Аудит процессов командной строки
Автор: Джастин Тернер, старший инженер по эскалации поддержки с группой Windows
Примечание.
Этот материал создан инженером службы поддержки клиентов Майкрософт и предназначен для опытных администраторов и архитекторов систем, которым нужны более глубокие технические сведения о функциях и решениях в Windows Server 2012 R2, а не обычная информация, доступная в статьях на сайте TechNet. Однако он не был отредактирован согласно требованиям сайта, поэтому некоторые формулировки могут быть не такими выверенными, как на станицах TechNet.
Обзор
Предварительно существующий идентификатор события аудита создания процесса 4688 теперь будет содержать сведения об аудите для процессов командной строки.
Он также регистрирует хэш SHA1/2 исполняемого файла в журнале событий Applocker.
- Журналы приложений и служб\Microsoft\Windows\AppLocker
Вы включаете через объект групповой политики, но он отключен по умолчанию
- "Включить командную строку в события создания процесса"
Рис. SEQ Рис. \* АРАБСКИЙ 16 Событие 4688
Просмотрите обновленный идентификатор события 4688 в REF _Ref366427278 \h рис. 16. До этого обновления ни одна из сведений о командной строке процесса не регистрируется. Из-за этого дополнительного ведения журнала теперь видно, что не только был запущен процесс wscript.exe, но и использовался для выполнения скрипта VB.
Настройка
Чтобы увидеть последствия этого обновления, необходимо включить два параметра политики.
Для просмотра идентификатора события 4688 необходимо включить аудит создания процесса аудита.
Чтобы включить политику создания процесса аудита, измените следующую групповую политику:
Расположение политики: Параметры > безопасности параметров безопасности параметров > > windows политик конфигурации > компьютера— подробное отслеживание конфигурации > расширенного аудита
Имя политики: создание процесса аудита
Поддерживается в: Windows 7 и более поздних версий
Описание и справка:
Этот параметр политики безопасности определяет, создает ли операционная система события аудита при создании (запуске) процесса и имени программы или пользователя, созданного им.
Эти события аудита помогают понять, как используется компьютер и отслеживать действия пользователей.
Том события: низкий и средний, в зависимости от использования системы
Значение по умолчанию: не настроено
Чтобы просмотреть дополнения к идентификатору события 4688, необходимо включить новый параметр политики: включить командную строку в события создания процесса
Параметр политики процесса командной строки для таблицы SEQ таблицы \* АРАБСКИЙ 19
| Настройки политики | Сведения |
|---|---|
| Путь | Административные шаблоны\Создание процесса "Системный\аудит" |
| Параметр | Включение командной строки в события создания процесса |
| Значение по умолчанию | Не настроено (не включено) |
| Поддерживается: | ? |
| Description | Этот параметр политики определяет, какие сведения регистрируются в событиях аудита безопасности при создании нового процесса. Этот параметр применяется только при включенной политике создания процессов аудита. Если включить этот параметр политики, сведения командной строки для каждого процесса будут регистрироваться в виде обычного текста в журнале событий безопасности в рамках события создания процесса аудита 4688 ("новый процесс создан") на всех рабочих станциях и серверах, где которых применяется этот параметр политики. Если этот параметр политики отключен или не настроен, сведения командной строки процесса не будут включены в события создания процесса аудита. Значение по умолчанию: не настроено Примечание. Если этот параметр политики включен, любой пользователь с доступом на чтение событий безопасности сможет считывать аргументы командной строки для любого успешно созданного процесса. Аргументы командной строки могут содержать конфиденциальную или закрытую информацию, например пароли или данные пользователя. |
При использовании параметров конфигурации расширенной политики аудита необходимо убедиться, что эти параметры не перезаписываются базовыми параметрами политики аудита. Событие 4719 регистрируется при перезаписи параметров.
В описанной ниже процедуре показано, как можно предотвратить конфликты путем блокирования применения любых параметров базовой политики аудита.
Чтобы убедиться, что параметры конфигурации расширенной политики аудита не перезаписываются
Откройте консоль управления групповыми политиками
Щелкните правой кнопкой мыши политику домена по умолчанию и выберите пункт "Изменить".
Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Политики, а затем дважды щелкните Параметры Windows.
Дважды щелкните параметры безопасности, дважды щелкните "Локальные политики" и выберите пункт "Параметры безопасности".
Дважды щелкните "Аудит" — принудительное изменение параметров подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита, а затем выберите этот параметр политики.
Выберите Включено, а затем нажмите кнопку ОК.
Дополнительные ресурсы
Пошаговое руководство по политике расширенного аудита безопасности
AppLocker: часто задаваемые вопросы
Попробуйте сделать следующее: изучение аудита процесса командной строки
Включить события создания процесса аудита и убедиться, что конфигурация политики предварительного аудита не перезаписана
Создайте скрипт, который создает некоторые интересующие события и выполняет скрипт. Наблюдайте за событиями. Скрипт, используемый для создания события в занятии, выглядел следующим образом:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QВключение аудита процесса командной строки
Выполнение того же скрипта, что и раньше, и наблюдение за событиями