Microsoft 安全咨询3004375
Windows 命令行审核更新
发布时间: 2015 年 2 月 10 日
版本: 1.0
常规信息
执行摘要
Microsoft 宣布推出 Windows 7、Windows Server 2008R2、Windows 8 和 Windows Server 2012 的更新,该更新扩展了审核进程创建策略,以包含传递给每个进程的命令信息。 这是一项新功能,提供有价值的信息来帮助管理员调查、监视和排查其网络上的安全相关问题。 请注意,受支持的 Windows 8.1 和 Windows Server 2012 R2 版本已支持此功能。 有关手动安装的详细信息和下载链接,请参阅 Microsoft 知识库文章3004375。
建议。 有关详细信息,请参阅 此公告的“建议的操作 ”部分。
受影响的软件
此公告讨论以下软件。
受影响的软件
操作系统 |
---|
Windows 7 for 32 位系统 Service Pack 1 |
基于 x64 的系统 Service Pack 1 的 Windows 7 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
适用于 32 位系统的 Windows 8 |
基于 x64 的系统 Windows 8 |
Windows Server 2012 |
服务器核心安装选项 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
Windows Server 2012 (服务器核心安装) |
咨询常见问题解答
公告的范围是什么?
此公告的目的是通知客户,更新可用于受支持的 Windows 7、Windows Server 2008R2、Windows 8 和 Windows Server 2012 版本,该版本扩展了 Windows 命令行审核进程创建策略,以包含传递给每个进程的命令信息。 此新功能在启用和配置时,每次创建进程时都会创建一个事件日志,并包括传递给该进程的命令行信息。 事件将记录到现有事件 ID 4688,并保存到Windows 安全日志。 监视这些事件可以提供有价值的信息来帮助管理员调查和排查与安全相关的问题。
如何实现获取此更新?
可以通过直接安装3004375更新来获取此公告中讨论的功能(请参阅 Microsoft 知识库文章3004375)。 请注意,更新还与 MS15-011 中发布的更新捆绑在一起(请参阅 Microsoft 知识库文章3000483)和 MS15-015(请参阅 Microsoft 知识库文章3031432)。 任一更新都会自动安装3004375更新。
什么是审核过程创建策略?
审核进程创建策略是一个安全审核策略,用于确定创建进程时操作系统是否生成审核事件。 启用后,将生成 ID 为 4688 的事件日志并将其保存到Windows 安全日志。 由于默认情况下禁用策略,因此在创建进程时不会记录任何审核事件,除非启用该策略。 此外,必须为此安全公告中所述的扩展命令行审核功能启用审核过程创建策略才能正常工作。 有关审核进程创建策略的详细信息,请参阅 审核过程创建。
此更新如何更改安全事件 ID 4688?
安装并配置此安全更新后,管理员将在名为 Process 命令行的 4688 安全事件中看到新添加的元素,其中包含针对有关事件执行的整个命令。
如何实现配置此更新中提供的功能?
默认情况下会禁用随此更新提供的功能。 安装更新后,管理员首先需要启用审核过程创建策略,然后启用扩展日志记录的功能。 有关详细信息,请参阅 Microsoft 知识库文章3004375。
为什么更新不适用于受支持的 Windows 8.1 和 Windows Server 2012 R2 版本?
未为受支持的 Windows 8.1 和 Windows Server 2012 R2 版本提供安全更新,因为此公告中讨论的新功能已存在于这些操作系统中。
建议的操作
为受支持的 Microsoft Windows 版本应用更新
大多数客户都已启用自动更新,无需采取任何操作,因为将自动下载并安装3004375更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或想要手动安装3004375更新的最终用户,Microsoft 建议客户使用更新管理软件应用更新,或使用 Microsoft 更新服务检查更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章3004375。
启用审核进程创建策略并启用扩展日志记录
安装更新后,管理员首先需要启用审核过程创建策略,然后启用扩展日志记录的功能。 有关详细信息,请参阅 Microsoft 知识库文章3004375。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 2 月 10 日):公告已发布。
页面生成的 2015-02-03 14:23Z-08:00。