Obsah
- 1 Jak sledovat spouštění programů ve Windows pomocí zásad auditu
- 2 Recenze
- 3 Nastavení
- 4 Chcete-li zobrazit ID události 4688, musíte povolit auditování vytváření procesu auditu.
- 5 Chcete-li zobrazit doplňky k události ID 4688, musíte povolit nové nastavení zásad: Zahrnout příkazový řádek do událostí vytváření procesu
- 6 Aby bylo zajištěno, že nebudou přepsána nastavení konfigurace rozšířených zásad auditu
- 7 Dodatečné zdroje
- 8 Zkuste toto: Naučte se auditovat proces příkazového řádku
Jak sledovat spouštění programů ve Windows pomocí zásad auditu
Tento obsah byl vytvořen technikem zákaznické podpory společnosti Microsoft a je určen pro zkušené správce a systémové architekty, kteří chtějí více technických informací o funkcích a řešeních v systému Windows Server 2012 R2 nad rámec typických informací dostupných v článcích na webu TechNet. Nebyla však upravena podle požadavků webu, takže některé formulace nemusí být tak přesné jako na stránkách TechNet.
Recenze
- Dříve existující událost auditu vytvoření procesu ID 4688 bude nyní obsahovat informace o auditu pro procesy příkazového řádku.
- Zaznamenává také hash SHA1/2 spustitelného souboru do protokolu událostí Applocker.
- Protokoly aplikací a služebMicrosoftWindowsAppLocker
- „Zahrnout příkazový řádek do událostí vytváření procesu“
Rýže. SEQ Obr. * ARABIC 16 Event 4688
Zkontrolujte aktualizované ID události 4688 v REF _Ref366427278 h obr. 16. Před touto aktualizací žádná z informací o příkazový řádek proces není registrován. Díky tomuto dodatečnému protokolování je nyní jasné, že nejenže byl spuštěn proces wscript.exe, ale byl také použit ke spuštění skriptu VB.
Nastavení
Chcete-li vidět dopad této aktualizace, musíte povolit dvě nastavení zásad.
Chcete-li zobrazit ID události 4688, musíte povolit auditování vytváření procesu auditu.
Chcete-li povolit zásady vytváření procesu auditu, změňte následující zásady skupiny:
Umístění zásad. Zásady konfigurace > Počítače > Nastavení Windows Nastavení zabezpečení > Pokročilá konfigurace > Podrobné sledování auditu
Název zásady: vytvoření procesu auditu
Podporováno v: Windows 7 a novější
Popis a nápověda:
Toto nastavení zásad zabezpečení určuje, zda operační systém generuje události auditu při vytvoření (běhu) procesu a název programu nebo uživatele, který vytvořil.
Tyto auditní události vám pomohou pochopit, jak je váš počítač používán, a sledovat aktivitu uživatelů.
Hlasitost události: Nízká až střední, v závislosti na využití systému
Výchozí hodnota: není nakonfigurováno
Chcete-li zobrazit doplňky k události ID 4688, musíte povolit nové nastavení zásad: Zahrnout příkazový řádek do událostí vytváření procesu
Volba zásady procesu příkazového řádku pro tabulku SEQ tabulka * ARABIC 19
Nastavení zásad inteligence Cesta Administrátorské šablony SystemAudit Process Creation Parametr Včetně příkazového řádku v událostech vytváření procesu Výchozí hodnota Není nakonfigurováno (není povoleno) Podporováno: ? Popis Toto nastavení zásad řídí, jaké informace se zaznamenávají do událostí auditu zabezpečení při vytvoření nového procesu. Toto nastavení platí pouze v případě, že je povolena zásada vytváření procesu auditu. Pokud toto nastavení zásad povolíte, budou informace z příkazového řádku pro jednotlivé procesy protokolovány jako prostý text do protokolu událostí zabezpečení jako součást události vytvoření procesu auditu 4688 („Vytvořen nový proces“) na všech pracovních stanicích a serverech, které mají toto nastavení zásad.
Pokud je toto nastavení zásad zakázáno nebo není nakonfigurováno, informace z příkazového řádku procesu nebudou zahrnuty do událostí vytvoření procesu auditu.
Výchozí hodnota: není nakonfigurováno
Když použijete rozšířená nastavení konfigurace zásad auditu, musíte zajistit, aby tato nastavení nebyla přepsána základním nastavením zásad auditu. Při přepsání parametrů je zaznamenána událost 4719.
Následující postup ukazuje, jak můžete předejít konfliktům tím, že zakážete aplikaci jakýchkoli základních nastavení zásad auditu.
Aby bylo zajištěno, že nebudou přepsána nastavení konfigurace rozšířených zásad auditu
- Otevřete Konzolu pro správu zásad skupiny
- Klepněte pravým tlačítkem myši na Výchozí zásady domény a vyberte Upravit.
- Poklepejte na Konfigurace počítače, poklepejte na zásady a potom poklepejte na Nastavení systému Windows.
- Poklepejte na Možnosti zabezpečení, poklepejte na Místní zásady a vyberte Možnosti zabezpečení.
- Poklepáním na položku Audit – Vynutit změnu nastavení podkategorie zásad auditu (Windows Vista nebo novější) přepíšete nastavení kategorie zásad auditu a poté toto nastavení zásad vyberte.
- Vyberte možnost Povoleno a klepněte na tlačítko OK.
Dodatečné zdroje
Zkuste toto: Naučte se auditovat proces příkazového řádku
- Povolit události stvoření proces auditu a zajistit, aby nedošlo k přepsání konfigurace zásad před auditem
- Vytvořte skript, který vygeneruje některé zajímavé události a provede skript. Sledujte události. Skript použitý k vytvoření události v lekci vypadal takto:
mkdir c:systemfilestempcommandandcontrolzonefifthward copy 192.168.1.254c$hidden c:systemfilestemphiddencommandandcontrolzonefifthward start C:systemfilestemphiddencommandandcontrolzonefifthwardntuserrights.vbs del c:systemfilestemp*.* /Q