コマンド ライン プロセスの監査

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

作成者: Justin Turner、Windows グループ、シニア サポート エスカレーション エンジニア、

Note

この内容は Microsoft カスタマー サポート エンジニアによって作成され、TechNet が通常提供しているトピックよりも詳細な Windows Server 2012 R2 の機能やソリューションの技術的説明を求めている、経験豊かな管理者とシステム設計者を対象としています。 ただし、TechNet と同様の編集過程は実施されていないため、言語によっては通常より洗練されていない文章が見られる場合があります。

概要

  • 既存のプロセス作成監査イベント ID 4688 に、コマンド ライン プロセスの監査情報が追加されるようになりました。

  • また、Applocker イベント ログに実行可能ファイルの SHA1/2 ハッシュが記録されるようになります。

    • アプリケーションとサービス ログ\Microsoft\Windows\AppLocker

  • GPO を介して有効にしますが、既定では無効になっています

    • "プロセス作成イベントにコマンド ラインを含める"

Screenshot that highlights the Process Command Line.

図 SEQ Figure \* ARABIC 16 イベント 4688

REF _Ref366427278 \h 図 16 で、更新されたイベント ID 4688 を確認します。 この更新の前に、プロセス コマンド ラインの情報はログに記録されていません。 この追加ログにより、wscript.exe プロセスが開始されただけでなく、これを使用して VB スクリプトが実行されたこともわかりました。

構成

この更新の影響を確認するには、2 つのポリシー設定を有効にする必要があります。

イベント ID 4688 を表示するには、プロセス作成の監査を有効にしておく必要があります。

プロセス作成の監査ポリシーを有効にするには、次のグループ ポリシーを編集します。

ポリシーの場所: [コンピューター構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [監査の詳細な構成] > [詳細追跡]

ポリシー名: プロセス作成の監査

サポート対象: Windows 7 以上

説明/ヘルプ:

このセキュリティ ポリシー設定によって、プロセスが作成 (開始) されるときにオペレーティング システムが監査イベントを生成するかどうか、またそのプロセスを作成するプログラムまたはユーザーの名前が決まります。

これらの監査イベントは、コンピューターの使用状況を把握し、ユーザー アクティビティを追跡するのに役立ちます。

イベント ボリューム: システムの使用状況に応じて、低から中

既定値: 未構成

イベント ID 4688 への追加を確認するには、新しいポリシー設定 [プロセス作成イベントにコマンド ラインを含める] を有効にする必要があります。

表 SEQ Table \* ARABIC 19 コマンド ライン プロセス ポリシーの設定

ポリシーの構成 詳細
パス 管理用テンプレート\システム\プロセス作成の監査
設定 プロセス作成イベントにコマンド ラインを含める
既定の設定 未構成 (無効)
以下でサポートされています。 ?
説明 このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。

この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。 このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。

このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。

既定: 構成されていません

注: このポリシー設定を有効にすると、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができるようになります。 コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。

Screenshot that shows

[監査ポリシーの詳細な構成] 設定を使用する場合は、これらの設定が基本の監査ポリシーの設定によって上書きされていないことを確認する必要があります。 設定が上書きされた場合は、イベント 4719 がログに記録されます。

Screenshot that shows the Include command line in process creation events dialog box.

すべての基本の監査ポリシーの設定からアプリケーションをブロックして競合を防ぐ方法を、次の手順に示します。

監査ポリシーの詳細な構成の設定が上書きされていないことを確認するには

command-line auditing

  1. グループ ポリシー管理コンソールを起動します。

  2. [既定のドメイン ポリシー] を右クリックし、[編集] を選択します。

  3. [コンピューターの構成]、 [ポリシー]、 [Windows の設定]の順にダブルクリックします。

  4. [セキュリティの設定] をダブルクリックし、[ローカル ポリシー] をダブルクリックした後に、[セキュリティ オプション] を選択します。

  5. [監査: 監査ポリシー サブカテゴリ設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定をオーバーライドする] をダブルクリックし、[このポリシーの設定を定義する] を選択します。

  6. [有効] を選択し、 [OK] を選択します。

その他のリソース

プロセス作成の監査

セキュリティ監査ポリシーのステップ バイ ステップ ガイドの詳細

AppLocker: よく寄せられる質問

実践: コマンド ライン プロセスの監査を確認する

  1. [プロセス作成の監査] イベントを有効にして、高度な監査ポリシーの構成が上書きされないようにします

  2. 関連するイベントをいくつか生成するスクリプトを作成し、そのスクリプトを実行します。 イベントを観察します。 レッスンでは、イベントを生成するために次のようなスクリプトを使用しました。

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
del c:\systemfiles\temp\*.* /Q

  3. コマンド ライン プロセスの監査を有効にします。

  4. 前出のスクリプトを実行し、イベントを観察します。