バッチファイルの関連付けはセキュリティ上よくない

Question

© ウィンドウズスクリプトプログラマ - Windows Script Programmer 2020

---

バッチファイルを起動すると、

タイトルバーは

c:\windows\system32\cmd.exe

これだけ。

コンソールウィンドウ内も空。

バッチがすぐ終了するとウィンドウもすぐ消える。

何を実行したのかまるで不明。

それは関連付けが悪い。

%SystemRoot%\System32\cmd.exe /K ""%1" %*"

に変える。

タイトルバーは

c:\windows\system32\cmd.exe - バッチファイルパス名

バッチがすぐ終了してもウィンドウは消えない。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\batfile\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,6d,00,\

  64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,4b,00,20,00,22,00,22,00,25,00,31,\

  00,22,00,20,00,25,00,2a,00,22,00,00,00

[HKEY_CURRENT_USER\Software\Classes\cmdfile\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,6d,00,\

  64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,4b,00,20,00,22,00,22,00,25,00,31,\

  00,22,00,20,00,25,00,2a,00,22,00,00,00

Answer 1

© ウィンドウズスクリプトプログラマ - Windows Script Programmer 2020

---

既定では、cmd.exeが出るだけで、バッチファイルパス名は出ない。なので役立たず。

4688 (S) 新しいプロセスが作成されました。

プロセス コマンド ライン [バージョン 1, 2] [Type = UnicodeString]: 実行可能なファイル名と渡された引数が含まれます。Process Command Line [Version 1, 2] [Type = UnicodeString]: contains the name of executable and arguments which were passed to it. プロセス作成イベントにコマンド ラインを含めるには、"管理用テンプレート\システム\監査プロセスの作成\プロセス作成イベントにコマンドラインを含める" というグループ ポリシーを有効にする必要があります。

Answer 2

そんなに気になるなら[プロセス追跡の監査のプロパティ]も設定しておいた方がいいよ。ローカルセキュリティ設定の「セキュリティの設定」→「ローカルポリシー」→「監査ポリシー」を開き、「プロセス追跡の監査」の成功および失敗を監査するように設定する。

Answer 3

© ウィンドウズスクリプトプログラマ - Windows Script Programmer 2020

---

タイトルバーは

c:\windows\system32\cmd.exe - バッチファイルパス名

バッチがすぐ終了してもウィンドウは消えない。

けれど、タイトルバーは

c:\windows\system32\cmd.exe

になって、バッチファイル名が不明になる。

そこで、

echo %cmdcmdline%

でコマンドラインが分かる。