Microsoft-Sicherheitsempfehlung 3004375

Update für die Windows-Befehlszeilenüberwachung

Veröffentlicht: 10. Februar 2015

Version: 1.0

Allgemeine Informationen

Kurzfassung

Microsoft kündigt die Verfügbarkeit eines Updates für unterstützte Editionen von Windows 7, Windows Server 2008R2, Windows 8 und Windows Server 2012 an, das die Richtlinie zum Erstellen von Überwachungsprozess um die Befehlsinformationen erweitert, die an jeden Prozess übergeben werden. Dies ist ein neues Feature, das wertvolle Informationen bereitstellt, mit denen Administratoren sicherheitsbezogene Probleme in ihren Netzwerken untersuchen, überwachen und beheben können. Beachten Sie, dass die unterstützten Editionen von Windows 8.1 und Windows Server 2012 R2 dieses Feature bereits unterstützen. Weitere Informationen und Downloadlinks für die manuelle Installation finden Sie im Microsoft Knowledge Base-Artikel 3004375.

Empfehlung: Weitere Informationen finden Sie im Abschnitt Vorgeschlagene Aktionen dieser Empfehlung.

Betroffene Software

In dieser Empfehlung wird die folgende Software erläutert.

Betroffene Software

Betriebssystem
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows Server 2012
Server Core-Installationsoption
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)

 

Häufig gestellte Fragen zur Beratung

Was ist der Umfang der Beratung?
Der Zweck dieser Empfehlung besteht darin, Kunden darüber zu informieren, dass ein Update für unterstützte Editionen von Windows 7, Windows Server 2008R2, Windows 8 und Windows Server 2012 verfügbar ist, die die Richtlinie zur Erstellung des Windows-Befehlszeilenüberwachungsprozesses um die Befehlsinformationen erweitert, die an jeden Prozess übergeben werden. Wenn dieses neue Feature aktiviert und konfiguriert ist, erstellt jedes Mal, wenn ein Prozess erstellt wird, ein Ereignisprotokoll und enthält die an diesen Prozess übergebenen Befehlszeileninformationen. Die Ereignisse werden in der vorhandenen Ereignis-ID 4688 protokolliert und im Windows-Sicherheit-Protokoll gespeichert. Die Überwachung dieser Ereignisse kann wertvolle Informationen bereitstellen, um Administratoren bei der Untersuchung und Behandlung von sicherheitsbezogenen Problemen zu unterstützen.

Gewusst wie dieses Update erhalten?
Die in dieser Empfehlung erläuterten Funktionen können Sie erhalten, indem Sie das 3004375 Update direkt installieren (siehe Microsoft Knowledge Base-Artikel 3004375). Beachten Sie, dass das Update auch mit den Updates gebündelt ist, die in MS15-011 (siehe Microsoft Knowledge Base-Artikel 3000483) und MS15-015 veröffentlicht werden (siehe Microsoft Knowledge Base-Artikel 3031432). Bei beiden Updates wird das 3004375 Update automatisch installiert.

Was ist die Richtlinie zur Erstellung des Überwachungsprozesses?
Die Richtlinie zur Erstellung des Überwachungsprozesses ist eine Sicherheitsüberwachungsrichtlinie, die bestimmt, ob das Betriebssystem beim Erstellen eines Prozesses ein Überwachungsereignis generiert oder nicht. Wenn diese Option aktiviert ist, wird ein Ereignisprotokoll mit der ID 4688 generiert und im Windows-Sicherheit Protokoll gespeichert. Da die Richtlinie standardmäßig deaktiviert ist, werden beim Erstellen von Prozessen keine Überwachungsereignisse protokolliert, es sei denn, die Richtlinie ist aktiviert. Darüber hinaus muss die Richtlinie zur Erstellung des Überwachungsprozesses aktiviert sein, damit das in dieser Sicherheitsempfehlung beschriebene erweiterte Befehlszeilenüberwachungsfeature funktioniert. Weitere Informationen zur Richtlinie zur Erstellung von Überwachungsprozess finden Sie unter Erstellung des Überwachungsprozesses.

Wie ändert dieses Update die Sicherheitsereignis-ID 4688?
Nach der Installation und Konfiguration dieses Sicherheitsupdates sehen Administratoren im Sicherheitsereignis 4688 ein neu hinzugefügtes Element namens Process Command Line, das den gesamten Befehl enthält, der für das betreffende Ereignis ausgeführt wurde.

Gewusst wie die Features konfigurieren, die mit diesem Update bereitgestellt werden?
Die Features, die mit diesem Update bereitgestellt werden, sind standardmäßig deaktiviert. Nach der Installation des Updates müssen Administratoren zunächst die Richtlinie Zum Erstellen von Überwachungsprozess aktivieren und dann das Feature für die erweiterte Protokollierung aktivieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3004375.

Warum ist das Update für unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 nicht verfügbar?
Das Sicherheitsupdate wird nicht für unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 bereitgestellt, da die in dieser Empfehlung beschriebenen neuen Features bereits in diesen Betriebssystemen vorhanden sind.

Vorgeschlagene Aktionen

• Anwenden des Updates für unterstützte Versionen von Microsoft Windows

  Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das 3004375 Update automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

  Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das 3004375 Update manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update mithilfe einer Updateverwaltungssoftware oder mithilfe des Microsoft Update-Diensts nach Updates suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 3004375. 

  Aktivieren der Richtlinie zur Erstellung des Überwachungsprozesses und Aktivieren der erweiterten Protokollierung

  Nach der Installation des Updates müssen Administratoren zunächst die Richtlinie Zum Erstellen von Überwachungsprozess aktivieren und dann das Feature für die erweiterte Protokollierung aktivieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3004375.

Zusätzliche vorgeschlagene Aktionen

• Schützen Des PCs

  Wir empfehlen Kunden weiterhin, unseren Leitfaden zum Schutz Ihres Computers zu befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Safety & Security Center.

• Microsoft-Software auf dem neuesten Stand halten

  Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, überprüfen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert und so konfiguriert haben, dass Updates für Microsoft-Produkte bereitgestellt werden, werden die Updates an Sie übermittelt, sobald sie veröffentlicht werden. Sie sollten jedoch überprüfen, ob sie installiert sind. 

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft vor jedem monatlichen Release von Sicherheitsupdates Sicherheitsinformationen für wichtige Sicherheitssoftwareanbieter bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden aktualisierten Schutz über ihre Sicherheitssoftware oder Geräte wie Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Eindringschutzsysteme bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie die von Programmpartnern bereitgestellten Websites für aktive Schutzmaßnahmen, die unter Mapp-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

• Sie können Feedback geben, indem Sie das Microsoft-Formular "Hilfe und Support" ausfüllen: Kundendienst Kontaktieren Sie uns.

Support

• Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
• Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter Internationaler Support.
• Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden "wie ben", ohne jegliche Gewährleistung jeglicher Art bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (10. Februar 2015): Empfehlung veröffentlicht.

Seite generiert am 03.02.2015 14:23Z-08:00.