파워쉘 설치 방법 & 보안 감사실패 4625

[동우]

Get-Command Get-AuditPolicy
파워쉘 명령어가 있는지 확인 방법

---

setx /m __PSLockDownPolicy 0
setx /m __PSLockDownPolicy 4

PowerShell에는 기본 제공 cmdlet 외에도 추가적인 cmdlet 및 기능을 제공하는 모듈이 있습니다. 이러한 모듈을 사용하려면 해당 모듈을 설치해야 합니다.

예를 들어, Get-AuditPolicy cmdlet은 "Microsoft.PowerShell.Security" 모듈에 포함되어 있습니다. 따라서 해당 모듈을 설치하면 이 cmdlet을 사용할 수 있습니다.

다음은 PowerShell Gallery에서 모듈을 검색하고 설치하는 방법입니다.

PowerShell을 엽니다.

다음 명령어를 실행하여 PowerShell Gallery를 등록합니다.

arduino
Copy code
Register-PSRepository -Name "PSGallery" -SourceLocation "https://www.powershellgallery.com/api/v2/" -InstallationPolicy Trusted
검색하려는 모듈의 이름을 사용하여 PowerShell Gallery에서 모듈을 검색합니다. 예를 들어, "Microsoft.PowerShell.Security" 모듈을 검색하려면 다음 명령어를 실행합니다.
sql
Copy code
Find-Module -Name Microsoft.PowerShell.Security
해당 모듈을 설치합니다. 예를 들어, "Microsoft.PowerShell.Security" 모듈을 설치하려면 다음 명령어를 실행합니다.
sql
Copy code

안되면 보안 해제 하고 설치 한다 
Set-ExecutionPolicy Unrestricted
Get-ExecutionPolicy

Install-Module -Name Microsoft.PowerShell.Security
설치가 완료되면 해당 모듈의 모든 cmdlet을 사용할 수 있습니다.

Set-ExecutionPolicy Restricted
Get-ExecutionPolicy

---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging
Enabled
값 0 : SChannel 이벤트 로깅이 비활성화됩니다.
값 1 : SChannel 이벤트 로깅이 활성화되며, 경고 이상의 모든 이벤트가 기록됩니다.
값 3 : SChannel 이벤트 로깅이 활성화되며, 세부 정보 수준의 모든 이벤트가 기록됩니다.

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging" /v "Enabled" /t REG_DWORD /d 3 /f

[동우]

gpedit.msc 로컬 컴퓨터 정책> 컴퓨터 구성> Windows 설정> 보안 설정> 고급 감사 정책 구성> 시스템 감사 정책-로컬 그룹 정책 개체> 로그온/로그오프/네트워크 정책 서버 감사

[동우]

Get-WinEvent -FilterHashTable @{LogName='Security';ID='4625'} | Format-List