PowerShell ofrece una alternativa ligera, personalizable y rentable para ver el historial de conexiones de los usuarios. Además, otros métodos pueden requerir configuraciones extensas, mientras que este script es plug-and-play, requiriendo una configuración mínima.
FAQ
- ¿Es necesario ejecutar el script para ver el historial de conexiones de los usuarios con privilegios de administrador?
Sí, acceder a los registros de seguridad requiere permisos elevados. - ¿Puedo recuperar registros de más de un mes de antigüedad?
Por supuesto, solo tienes que ajustar el parámetro -Days al intervalo que desees.
Implicaciones
Conocer los patrones de acceso de los usuarios puede ser un arma de doble filo. Aunque faculta a los profesionales de TI para mantener la integridad del sistema, el manejo incorrecto de esta información podría infringir las directrices sobre privacidad. Además, una vigilancia persistente podría suscitar dudas sobre la confianza en el lugar de trabajo. Así pues, aunque el script es una herramienta poderosa, es esencial utilizarla con criterio, respetando las normas éticas y jurídicas.
Recomendaciones
- Asegúrate siempre de que estás ejecutando la última versión de PowerShell para obtener un rendimiento y una seguridad óptimos.
- Documenta todos los casos en los que utilices este script para ver el historial de conexiones de los usuarios con fines de auditoría.
- Haz copias de seguridad periódicas de tus registros para evitar posibles pérdidas de datos.
Reflexiones finales
La gestión del acceso de los usuarios es una faceta crucial de la seguridad de TI. Este script PowerShell proporciona una forma eficaz de ver el historial de inicio de sesión, lo que ayuda a detectar y responder a tiempo a las amenazas. Aunque este script para ver el historial de conexiones de los usuarios es una solución independiente, su integración con plataformas como NinjaOne puede elevar sus capacidades, ofreciendo una solución holística de gestión de TI.
El uso de NinjaOne junto con dichos scripts puede consolidar el registro, mejorar los mecanismos de alerta y proporcionar un panel de control unificado para todas las operaciones informáticas, garantizando una infraestructura de TI sólida, racionalizada y segura.
