Enable Powershell Auditing
Zur Überwachung der Powershell-Nutzung können wir das Auditing (Transkription) mit Hilfe einer Gruppenrichtlinie aktivieren.
Alle Anwendungen die das Powershell-Modul einsetzen, wie z.B. Windows Powershell, Windows Powershell ISE oder Drittanwendungen werden auditiert.
Dazu erstellen wir ein neues GPO und navigieren zu
Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows-Komponenten \ Windows PowerShell
Geben den Ausgabepfad an und aktivieren den Header um auch die Zeitstempel zu erfassen.
Öffnen die Powershell und aktivieren und deaktivieren das SMRemoting.
Innerhalb der Freigabe wird ein Ordner mit aktuellen Datum erzeugt und die Logs abgelegt.
Öffnen das Log und alle unsere Aktionen wurden protokolliert.
https://www.der-windows-papst.de/2019/03/31/server-manager-remoting-smremoting/