Controllo dell'elaborazione della riga di comando
Autore: Justin Turner, Senior Support Escalation Engineer del gruppo Windows
Nota
Questo contenuto è stato redatto da un ingegnere del Supporto tecnico Microsoft ed è destinato ad amministratori esperti e architetti di sistemi che desiderano una spiegazione tecnica delle funzionalità e delle soluzioni relative a Windows Server 2012 R2 più approfondita rispetto agli argomenti solitamente disponibili su TechNet. Non è stato tuttavia sottoposto agli stessi passaggi redazionali e, di conseguenza, per alcune lingue potrebbe essere meno accurato della documentazione che si trova in genere su TechNet.
Panoramica
L'evento di controllo Creazione 4688 ID processo preesistenti ora includerà informazioni di controllo per i processi di riga di comando.
Hash SHA1/2 del file eseguibile verrà inoltre registrato nel registro eventi di Applocker
- Applicazioni e servizi\microsoft\windows\applocker
Si abilita tramite oggetto Criteri di gruppo, ma è disabilitato per impostazione predefinita
- "Includi riga di comando di elaborare gli eventi di creazione"
Figura SEQ \* Evento ARABIC 16 4688
Esaminare l'evento ID 4688 aggiornato in REF _Ref366427278 \h figura 16. Prima di questa aggiornare nessuna delle informazioni per riga di comando processo viene registrato. A causa di questa registrazione aggiuntiva ora noteremo che è stato avviato il processo wscript.exe non solo, ma che è stato inoltre utilizzato per eseguire uno script VB.
Configurazione
Per osservare gli effetti di questo aggiornamento, è necessario abilitare due impostazioni dei criteri.
È necessario che il controllo è attivato per verificare l'evento ID 4688 la creazione del processo di controllo.
Per abilitare i criteri di creazione del processo di controllo, modificare i criteri di gruppo seguente:
Percorso criterio: Configurazione Computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Configurazione avanzata di controllo > Analisi dettagliata
Nome del criterio: la creazione del processo di controllo
Supportato in: Windows 7 e versioni successive
Descrizione/Guida:
Questa impostazione di criteri di protezione determina se il sistema operativo genera eventi di controllo quando viene creato un processo (inizio) e il nome del programma o dell'utente che l'ha creata.
Questi eventi di controllo consente di comprendere come viene utilizzato un computer e tenere traccia delle attività dell'utente.
Volume di eventi: bassa a supporto, a seconda dell'utilizzo del sistema
Valore predefinito: non configurato
Per visualizzare le aggiunte all'evento 4688 ID, è necessario abilitare la nuova impostazione di criteri: includono una riga di comando di elaborare gli eventi di creazione
Tabella SEQ tabella \* Impostazioni criteri processo riga di comando ARABIC 19
| Configurazione dei criteri | Dettagli |
|---|---|
| Percorso | Creazione di processi amministrativi Templates\System\Audit |
| Impostazione | Includere la riga di comando negli eventi di creazione del processo |
| Impostazione predefinita | Non configurata (non abilitata) |
| Supportato in: | ? |
| Descrizione | Questa impostazione di criterio determina quali informazioni vengono registrate negli eventi di controllo di sicurezza quando viene creato un nuovo processo. Questa impostazione si applica solo quando il criterio di creazione del processo di controllo è abilitato. Se si abilita questa impostazione di criteri, che le informazioni della riga di comando per ogni processo verranno registrate in testo normale nel registro eventi di protezione come parte dell'evento di creazione del processo di controllo 4688, "un nuovo processo creato," sulla workstation e server in cui viene applicata questa impostazione di criteri. Se si disabilita o non si configura questa impostazione del criterio, le informazioni sul processo della riga di comando non verranno incluse negli eventi di creazione del processo di controllo. Valore predefinito: Non configurato Nota: Quando questa impostazione di criterio è abilitata, qualsiasi utente con accesso per leggere che gli eventi di sicurezza sarà in grado di leggere gli argomenti della riga di comando per qualsiasi correttamente creato processo. Argomenti della riga di comando possono contenere informazioni riservate o private, ad esempio password o dati utente. |
Quando si utilizzano le impostazioni di Configurazione avanzata dei criteri di controllo, è necessario confermare che tali impostazioni non vengano sovrascritte dalle impostazioni di base dei criteri di controllo. Evento 4719 viene registrato quando le impostazioni vengono sovrascritte.
La procedura seguente illustra come evitare conflitti, bloccando l'applicazione di eventuali impostazioni di base dei criteri di controllo.
Per verificare che le impostazioni di Configurazione avanzata dei criteri di controllo non vengano sovrascritte
Aprire la console Gestione criteri di gruppo
Fare clic con il pulsante destro del mouse su Criterio dominio predefinito, quindi scegliere Modifica.
Fare doppio clic su configurazione Computer, fare doppio clic su criteri e quindi fare doppio clic su impostazioni di Windows.
Fare doppio clic su Impostazioni sicurezza, fare doppio clic su Criteri locali, quindi selezionare Opzioni di sicurezza.
Fare doppio clic su Controllo: Forza impostazioni sottocategoria criteri di controllo (Windows Vista o versioni successive) per eseguire l'override delle impostazioni della categoria dei criteri di controllo e quindi fare clic su Definisci impostazione di questo criterio.
Seleziona Abilitato e quindi fai clic su OK.
Risorse aggiuntive
Creazione processo di controllo
Guida dettagliata ai criteri avanzati di controllo della sicurezza
Procedura: Esplorare controllo dell'elaborazione della riga di comando
Abilitare gli eventi di Creazione del processo di controllo e verificare che la configurazione di Criteri di controllo avanzati non venga sovrascritta
Creare uno script che generi alcuni eventi di interesse ed eseguire lo script. Osservare gli eventi. Lo script utilizzato per generare l'evento nella lezione simile al seguente:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QAbilitare il controllo dell'elaborazione della riga di comando
Eseguire lo stesso script e osservare gli eventi