Microsoft セキュリティ アドバイザリ 3004375
Windows コマンド ライン監査用の更新プログラム
公開日: 2015 年 2 月 10 日
バージョン: 1.0
一般情報
概要
Microsoft は、サポートされているエディションの Windows 7、Windows Server 2008R2、Windows 8、および Windows Server 2012 の更新プログラムの提供を発表しています。この更新プログラムは、監査プロセス作成ポリシーを拡張して、すべてのプロセスに渡されるコマンド情報を含めます。 これは、管理者がネットワーク上のセキュリティ関連の問題を調査、監視、トラブルシューティングするのに役立つ貴重な情報を提供する新機能です。 サポートされている Windows 8.1 および Windows Server 2012 R2 のエディションでは、この機能が既にサポートされていることに注意してください。 手動インストールの詳細とダウンロード リンクについては、マイクロソフト サポート技術情報の記事3004375を参照してください。
推奨。 詳細については、 このアドバイザリの「推奨されるアクション」 セクションを参照してください。
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
影響を受けるソフトウェア
| オペレーティング システム |
|---|
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Windows 8 for 32 ビット システム |
| Windows 8 for x64 ベースのシステム |
| Windows Server 2012 |
| Server Core のインストール オプション |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2012 (Server Core のインストール) |
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、Windows 7、Windows Server 2008R2、Windows 8、および Windows Server 2012 のサポートされているエディションで更新プログラムが利用可能であることをお客様に通知することです。これにより、Windows コマンド ライン監査プロセス作成ポリシーが拡張され、すべてのプロセスに渡されるコマンド情報が含まれます。 この新機能を有効にして構成すると、プロセスが作成されるたびにイベント ログが作成され、そのプロセスに渡されるコマンド ライン情報が含まれます。 イベントは既存のイベント ID 4688 に記録され、Windows セキュリティ ログに保存されます。 これらのイベントを監視すると、管理者がセキュリティ関連の問題を調査してトラブルシューティングするのに役立つ貴重な情報が得られます。
この更新プログラム操作方法入手できますか?
このアドバイザリで説明されている機能は、3004375更新プログラムを直接インストールすることで取得できます (Microsoft サポート技術情報の記事3004375を参照してください)。 この更新プログラムは、MS15-011 (Microsoft サポート技術情報の記事3000483を参照) および MS15-015 (Microsoft サポート技術情報の記事3031432を参照) でリリースされる更新プログラムにもバンドルされていることに注意してください。 どちらの更新プログラムでも、3004375更新プログラムが自動的にインストールされます。
監査プロセス作成ポリシーとは
監査プロセス作成ポリシーは、プロセスの作成時にオペレーティング システムが監査イベントを生成するかどうかを決定するセキュリティ監査ポリシーです。 有効にすると、ID 4688 のイベント ログが生成され、Windows セキュリティ ログに保存されます。 ポリシーは既定で無効になっているため、ポリシーが有効になっていない限り、プロセスの作成時に監査イベントはログに記録されません。 さらに、このセキュリティ アドバイザリで説明されている拡張コマンド ライン監査機能を機能させるには、監査プロセス作成ポリシーを有効にする必要があります。 監査プロセス作成ポリシーの詳細については、「プロセスの作成の監査」を参照してください。
この更新プログラムはセキュリティ イベント ID 4688 をどのように変更しますか?
このセキュリティ更新プログラムをインストールして構成すると、管理者には、プロセス コマンド ラインと呼ばれる 4688 セキュリティ イベントに新しく追加された要素が表示されます。これには、問題のイベントに対して実行されたコマンド全体が含まれます。
操作方法この更新プログラムで提供される機能を構成しますか?
この更新プログラムで提供される機能は、既定では無効になっています。 更新プログラムをインストールした後、管理者は最初に監査プロセス作成ポリシーを有効にしてから、拡張ログの機能を有効にする必要があります。 詳細については、マイクロソフト サポート技術情報の記事3004375を参照してください。
Windows 8.1 および Windows Server 2012 R2 のサポートされているエディションでこの更新プログラムを使用できないのはなぜですか?
このアドバイザリで説明されている新機能はこれらのオペレーティング システムに既に存在するため、Windows 8.1 および Windows Server 2012 R2 のサポートされているエディションでは、セキュリティ更新プログラムは提供されていません。
推奨されるアクション
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
ほとんどのお客様は自動更新を有効にしており、3004375更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、または3004375更新プログラムを手動でインストールするエンド ユーザーの場合は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして更新プログラムを適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事3004375を参照してください。
監査プロセス作成ポリシーを有効にし、拡張ログを有効にする
更新プログラムをインストールした後、管理者は最初に監査プロセス作成ポリシーを有効にしてから、拡張ログの機能を有効にする必要があります。 詳細については、マイクロソフト サポート技術情報の記事3004375を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2015 年 2 月 10 日): アドバイザリが公開されました。
Page generated 2015-02-03 14:23Z-08:00.