Compartir a través de


Auditoría de proceso de línea de comandos

Autor: Justin Turner, ingeniero sénior de escalación de soporte técnico con el grupo de Windows

Nota

Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.

Información general

  • El identificador de evento de auditoría de creación de procesos preexistente 4688 ahora incluirá información de auditoría de los procesos de la línea de comandos.

  • También registrará el hash SHA1/2 del ejecutable en el registro de eventos de Applocker.

    • Registros de aplicaciones y servicios\Microsoft\Windows\AppLocker
  • Se habilita mediante GPO, pero está deshabilitado de forma predeterminada

    • "Incluir línea de comandos en eventos de creación de procesos"

Captura de pantalla que resalta la línea de comandos de proceso.

Figure SEQ Figure \* ARABIC 16 Event 4688

Revise el identificador de evento actualizado 4688 en REF _Ref366427278 \h Figura 16. Antes de esta actualización, no se registraba ninguna de las informaciones de la línea de comandos de proceso. Debido a este registro adicional, ahora podemos ver que no solo se inició el proceso de wscript.exe, sino que también se usó para ejecutar un script de VB.

Configuración

Para ver los efectos de esta actualización, tendrá que habilitar dos valores de la directiva.

Debe tener habilitada la auditoría de creación de procesos de auditoría para ver el identificador de evento 4688.

Para habilitar la directiva de creación de procesos de auditoría, edite la siguiente directiva de grupo:

Ubicación de directiva: Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de auditoría > Seguimiento detallado

Nombre de la directiva: Creación de procesos de auditoría

Se admite en: Windows 7 y versiones posteriores

Descripción/Ayuda:

Esta configuración de directiva de seguridad determina si el sistema operativo genera eventos de auditoría cuando se crea un proceso (se inicia) y el nombre del programa o usuario que lo creó.

Estos eventos de auditoría pueden ayudarle a realizar un seguimiento de la actividad del usuario y comprender cómo se utiliza un equipo.

Volumen de eventos: bajo a medio, según del uso del sistema

Valor predeterminado: No configurado

Para ver las adiciones al identificador de evento 4688, debe habilitar la nueva configuración de directiva: Incluir línea de comandos en eventos de creación de procesos

Tabla SEQ Tabla \* ÁRABE 19 Configuración de directiva de proceso de línea de comandos

Configuración de directivas Detalles
Ruta de acceso Plantillas administrativas\Sistema\Auditar creación de procesos
Configuración Incluir línea de comandos en eventos de creación de procesos
Configuración predeterminada No configurado (no habilitado)
Compatible con: ?
Descripción Esta configuración de directiva determina la información que se registra en los eventos de auditoría de seguridad cuando se crea un nuevo proceso.

Esta configuración solo se aplica cuando la directiva de creación de procesos de auditoría está habilitada. Si habilita esta configuración de directiva, la información de la línea de comandos de cada proceso se registrará en texto sin formato en el registro de eventos de seguridad como parte del evento de creación de procesos de auditoría 4688, "se ha creado un nuevo proceso", en las estaciones de trabajo y los servidores en los que se ha aplicado esta configuración de directiva.

Si deshabilita este valor de la directiva, o no lo configura, la información de línea de comandos del proceso no se incluirá en los eventos de creación de procesos de auditoría.

Valor predeterminado: no configurado

Nota: Si esta configuración de directiva está habilitada, cualquier usuario con acceso para leer los eventos de seguridad podrá leer los argumentos de la línea de comandos de cualquier proceso creado correctamente. Los argumentos de la línea de comandos pueden contener información confidencial o privada, como contraseñas o datos de usuario.

Captura de pantalla que muestra

Si usa los valores de Configuración de directiva de auditoría avanzada, deberá confirmar que no los sobrescribe la directiva de auditoría básica. El evento 4719 se registra cuando se sobrescribe la configuración.

Captura de pantalla que muestra el cuadro de diálogo Incluir línea de comandos en eventos de creación de procesos.

En el procedimiento siguiente se muestra cómo evitar conflictos bloqueando la aplicación de cualquier configuración de directiva de auditoría básica.

Para asegurarse de que no se sobrescriben los valores de Configuración de directiva de auditoría avanzada

auditoría de línea de comandos

  1. Abra la consola de administración de directivas de grupo.

  2. Haga clic con el botón derecho en Directiva predeterminada de dominio y seleccione Editar.

  3. Haga doble clic en Configuración del equipo, haga doble clic en Directivasy, a continuación, haga doble clic en Configuración de Windows.

  4. Haga doble clic en Configuración de seguridad, luego en Directivas locales y, finalmente, seleccione Opciones de seguridad.

  5. Haga doble clic en Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría y, después, seleccione Definir esta configuración de directiva.

  6. Selecciona Habilitado y después selecciona Aceptar.

Recursos adicionales

Auditar creación de procesos

Guía paso a paso de la directiva de auditoría de seguridad avanzada

AppLocker: Preguntas más frecuentes

Pruebe esto: Exploración de la auditoría de procesos de línea de comandos

  1. Habilite los eventos de Auditar creación de procesos y asegúrese de que no se sobrescribe la configuración de la directiva de auditoría avanzada

  2. Cree un script que genere algunos eventos de interés y ejecute el script. Observe los eventos. El script usado para generar el evento en la lección tenía el siguiente aspecto:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
    copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
    start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
    del c:\systemfiles\temp\*.* /Q
    
  3. Habilitar auditoría de procesos de línea de comandos

  4. Ejecute el mismo script que antes y observe los eventos.