Microsoft Security Advisory 3004375
Update für die Windows-Befehlszeilenüberwachung
Veröffentlicht: 10. Februar 2015
Version: 1.0
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Verfügbarkeit eines Updates für unterstützte Editionen von Windows 7, Windows Server 2008R2, Windows 8 und Windows Server 2012 an, mit dem die Richtlinie zum Erstellen von Überwachungsprozessen erweitert wird, um die Befehlsinformationen einzuschließen, die an jeden Prozess übergeben werden. Dies ist ein neues Feature, mit dem Administratoren sicherheitsbezogene Probleme in ihren Netzwerken untersuchen, überwachen und beheben können. Beachten Sie, dass unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 dieses Feature bereits unterstützen. Weitere Informationen und Downloadlinks für die manuelle Installation finden Sie im Microsoft Knowledge Base-Artikel 3004375.
Empfehlung: Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Betroffene Software
In dieser Empfehlung wird die folgende Software erläutert.
Betroffene Software
| Betriebssystem |
|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Windows 8 für 32-Bit-Systeme |
| Windows 8 für x64-basierte Systeme |
| Windows Server 2012 |
| Server Core-Installationsoption |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) |
| Windows Server 2012 (Server Core-Installation) |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Zweck dieser Empfehlung besteht darin, Kunden darüber zu informieren, dass ein Update für unterstützte Editionen von Windows 7, Windows Server 2008R2, Windows 8 und Windows Server 2012 verfügbar ist, mit der die Windows Command Line Audit Process Creation-Richtlinie erweitert wird, um die Befehlsinformationen einzuschließen, die an jeden Prozess übergeben werden. Dieses neue Feature erstellt, wenn dieses Feature aktiviert und konfiguriert ist, jedes Mal ein Ereignisprotokoll, wenn ein Prozess erstellt wird, und enthält die Befehlszeileninformationen, die an diesen Prozess übergeben werden. Die Ereignisse werden bei der vorhandenen Ereignis-ID 4688 protokolliert und im Windows-Sicherheit Protokoll gespeichert. Die Überwachung dieser Ereignisse kann wertvolle Informationen bereitstellen, damit Administratoren sicherheitsrelevante Probleme untersuchen und beheben können.
Gewusst wie dieses Update erhalten?
Die in dieser Empfehlung erläuterte Funktionalität kann durch direkte Installation des 3004375 Updates abgerufen werden (siehe Microsoft Knowledge Base-Artikel 3004375). Beachten Sie, dass das Update auch mit den Updates gebündelt ist, die in MS15-011 veröffentlicht werden (siehe Microsoft Knowledge Base-Artikel 3000483) und MS15-015 (siehe Microsoft Knowledge Base-Artikel 3031432). Bei beiden Updates wird das 3004375 Update automatisch installiert.
Was ist die Richtlinie für die Erstellung von Überwachungsprozessen?
Die Richtlinie zum Erstellen von Überwachungsprozessen ist eine Sicherheitsüberwachungsrichtlinie, die bestimmt, ob das Betriebssystem ein Überwachungsereignis generiert, wenn ein Prozess erstellt wird. Wenn diese Option aktiviert ist, wird ein Ereignisprotokoll mit der ID 4688 generiert und im Windows-Sicherheit Protokoll gespeichert. Da die Richtlinie standardmäßig deaktiviert ist, werden beim Erstellen von Prozessen keine Überwachungsereignisse protokolliert, es sei denn, die Richtlinie ist aktiviert. Darüber hinaus muss die Überwachungsprozesserstellungsrichtlinie für die erweiterte Befehlszeilenüberwachungsfunktion aktiviert werden, die in dieser Sicherheitsempfehlung beschrieben ist. Weitere Informationen zur Überwachungsprozesserstellungsrichtlinie finden Sie in der Erstellung von Überwachungsprozessen.
Wie ändert dieses Update die Sicherheitsereignis-ID 4688?
Nach der Installation und Konfiguration dieses Sicherheitsupdates sehen Administratoren ein neu hinzugefügtes Element im 4688-Sicherheitsereignis "Process Command Line", das den gesamten Befehl enthält, der für das betreffende Ereignis ausgeführt wurde.
Gewusst wie die Features konfigurieren, die mit diesem Update bereitgestellt werden?
Die Features, die mit diesem Update bereitgestellt werden, sind standardmäßig deaktiviert. Nach der Installation des Updates müssen Administratoren zuerst die Richtlinie zum Erstellen von Überwachungsprozessen aktivieren und dann das Feature für die erweiterte Protokollierung aktivieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3004375.
Warum ist das Update für unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 nicht verfügbar?
Das Sicherheitsupdate wird nicht für unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 bereitgestellt, da die in dieser Empfehlung beschriebenen neuen Features bereits in diesen Betriebssystemen vorhanden sind.
Vorgeschlagene Aktionen
Anwenden des Updates für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das 3004375 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das 3004375 Update manuell installieren möchten, empfiehlt Microsoft Kunden, das Update mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 3004375.
Aktivieren der Richtlinie zum Erstellen von Überwachungsvorgängen und Aktivieren der erweiterten Protokollierung
Nach der Installation des Updates müssen Administratoren zuerst die Richtlinie zum Erstellen von Überwachungsprozessen aktivieren und dann das Feature für die erweiterte Protokollierung aktivieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3004375.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. Februar 2015): Empfehlung veröffentlicht.
Seite generiert 2015-02-03 14:23Z-08:00.