Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Inspekcja procesu wiersza polecenia

Bill Mathers|Ostatnia aktualizacja: 14.04.2017
|
1 Współautor

Dotyczy: Windows Server 2016, Windows Server 2012 R2

Autor: Justin Turner, starszym inżynierem eskalacji pomocy technicznej grupy systemu Windows

Uwaga

Ta zawartość została napisana przez inżyniera pomocy technicznej dla klientów firmy Microsoft i jest przeznaczona dla doświadczonych administratorów i architektów systemów, którzy szukają bardziej techniczne wyjaśnienia dotyczące funkcji i rozwiązań w systemie Windows Server 2012 R2 niż zwykle dostarczyć w witrynie TechNet. Jednak go nie zostało poddane tego samego przebiegach edycji, więc w niektórych miejscach język, może wydawać się, że mniej dopracowana niż co zwykle jest znajduje w witrynie TechNet.

— Omówienie

  • Istniejące zdarzenia inspekcji tworzenia procesu 4688 identyfikator teraz będą zawierać informacje inspekcji dla procesów w wierszu polecenia.

  • Również zarejestrują Skrót SHA1/2 pliku wykonywalnego w dzienniku zdarzeń zasady ograniczeń oprogramowania

    • Logs\Microsoft\Windows\AppLocker usług i aplikacji
  • Można włączyć za pomocą zasad grupy, ale jest domyślnie wyłączony

    • "Obejmują wiersza polecenia do procesu tworzenia zdarzeń"

Inspekcja wiersza polecenia

Rysunek SEQ \*ARABSKI zdarzeń 16 4688

Sprawdź zaktualizowane zdarzenie 4688 identyfikator w REF _Ref366427278 \h rysunek 16. Przed to nie Aktualizuj informacje o wiersza polecenia procesu jest rejestrowane. Z powodu rejestrowanie to dodatkowe firma Microsoft teraz zauważyć, że nie tylko uruchomienia procesu wscript.exe, lecz również był używany do uruchomienia skryptu w języku VB..

Konfiguracja

Aby wyświetlić efekty tej aktualizacji, należy włączyć dwa ustawienia zasad.

Musi mieć, tworzenie procesu inspekcji inspekcje w celu wyświetlenia zdarzeń 4688 identyfikator włączony.

Aby włączyć zasady inspekcji procesu tworzenia, edycji następujących zasad grupy:

Lokalizacja zasad: konfiguracji komputera > zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Konfiguracja zaawansowana inspekcji > szczegółowe śledzenie

Nazwa zasady: inspekcji tworzenie procesu

Obsługiwane na: systemu Windows 7 i nowsze

Opis pomocy:

To ustawienie zasad zabezpieczeń określa, czy system operacyjny generuje zdarzenia inspekcji po utworzeniu procesu (rozpoczęcie) i nazwę programu lub użytkownika, w której został utworzony.

Te zdarzenia inspekcji mogą ułatwić zrozumienie sposobu używania komputera i śledzenie działań użytkownika.

Wolumin zdarzeń: Niski, Średni, w zależności od użycia systemu

Wartość domyślna: nieskonfigurowane

Aby wyświetlić dodatki do 4688 identyfikator zdarzenia, należy włączyć nowe ustawienia zasad: obejmują wiersza polecenia do procesu tworzenia zdarzeń

Tabela SEQ Tabela \*ustawienie zasad procesu wiersza polecenia 19 ARABSKI

Konfiguracja zasadSzczegóły
ŚcieżkaTworzenie procesu Templates\System\Audit administracyjne
UstawienieObejmują wiersza polecenia do procesu tworzenia zdarzeń
Ustawienie domyślneNie skonfigurowana (wyłączone)
Obsługiwane na:?
OpisTo ustawienie zasad określa, jakie informacje są rejestrowane w zdarzeń inspekcji zabezpieczeń po utworzeniu nowego procesu.

To ustawienie dotyczy tylko podczas tworzenia procesu inspekcji jest włączona. Po włączeniu tego ustawienia zasad, które informacje wiersza polecenia dla każdego procesu będą rejestrowane w postaci zwykłego tekstu w dzienniku zdarzeń zabezpieczeń w ramach zdarzeń inspekcji procesu tworzenia 4688 "nowy proces utworzono," na stacjach roboczych i serwerach, na których jest stosowane ustawienie zasad.

Jeśli zostanie wyłączone lub nie zostanie skonfigurowane ustawienie zasad informacje wiersza polecenia procesu nie zostanie dołączony do inspekcji procesu tworzenia zdarzeń.

Wartość domyślna: Nie jest skonfigurowany

Uwaga: Jeśli to ustawienie zasad jest włączone, każdy użytkownik z dostępem do odczytu zdarzeń zabezpieczeń będzie mógł pomyślnie odczytano argumenty wiersza polecenia dla każdego utworzyć procesu. Argumenty wiersza polecenia mogą zawierać poufne lub prywatne informacje, takie jak hasła i dane użytkownika.

Inspekcja wiersza polecenia

Korzystając z ustawień konfiguracji zasad inspekcji zaawansowanych, musisz potwierdzić, że te ustawienia nie są zastępowane przez ustawienia zasad inspekcji podstawowe. 4719 zdarzenie jest rejestrowane, gdy ustawienia zostaną zastąpione.

Inspekcja wiersza polecenia

Poniższa procedura przedstawia sposób zapobiec konfliktom blokując aplikacji żadne ustawienia zasad inspekcji podstawowe.

Aby upewnić się, że nie zostaną zastąpione ustawień konfiguracji zaawansowanych zasad inspekcji

Inspekcja wiersza polecenia

  1. Otwórz konsolę zarządzania zasadami grupy

  2. Kliknij prawym przyciskiem myszy domyślne zasady domeny, a następnie kliknij przycisk Edytuj.

  3. Kliknij dwukrotnie konfiguracji komputera, kliknij dwukrotnie zasady, a następnie kliknij dwukrotnie ikonę ustawienia systemu Windows.

  4. Ustawienia zabezpieczeń, a następnie kliknij przycisk Opcje zabezpieczeń.

  5. Kliknij dwukrotnie ikonę inspekcji: Ustawienia podkategorii zasad inspekcji życie (system Windows Vista lub nowszy) zastąpić ustawienia kategorii zasad inspekcji, a następnie kliknij przycisk Definiuj to ustawienie zasad.

  6. Kliknij opcję włączone, a następnie kliknij przycisk OK.

Dodatkowe zasoby

Tworzenie procesu inspekcji

Zaawansowane zasady inspekcji zabezpieczeń Step-by-Step Guide

Zasady ograniczeń oprogramowania: Często zadawane pytania

Wypróbuj: Eksplorować inspekcja procesu wiersza polecenia

  1. Włącz inspekcji procesu tworzenia zdarzeń i upewnij się, nie jest zastępowany konfiguracji zaawansowanych zasad inspekcji

  2. Utwórz skrypt, który będzie generować niektóre zdarzenia i uruchom skrypt. Sprawdź zdarzenia. Skrypt używany do generowania zdarzeń w lekcji zapoznaniu się następująco:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward  
    copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward  
    start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs  
    del c:\systemfiles\temp\*.* /Q  
    
  3. Włącz inspekcję proces wiersza polecenia

  4. Uruchomienie tego samego skryptu jako przed i Sprawdź zdarzenia

© 2017 Microsoft