Comunicado de Segurança da Microsoft 3004375
Atualização para auditoria de linha de comando do Windows
Publicado em: 10 de fevereiro de 2015
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para edições com suporte do Windows 7, Windows Server 2008R2, Windows 8 e Windows Server 2012 que expande a diretiva de Criação de Processo de Auditoria para incluir as informações de comando que são passadas para cada processo. Esse é um novo recurso que fornece informações valiosas para ajudar os administradores a investigar, monitorar e solucionar problemas relacionados à segurança em suas redes. Observe que as edições com suporte do Windows 8.1 e do Windows Server 2012 R2 já oferecem suporte a esse recurso. Para obter mais informações e links para download para instalação manual, consulte o Artigo 3004375 (em inglês) da Microsoft Knowledge Base.
Recomendação. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Softwares afetados
Este comunicado aborda o seguinte software.
Softwares afetados
| Sistema operacional |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Windows 8 para sistemas de 32 bits |
| Windows 8 para sistemas baseados em x64 |
| Windows Server 2012 |
| Opção de instalação Server Core |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) |
| Windows Server 2012 (instalação Server Core) |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que uma atualização está disponível para edições com suporte do Windows 7, Windows Server 2008R2, Windows 8 e Windows Server 2012 que expande a diretiva de Criação de Processo de Auditoria de Linha de Comando do Windows para incluir as informações de comando que são passadas para cada processo. Esse novo recurso, quando habilitado e configurado, cria um log de eventos sempre que um processo é criado e inclui as informações de linha de comando passadas para esse processo. Os eventos serão registrados na ID de evento existente 4688 e salvos no Log de Segurança do Windows. O monitoramento desses eventos pode fornecer informações valiosas para ajudar os administradores a investigar e solucionar problemas relacionados à segurança.
Como posso obter esta atualização?
A funcionalidade discutida neste comunicado pode ser obtida instalando a atualização do 3004375 diretamente (consulte o Artigo 3004375 da Base de Dados de Conhecimento Microsoft). Observe que a atualização também é fornecida com as atualizações lançadas no boletim MS15-011 (consulte o Artigo 3000483 da Base de Dados de Conhecimento Microsoft) e no MS15-015 (consulte o Artigo 3031432 da Base de Dados de Conhecimento Microsoft). Qualquer atualização instalará a atualização 3004375 automaticamente.
O que é a política de Criação de Processos de Auditoria?
A diretiva de Criação de Processo de Auditoria é uma diretiva de auditoria de segurança que determina se o sistema operacional gera ou não um evento de auditoria quando um processo é criado. Quando habilitado, um log de eventos com ID 4688 é gerado e salvo no Log de Segurança do Windows. Como a política está desabilitada por padrão, nenhum evento de auditoria é registrado quando os processos são criados, a menos que a diretiva esteja habilitada. Além disso, a Política de Criação do Processo de Auditoria deve estar habilitada para que o recurso de auditoria de linha de comando expandido descrito neste comunicado de segurança funcione. Para obter mais informações sobre a Política de Criação de Processo de Auditoria, consulte a Criação de Processo de Auditoria.
Como esta atualização altera a ID de evento de segurança 4688?
Depois de instalar e configurar esta atualização de segurança, os administradores verão um elemento recém-adicionado no evento de segurança 4688 chamado Process Command Line, que contém todo o comando que foi executado para o evento em questão.
Como configuro os recursos fornecidos com esta atualização?
Os recursos fornecidos com esta atualização são desabilitados por padrão. Depois de instalar a atualização, os administradores precisarão primeiro habilitar a diretiva de Criação do Processo de Auditoria e, em seguida, habilitar o recurso para log expandido. Para obter mais informações, consulte o artigo 3004375 da Base de Dados de Conhecimento Microsoft.
Por que a atualização não está disponível para edições com suporte do Windows 8.1 e Windows Server 2012 R2?
A atualização de segurança não está sendo fornecida para edições com suporte do Windows 8.1 e Windows Server 2012 R2 porque os novos recursos discutidos neste comunicado já estão presentes nesses sistemas operacionais.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização 3004375 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização 3004375 manualmente, a Microsoft recomenda que os clientes apliquem a atualização usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 3004375 da Base de Dados de Conhecimento Microsoft.
Habilitar a política de Criação de Processo de Auditoria e habilitar o Log Expandido
Depois de instalar a atualização, os administradores precisarão primeiro habilitar a diretiva de Criação do Processo de Auditoria e, em seguida, habilitar o recurso para log expandido. Para obter mais informações, consulte o artigo 3004375 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de fevereiro de 2015): Comunicado publicado.
Página gerada em 03/02/2015 14:23Z-08:00.