マイクロソフト セキュリティ アドバイザリ 3004375

Windows コマンド ライン監査の更新プログラム

公開日:2015 年 2 月 11 日

バージョン: 1.0

概説

概要

マイクロソフトは、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8 および Windows Server 2012 用として、すべてのプロセスに渡されるコマンド情報が含まれるようにプロセス作成の監査ポリシーを拡張する更新プログラムをリリースしたことをお知らせします。これは、ネットワーク上のセキュリティ関連の問題を管理者が調査、監視、およびトラブルシューティングできるようにする貴重な情報を提供する新機能です。サポートされているエディションの Windows 8.1 および Windows Server 2012 R2 は、既にこの機能をサポートしています。手動インストールに関する詳細情報とダウンロード リンクについては、サポート技術情報 3004375 を参照してください。

推奨事項: 詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア

オペレーティング システム

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows Server 2012

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Windows Server 2012 (Server Core インストール)

 

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8 および Windows Server 2012 用として、すべてのプロセスに渡されるコマンド情報が含まれるように Windows コマンド ラインのプロセス作成の監査ポリシーを拡張する更新プログラムが利用可能となったことをお客様にお知らせすることです。この新機能を有効にして構成すると、プロセスが作成されるたびにイベント ログが作成され、そのプロセスに渡されるコマンド ライン情報が含まれるようになります。イベントは既存のイベント ID 4688 に記録され、Windows セキュリティ ログに保存されます。これらのイベントを監視することで、セキュリティ関連の問題を管理者が調査およびトラブルシューティングできるようにする、貴重な情報を提供できます。

この更新プログラムの入手方法
このアドバイザリで説明している機能は、更新プログラム 3004375 を直接インストールすることで利用できます (サポート技術情報 3004375 を参照)。この更新プログラムは、MS15-011 (サポート技術情報 3000483を参照) および MS15-015 (サポート技術情報 3031432を参照) でリリースされている更新プログラムにもバンドルされています。どちらかの更新プログラムをインストールすると、更新プログラム 3004375 が自動的にインストールされます。

プロセス作成の監査ポリシーとは何ですか?
プロセス作成の監査ポリシーは、プロセスの作成時にオペレーティング システムで監査イベントを生成するかどうかを決定するセキュリティ監査ポリシーです。有効であれば、ID 4688 のイベント ログが生成され、Windows セキュリティ ログに保存されます。このポリシーは既定では無効であるため、ポリシーが有効である場合を除き、プロセスの作成時に監査イベントは記録されません。さらに、このセキュリティ アドバイザリで説明している拡張コマンド ライン監査機能が機能するには、プロセス作成の監査ポリシーを有効にする必要があります。プロセス作成の監査ポリシーの詳細については、「プロセス作成の監査」を参照してください。

この更新プログラムがセキュリティ イベント ID 4688 を変更する方法
管理者はこのセキュリティ更新プログラムをインストールして構成した後、プロセス コマンド ラインと呼ばれる、4688 セキュリティ イベントに新しく追加されている要素を確認できます。これには、問題のイベントに対して実行されたコマンドの全体が含まれます。

この更新プログラムで提供される機能を構成する方法
この更新プログラムで提供される機能は、既定では無効になっています。更新プログラムをインストールした後、管理者は、まずプロセス作成の監査ポリシーを有効にしてから、拡張ログの機能を有効にする必要があります。詳細については、マイクロソフト サポート技術情報 3004375 を参照してください。

この更新プログラムが、サポートされているエディションの Windows 8.1 および Windows Server 2012 R2 に提供されていないのはなぜですか?
このセキュリティ更新プログラムが、サポートされているエディションの Windows 8.1 および Windows Server 2012 R2 に提供されていないのは、このアドバイザリで説明している新機能が、これらのオペレーティング システムに既に存在しているためです。

  • サポートされているリリースの Microsoft Windows 用の更新プログラムを適用する

    自動更新を有効にしている大多数のお客様は、更新プログラム 3004375 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。

    管理者およびエンタープライズ インストール、または更新プログラム 3004375 の手動インストールを希望するエンド ユーザーの場合は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することによって、この更新プログラムを適用することを推奨します。この更新プログラムを手動で適用する方法の詳細については、サポート技術情報 3004375 を参照してください。

    プロセス作成の監査ポリシーと拡張ログを有効にする

    更新プログラムをインストールした後、管理者は、まずプロセス作成の監査ポリシーを有効にしてから、拡張ログの機能を有効にする必要があります。詳細については、マイクロソフト サポート技術情報 3004375 を参照してください。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/02/11):アドバイザリを公開しました。

Page generated 2015-02-03 14:23Z-08:00.
表示: