Перехват командной строки

С версии 5.5 доступен перехват командной строки, в том числе связанные с выполнением команд от имени других пользователей или повышением привилегий.

Включение перехвата

По умолчанию перехват командной строки отключен.

Чтобы включить перехват:

  1. Перейдите Панель управленияКонфигурации компьютераваша конфигурацияКлавиатура и буфер обмена.

  2. Активируйте выключатели Контроль ввода команд.

  3. Сохраните изменения.

Просмотр событий

После включения перехвата агент создаёт событие Терминал ввода команд:

  • при выполнении команды,

  • запуске скрипта в командной строке.

Чтобы посмотреть события:

  1. Выберите во вкладке Конструктор тип события Терминал ввода команд.

  2. Опционально. Выберите агента, пользователя, приложение для фильтрации событий.

  3. Готово. События отобразятся в правой части экрана в Линзе событий.

В событии записываются:

  • команда;

  • результат выполнения команды;

  • имя компьютера;

  • пользователь;

  • приложение;

  • локальное время.

Команда отображается в поле Событие.

../../_images/command_capture_1.png

Пример: перехват команды от имени другого пользователя

Пользователь может запустить команду от имени другого пользователя с помощью:

  • PsExec — утилиты из Sysinternals для удаленного запуска команд с правами другой учётной записи,

  • runas — встроенной команды Windows для запуска программ с правами другой учётной записи.

Агент перехватит обе команды и создаст событие о запуске команды с указанием имени пользователя, который инициировал выполнение. Для PsExec будет указано имя исполняемого файла psexec.exe, для runas — отображена встроенная команда runas.