Nel mondo IT, il mantenimento dell’integrità e della sicurezza dei file è fondamentale. I professionisti IT e i Managed Service Provider (MSP) hanno bisogno di metodi affidabili per monitorare le modifiche dei file, al fine di evitare modifiche non autorizzate, garantire la conformità e mantenere la stabilità del sistema. Questo articolo esplora un efficace script PowerShell progettato per controllare la presenza di un file, stabilire se è stato modificato entro un determinato periodo di tempo e verificarne l’integrità mediante un controllo dell’hash.
Background
I professionisti IT e gli MSP si trovano spesso ad affrontare la sfida di garantire che i file rimangano inalterati a meno che non vengano modificati esplicitamente dal personale autorizzato. Le modifiche non autorizzate possono portare a violazioni della sicurezza, corruzione dei dati e problemi di conformità. Per affrontare tali sfide, è necessaria una soluzione efficace per monitorare le modifiche ai file e garantirne l’integrità. Lo script PowerShell offre un approccio semplificato per soddisfare queste esigenze, fornendo avvisi basati su condizioni specifiche, come le modifiche ai file o la loro assenza.
Lo script per monitorare le modifiche dei file
<#
.SYNOPSIS
Checks whether a file is present and if it has been updated within your specified time frame or fails a hash check.
.DESCRIPTION
Checks whether a file is present and if it has been updated within your specified time frame or fails a hash check.
PARAMETER: -Alert "Alert If Change" or -Alert "Alert If No Change"
Raise an alert if the file has or hasn't been modified based on your other parameters.
PARAMETER: -Hash "REPLACEMEC32D73431CED24FF114B2A216671C60117AF5012B40"
The hash or checksum to verify that the file hasn't been modified.
PARAMETER: -Algorithm "SHA256"
The hashing algorithm used for your inputted hash.
.EXAMPLE
-Path "C:\TestFile.txt" -Hash "REPLACEME04C6F26CC32D73431CED24FF114B2A216671C60117AF5012B40" -Alert "Alert If No Change"
C:\TestFile.txt exists!
Hash Given: REPLACEME04C6F26CC32D73431CED24FF114B2A216671C60117AF5012B40
Current Hash: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3EEEF0
Hash mismatch!
.EXAMPLE
-Path "C:\TestFile.txt" -Hash "35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0" -Alert "Alert If No Change"
C:\TestFile.txt exists!
Hash Given: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0
Current Hash: 35BAFB1CE99AEF3AB068AFBAABAE8F21FD9B9F02D3A9442E364FA92C0B3BEEF0
Hash matches!
[Alert] File has not been modified!
PARAMETER: -Days "REPLACEMEWITHANUMBER"
Raise an alert if the file hasn't been modified within the specified number of days.
Minutes and Hours are added to this time.
PARAMETER: -Hours "REPLACEMEWITHANUMBER"
Raise an alert if the file hasn't been modified within the specified number of hours.
Days and Minutes are added to this time.
PARAMETER: -Minutes "REPLACEMEWITHANUMBER"
Raise an alert if the file hasn't been modified within the specified number of minutes.
Days and Hours are added to this time.
.EXAMPLE
-Path "C:\TestFile.txt" -Days 365 -Alert "Alert If Change"
C:\TestFile.txt exists!
Checking if the file was modified in the last 365 day(s) 00 hour(s) 00 minute(s)
File was last modified on 02/07/2024 14:59:56.
File has been updated within the time period.
[Alert] File has been modified!
.EXAMPLE
-Path "C:\TestFile.txt" -Days 30 -Alert "Alert If Change"
C:\TestFile.txt exists!
Checking if the file was modified in the last 30 day(s) 00 hour(s) 00 minute(s)
File was last modified on 05/15/2023 15:13:55.
File has not been modified within the time period.
.OUTPUTS
None
.NOTES
Minimum OS Architecture Supported: Windows 8+, Server 2012+
Release Notes:
Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding()]
param (
[Parameter()]
[String]$Alert,
[Parameter()]
[String]$Path,
[Parameter()]
[String]$Hash,
[Parameter()]
[String]$Algorithm = "SHA256",
[Parameter()]
[int]$Days,
[Parameter()]
[int]$Hours,
[Parameter()]
[int]$Minutes
)
begin {
# Replace parameters with dynamic script variables
if ($env:alert -and $env:alert -notlike "null") { $Alert = $env:alert }
if ($env:targetFilePath -and $env:targetFilePath -notlike "null") { $Path = $env:targetFilePath }
if ($env:hash -and $env:hash -notlike "null") { $Hash = $env:hash }
if ($env:algorithm -and $env:algorithm -notlike "null") { $Algorithm = $env:algorithm }
if ($env:daysSinceLastModification -and $env:daysSinceLastModification -notlike "null") { $Days = $env:daysSinceLastModification }
if ($env:hoursSinceLastModification -and $env:hoursSinceLastModification -notlike "null") { $Hours = $env:hoursSinceLastModification }
if ($env:minutesSinceLastModification -and $env:minutesSinceLastModification -notlike "null") { $Minutes = $env:minutesSinceLastModification }
# Test for local administrator permissions
function Test-IsElevated {
$id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$p = New-Object System.Security.Principal.WindowsPrincipal($id)
$p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
}
if (-not (Test-IsElevated)) {
Write-Warning -Message "Some files or folders may require local Administrator permissions to view."
}
# Verify the given algorithm is supported by PowerShell
$AllowedAlgorithms = "SHA1", "SHA256", "SHA384", "SHA512", "MD5"
if ($AllowedAlgorithms -notcontains $Algorithm) {
Write-Host "[Error] Invalid Algorithm selected ($Algorithm)! Allowed selections are 'SHA1','SHA256','SHA384','SHA512' and 'MD5'."
exit 1
}
# Check for required parameter
if (-Not ($Path)) {
Write-Host "[Error] A filepath is required!"
Exit 1
}
switch ($Alert) {
"Alert If Change" { Write-Verbose "Alerting if file $Path has been modified." }
"Alert If No Change" { Write-Verbose "Alerting if file $Path has not been modified." }
default { Write-Verbose "No alert was selected." }
}
$ExitCode = 0
}
process {
# File existence check
if ($Path -and -Not (Test-Path $Path -ErrorAction SilentlyContinue)) {
Write-Host "[Alert] $Path does not exist!"
Exit 1
}
else {
Write-Host "$Path exists!"
}
# Confirm we were given a filepath and not a directory
$File = Get-Item -Path $Path -ErrorAction SilentlyContinue
if ($File.PSIsContainer) {
Write-Host "[Error] Please provide a file path, not a directory."
Exit 1
}
# If given the files hash verify it matches
if ($Hash) {
$CurrentHash = Get-FileHash -Path $File.FullName -Algorithm $Algorithm | Select-Object -ExpandProperty Hash
Write-Host "Hash Given: $Hash"
Write-Host "Current Hash: $CurrentHash"
if ($Hash -notlike $CurrentHash) {
Write-Host "Hash mismatch!"
if($Alert -eq "Alert If Change"){
Write-Host "[Alert] File has been modified!"
$ExitCode = 1
}
}
else {
Write-Host "Hash matches!"
if($Alert -eq "Alert If No Change"){
Write-Host "[Alert] File has not been modified!"
$ExitCode = 1
}
}
}
# Get the current date and subtract the days, hours and minutes to compare with the file
$Cutoff = Get-Date
$CurrentDate = $Cutoff
if ($Days) { $Cutoff = $Cutoff.AddDays(-$Days) }
if ($Hours) { $Cutoff = $Cutoff.AddHours(-$Hours) }
if ($Minutes) { $Cutoff = $Cutoff.AddMinutes(-$Minutes) }
$TimeSpan = New-TimeSpan $Cutoff $CurrentDate
if (($Days -or $Hours -or $Minutes) -and ($Cutoff -ne $CurrentDate)) {
Write-Host "Checking if the file was modified in the last $($TimeSpan.ToString("dd' day(s) 'hh' hour(s) 'mm' minute(s)'"))"
Write-Host "File was last modified on $($File.LastWriteTime)."
if ($File.LastWriteTime -ge $Cutoff) {
Write-Host "File has been updated within the time period."
if($Alert -eq "Alert If Change"){
Write-Host "[Alert] File has been modified!"
$ExitCode = 1
}
}
else {
Write-Host "File has not been updated within the time period."
if($Alert -eq "Alert If No Change"){
Write-Host "[Alert] File has not been modified!"
$ExitCode = 1
}
}
}
Exit $ExitCode
}
end {
Analisi dettagliata
Questo script PowerShell è stato progettato per controllare la presenza di un file, verificare se è stato modificato entro un determinato periodo di tempo ed eseguire un controllo di hash per garantire l’integrità del file. Vediamo lo script passo dopo passo:
- Definizione dei parametri: Lo script inizia definendo i parametri, tra cui Avviso, Percorso, Hash, Algoritmo, Giorni, Ore e Minuti. Questi parametri consentono agli utenti di specificare il file da monitorare, l’hash previsto, l’algoritmo di hashing e l’intervallo di tempo per i controlli delle modifiche.
- Sostituzione della variabile d’ambiente: Lo script sostituisce dinamicamente i parametri con le variabili d’ambiente, se queste sono impostate. Questa flessibilità consente una facile integrazione con sistemi e script automatizzati.
- Controllo delle autorizzazioni dell’amministratore: Una funzione Test-IsElevated viene utilizzata per verificare se lo script è in esecuzione con privilegi di amministratore, assicurandosi che abbia i permessi necessari per accedere e monitorare i file specificati.
- Convalida dell’algoritmo: Lo script controlla se l’algoritmo di hashing fornito è supportato. Gli algoritmi consentiti sono SHA1, SHA256, SHA384, SHA512 e MD5.
- Controllo della presenza e del tipo di file: Lo script verifica se il percorso specificato esiste e conferma che si tratta di un file e non di una directory.
- Verifica dell’hash: Se viene fornito un hash, lo script calcola l’hash corrente del file utilizzando l’algoritmo specificato e lo confronta con l’hash indicato. Avverte quindi se c’è una mancata corrispondenza o se il file non è stato modificato in base al parametro Avviso.
- Controllo del tempo della modifica: Lo script calcola l’ora di chiusura in base ai parametri Giorni, Ore e Minuti forniti. Quindi confronta l’ora dell’ultima modifica del file con l’ora limite, emettendo un avviso se il file è stato o non è stato modificato entro l’intervallo di tempo specificato.
Casi d’uso potenziali
Immagina un professionista IT responsabile di mantenere la sicurezza e l’integrità dei file di configurazione sensibili su un server. Utilizzando questo script, è possibile impostare un controllo giornaliero per verificare se i file critici sono stati alterati. Ad esempio, si può usare lo script per monitorare un file di configurazione, assicurandosi che non sia stato modificato inaspettatamente. Se lo script rileva una modifica, emette un avviso, consentendo al professionista IT di indagare e prendere le misure appropriate.
Confronti
Rispetto ad altri metodi di monitoraggio delle modifiche ai file, come l’utilizzo di software di terze parti o controlli manuali, questo script PowerShell offre diversi vantaggi:
- Rapporto costo-efficacia: Essendo uno script PowerShell, elimina la necessità di costose soluzioni di terze parti.
- Personalizzazione: Gli utenti possono facilmente modificare lo script per adattarlo alle loro esigenze specifiche.
- Integrazione: Lo script può essere integrato nei flussi di lavoro e nei sistemi di automazione esistenti.
Domande frequenti
1) Come posso eseguire questo script?
Per eseguire lo script, salvalo come file .ps1 ed eseguilo in PowerShell con i parametri appropriati.
2) Questo script può monitorare più file contemporaneamente?
Lo script è progettato per monitorare un file alla volta. Tuttavia, se necessario, è possibile modificarlo per scorrere più file.
3) Cosa succede se non ho i privilegi di amministratore?
Lo script emette un avviso e alcuni file o cartelle potrebbero non essere accessibili senza i permessi necessari.
Implicazioni
L’uso di questo script per monitorare le modifiche ai file ha implicazioni significative per la sicurezza informatica. Garantisce che qualsiasi modifica non autorizzata venga rilevata tempestivamente, consentendo una risposta e una risoluzione rapide. Il monitoraggio regolare aiuta a mantenere l’integrità del sistema, garantisce la conformità alle policy di sicurezza e protegge da potenziali violazioni.
Raccomandazioni
- Controlli regolari: Pianifica controlli regolari per garantire il monitoraggio continuo dei file critici.
- Integrazione: Integra lo script negli strumenti di gestione e automazione IT esistenti per un funzionamento perfetto.
- Backup: Conserva sempre i backup dei file critici per ripristinarli in caso di modifiche non autorizzate.
Considerazioni finali
Il monitoraggio delle modifiche dei file è fondamentale per mantenere la sicurezza e l’integrità dell’IT. Questo script PowerShell offre una soluzione efficiente e personalizzabile per i professionisti IT e gli MSP. Integrando questo script nel tuo flusso di lavoro, potrai garantire un monitoraggio continuo e il rilevamento tempestivo di eventuali modifiche non autorizzate. Per soluzioni di gestione IT più complete, prendi in considerazione NinjaOne, una potente piattaforma progettata per migliorare le operazioni e la sicurezza IT.