Audit proses baris perintah
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Penulis: Justin Turner, Teknisi Eskalasi Dukungan Senior dengan grup Windows
Catatan
Konten ini ditulis oleh teknisi dukungan pelanggan Microsoft, dan ditujukan untuk administrator berpengalaman dan arsitek sistem yang mencari penjelasan teknis yang lebih dalam tentang fitur dan solusi di Windows Server 2012 R2 daripada topik di TechNet biasanya disediakan. Namun, itu belum mengalami lolos pengeditan yang sama, sehingga beberapa bahasa mungkin tampak kurang dipoles daripada apa yang biasanya ditemukan di TechNet.
Gambaran Umum
PERISTIWA audit pembuatan proses yang sudah ada sebelumnya ID peristiwa 4688 sekarang akan menyertakan informasi audit untuk proses baris perintah.
Ini juga akan mencatat hash SHA1/2 dari yang dapat dieksekusi di log peristiwa Applocker
- Log Aplikasi dan Layanan\Microsoft\Windows\AppLocker
Anda mengaktifkan melalui GPO, tetapi dinonaktifkan secara default
- "Sertakan baris perintah dalam peristiwa pembuatan proses"
Gambar SEQ Gambar \* ArabIC 16 Event 4688
Tinjau ID peristiwa yang diperbarui 4688 di REF _Ref366427278 \h Gambar 16. Sebelum pembaruan ini, tidak ada informasi untuk Baris Perintah Proses yang dicatat. Karena pengelogan tambahan ini kita sekarang dapat melihat bahwa tidak hanya proses wscript.exe yang dimulai, tetapi juga digunakan untuk menjalankan skrip VB.
Konfigurasi
Untuk melihat efek pembaruan ini, Anda harus mengaktifkan dua pengaturan kebijakan.
Anda harus mengaktifkan audit Pembuatan Proses Audit untuk melihat ID peristiwa 4688.
Untuk mengaktifkan kebijakan Pembuatan Proses Audit, edit kebijakan grup berikut:
Lokasi kebijakan: Kebijakan > Konfigurasi > Komputer Windows Pengaturan > Keamanan Pengaturan > Pelacakan Terperinci Konfigurasi > Audit Tingkat Lanjut
Nama Kebijakan: Pembuatan Proses Audit
Didukung pada: Windows 7 ke atas
Deskripsi/Bantuan:
Pengaturan kebijakan keamanan ini menentukan apakah sistem operasi menghasilkan peristiwa audit saat proses dibuat (dimulai) dan nama program atau pengguna yang membuatnya.
Peristiwa audit ini dapat membantu Anda memahami bagaimana komputer digunakan dan untuk melacak aktivitas pengguna.
Volume peristiwa: Rendah hingga sedang, tergantung pada penggunaan sistem
Default: Tidak dikonfigurasi
Untuk melihat penambahan ke ID peristiwa 4688, Anda harus mengaktifkan pengaturan kebijakan baru: Menyertakan baris perintah dalam peristiwa pembuatan proses
Tabel SEQ Tabel \* Pengaturan kebijakan proses baris perintah ARABIC 19
| Konfigurasi Kebijakan | Detail |
|---|---|
| Jalur | Templat Administratif\Sistem\Pembuatan Proses Audit |
| Pengaturan | Sertakan baris perintah dalam peristiwa pembuatan proses |
| Pengaturan default | Tidak Dikonfigurasi (tidak diaktifkan) |
| Didukung pada: | ? |
| Deskripsi | Pengaturan kebijakan ini menentukan informasi apa yang dicatat dalam peristiwa audit keamanan ketika proses baru telah dibuat. Pengaturan ini hanya berlaku ketika kebijakan Pembuatan Proses Audit diaktifkan. Jika Anda mengaktifkan kebijakan ini mengatur informasi baris perintah untuk setiap proses akan dicatat dalam teks biasa dalam log peristiwa keamanan sebagai bagian dari peristiwa Pembuatan Proses Audit 4688, "proses baru telah dibuat," pada stasiun kerja dan server tempat pengaturan kebijakan ini diterapkan. Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, informasi baris perintah proses tidak akan disertakan dalam peristiwa Pembuatan Proses Audit. Default: Tidak dikonfigurasi Catatan: Ketika pengaturan kebijakan ini diaktifkan, setiap pengguna dengan akses untuk membaca peristiwa keamanan akan dapat membaca argumen baris perintah untuk setiap proses yang berhasil dibuat. Argumen baris perintah dapat berisi informasi sensitif atau pribadi seperti kata sandi atau data pengguna. |
Saat Anda menggunakan pengaturan Konfigurasi Kebijakan Audit Tingkat Lanjut, Anda perlu mengonfirmasi bahwa pengaturan ini tidak ditimpa oleh pengaturan kebijakan audit dasar. Peristiwa 4719 dicatat saat pengaturan ditimpa.
Prosedur berikut menunjukkan cara mencegah konflik dengan memblokir penerapan pengaturan kebijakan audit dasar apa pun.
Untuk memastikan bahwa pengaturan Konfigurasi Kebijakan Audit Tingkat Lanjut tidak ditimpa
Buka konsol Manajemen Kebijakan Grup
Klik kanan Kebijakan Domain Default, lalu pilih Edit.
Klik dua kali Konfigurasi Komputer, klik dua kali Kebijakan, lalu klik dua kali Windows Pengaturan.
Klik dua kali Pengaturan Keamanan, klik dua kali Kebijakan Lokal, lalu pilih Opsi Keamanan.
Klik ganda Audit: Paksa pengaturan subkategori kebijakan audit (Windows Vista atau yang lebih baru) untuk mengambil alih pengaturan kategori kebijakan audit, lalu pilih Tentukan pengaturan kebijakan ini.
Pilih Diaktifkan, lalu pilih OK.
Sumber Daya Tambahan
Panduan Langkah demi Langkah Kebijakan Audit Keamanan Tingkat Lanjut
AppLocker: Pertanyaan yang Sering Diajukan
Coba Ini: Menjelajahi audit proses baris perintah
Aktifkan peristiwa Pembuatan Proses Audit dan pastikan konfigurasi Kebijakan Audit Lanjutan tidak ditimpa
Buat skrip yang menghasilkan beberapa peristiwa menarik dan jalankan skrip. Amati peristiwa. Skrip yang digunakan untuk menghasilkan peristiwa dalam pelajaran terlihat seperti ini:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QMengaktifkan audit proses baris perintah
Jalankan skrip yang sama seperti sebelumnya dan amati peristiwa
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk