Skupina doménových administrátorů je skupinou velmi privilegovaných a citlivých účtů, tito uživatelé jsou prakticky pány celé sítě. Z toho důvodu se případní útočníci po tom, co se dostanou do sítě snaží přidat do této skupiny, což jim otevře prakticky neomezenou moc legitimní cestou. V tomto článku ukáži jednu možnost, která dokáže legitimním správcům dát informaci o tom, že se někdo přidal do této skupiny. PowerShellový skript pošle email a jediné co je potřeba, aby tento skript byl spuštěn spolu s operačním systémem doménového řadiče.
$ref=(Get-ADGroupMember -Identity "Domain Admins").Name
Start-Sleep -Seconds 86398
$diff=(Get-ADGroupMember -Identity "Domain Admins").Name
$date=Get-Date -Format F
$result=(Compare-Object -ReferenceObject $ref -DifferenceObject $diff | Where-Object {$_.SideIndicator -eq "=>"} | Select-Object -ExpandProperty InputObject) -join ", "
#nastaveni prihlaseni k smtp serveru
$login = #dopln
$password = #dopln
$server = “smtp.office365.com” #smtp pro exchange online
$Port = 587
If ($result)
{
$Predmet = "Admin Membership Changes | $result was added to the Group"
$telo = "This alert was generated at $date"
$From = #dopln
$To = #dopln
$SMTPMessage = New-Object System.Net.Mail.MailMessage($From,$To,$Predmet,$telo)
$SMTPmessage.IsBodyHTML = $false
$SMTPClient = New-Object Net.Mail.SmtpClient($server, $Port)
$SMTPClient.Credentials = New-Object System.Net.NetworkCredential($login, $password)
$SMTPClient.EnableSsl = $true
$SMTPClient.Send($SMTPMessage)
}