legitimidade das tarefas no agendador de tarefas

1

Existe uma maneira de saber a origem e a legitimidade das tarefas no agendador de tarefas no Windows Server 2008 e 2003? Posso verificar se a tarefa foi adicionada pela Microsoft (por exemplo: do sccm) ou por um aplicativo de terceiros?

Para cada tarefa no agendador de tarefas, desejo verificar se a tarefa não foi criada por um aplicativo de terceiros. Eu só quero permitir padrões Microsoft Tasks e desabilitar todas as outras tarefas não relacionadas a padrões.

Eu criei um script do PowerShell que passa por todos os arquivos xml no diretório C: \ Windows \ System32 \ Tasks e consegui ler todos os arquivos de tarefas xml com êxito, mas estou preso em como validar as tarefas.

Aqui está o script para sua referência:

Function TaskSniper()
{
   #Getting all the fils in the Tasks folder
   $files = Get-ChildItem "C:\Windows\System32\Tasks" -Recurse | Where-Object {!$_.PSIsContainer};
   [Xml] $StandardXmlFile = Get-Content "Edit Me";

   foreach($file in $files)
   {
       #constructing the file path
       $path = $file.DirectoryName + "\" + $file.Name 

       #reading the file as an XML doc
       [Xml] $xmlFile = Get-Content $path


       #DS SEE: http://social.technet.microsoft.com/Forums/en-US/w7itprogeneral/thread/caa8422f-6397-4510-ba6e-e28f2d2ee0d2/
       #(get-authenticodesignature C:\Windows\System32\appidpolicyconverter.exe).status -eq "valid"

       #Display something
       $xmlFile.Task.Settings.Hidden

   }

}
    
por Eyad 06.10.2012 / 10:47

1 resposta

0

Legitimidade parece vaga.

Se por fonte você está se referindo ao Autor, que está disponível no nó Principals:

$xmlFile.Task.Principals.ChildNodes

id                                      GroupId                                 RunLevel
--                                      -------                                 --------
Author                                  S-1-5-32-545                            LeastPrivilege

Uma abordagem alternativa pode ser auditar quando e quem cria uma tarefa agendada. Hera são os IDs do evento de segurança para o Windows 2008 R2:

4698    A scheduled task was created.
4700    A scheduled task was enabled.
4702    A scheduled task was updated.
    
por 06.10.2012 / 15:31