Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Autor: Justin Turner, starszy inżynier eskalacji wsparcia technicznego w zespole Windows
Uwaga / Notatka
Ta zawartość jest napisana przez inżyniera pomocy technicznej klienta firmy Microsoft i jest przeznaczona dla doświadczonych administratorów i architektów systemów, którzy szukają bardziej szczegółowych wyjaśnień technicznych funkcji i rozwiązań w systemie Windows Server 2012 R2 niż tematy w witrynie TechNet zwykle udostępniają. Jednak nie przeszedł tej samej edycji przechodzi, więc niektóre z języków mogą wydawać się mniej dopracowane niż to, co zwykle znajduje się w TechNet.
Przegląd
Wcześniej istniejące zdarzenie inspekcji tworzenia procesu o identyfikatorze 4688 będzie teraz obejmować dane dotyczące inspekcji dla procesów wiersza polecenia.
Będzie również rejestrować skrót SHA1/2 pliku wykonywalnego w dzienniku zdarzeń funkcji AppLocker
- Dzienniki aplikacji i usług\Microsoft\Windows\AppLocker
Można włączyć za pomocą zasad grupy, ale domyślnie jest wyłączony
- "Uwzględnij wiersz polecenia w zdarzeniach tworzenia procesu"
Rysunek SEQ Rysunek \* ARABSKI 16 zdarzeń 4688
Przejrzyj zaktualizowany identyfikator zdarzenia 4688 w Rysunku 16 REF _Ref366427278 \h. Przed tą aktualizacją żadna z informacji dotyczących wiersza polecenia procesu nie jest rejestrowana. Z powodu tego dodatkowego rejestrowania możemy teraz zobaczyć, że nie tylko proces wscript.exe został uruchomiony, ale także został użyty do wykonania skryptu VB.
Konfiguracja
Aby zobaczyć efekty tej aktualizacji, należy włączyć dwa ustawienia zasad.
Aby wyświetlić identyfikator zdarzenia 4688, musisz mieć włączoną inspekcję tworzenia procesów.
Aby włączyć zasady inspekcji tworzenia procesów, zmodyfikuj następujące zasady grupy:
Lokalizacja zasad: Konfiguracja komputera > Zasady > Ustawienia Windows > Ustawienia zabezpieczeń > Zaawansowana konfiguracja inspekcji > Szczegółowe śledzenie
Nazwa zasad: Audyt tworzenia procesu
Obsługiwane w: Windows 7 lub nowszy
Opis/Pomoc:
To ustawienie zasad zabezpieczeń określa, czy system operacyjny generuje zdarzenia inspekcji podczas tworzenia (uruchamiania) procesu i nazwy programu lub użytkownika, który go utworzył.
Te zdarzenia inspekcji mogą pomóc zrozumieć, jak komputer jest używany i śledzić aktywność użytkownika.
Wolumin zdarzenia: niski do średniego, w zależności od użycia systemu
Domyślny: Nieskonfigurowane
Aby wyświetlić dodatki do zdarzenia o identyfikatorze 4688, należy włączyć nowe ustawienie zasad: Uwzględnij wiersz polecenia w zdarzeniach tworzenia procesu
Tabela SEQ Tabela \* ARABSKI 19 Ustawienie zasad procesu wiersza polecenia
| Konfiguracja zasad | Szczegóły |
|---|---|
| Ścieżka | Szablony administracyjne\System\Tworzenie procesu inspekcji |
| Ustawienie | Uwzględnij wiersz polecenia w zdarzeniach tworzenia procesu |
| Ustawienie domyślne | Nieskonfigurowane (nie włączono) |
| Obsługiwane w: | ? |
| Opis | To ustawienie zasad określa, jakie informacje są rejestrowane w zdarzeniach inspekcji zabezpieczeń po utworzeniu nowego procesu. To ustawienie dotyczy tylko podczas tworzenia procesu inspekcji jest włączona. Po włączeniu tego ustawienia zasad, które informacje wiersza polecenia dla każdego procesu będą rejestrowane w postaci zwykłego tekstu w dzienniku zdarzeń zabezpieczeń w ramach zdarzeń inspekcji procesu tworzenia 4688 "nowy proces utworzono," na stacjach roboczych i serwerach, na których jest stosowane ustawienie zasad. Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, informacje wiersza polecenia procesu nie zostaną uwzględnione w zdarzeniach tworzenia procesu inspekcji. Ustawienie domyślne: Nie skonfigurowano Uwaga: po włączeniu tego ustawienia zasad każdy użytkownik z dostępem do odczytu zdarzeń zabezpieczeń będzie mógł odczytać argumenty wiersza polecenia dla każdego pomyślnie utworzonego procesu. Argumenty wiersza polecenia mogą zawierać poufne lub prywatne informacje, takie jak hasła i dane użytkowników. |
W przypadku korzystania z ustawień konfiguracji zaawansowanych zasad inspekcji należy upewnić się, że te ustawienia nie są zastępowane przez podstawowe ustawienia zasad inspekcji. Zdarzenie 4719 jest rejestrowane po zastąpieniu ustawień.
Poniższa procedura pokazuje, jak zapobiegać konfliktom, blokując stosowanie dowolnych podstawowych ustawień zasad inspekcji.
Aby upewnić się, że ustawienia konfiguracji zaawansowanych zasad inspekcji nie zostały zastąpione
Otwórz konsolę zarządzania zasadami grupy
Kliknij prawym przyciskiem myszy domyślne zasady domeny, a następnie wybierz polecenie Edytuj.
Kliknij dwukrotnie pozycję Konfiguracja komputera, kliknij dwukrotnie pozycję Zasady, a następnie kliknij dwukrotnie pozycję Ustawienia systemu Windows.
Kliknij dwukrotnie pozycję Ustawienia zabezpieczeń, kliknij dwukrotnie pozycję Zasady lokalne, a następnie wybierz pozycję Opcje zabezpieczeń.
Kliknij dwukrotnie pozycję Inspekcja: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad audytu, a następnie wybierz opcję Zdefiniuj to ustawienie zasad.
Wybierz pozycję Włączone, a następnie wybierz przycisk OK.
Dodatkowe zasoby
Przewodnik krok po kroku dotyczący zasad inspekcji zabezpieczeń zaawansowanych
Funkcja AppLocker: często zadawane pytania
Wypróbuj to: Zbadaj analizę procesu wiersza poleceń
Włącz zdarzenia tworzenie procesów inspekcji i upewnij się, że konfiguracja zaawansowanej polityki inspekcji nie jest zastępowana
Utwórz skrypt, który generuje pewne interesujące zdarzenia i wykonaj skrypt. Obserwuj zdarzenia. Skrypt użyty do wygenerowania zdarzenia w lekcji wyglądał następująco:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QWłącz inspekcję procesu wiersza polecenia
Wykonaj ten sam skrypt co poprzednio i obserwuj zdarzenia