本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

命令行过程审核

 

适用对象:Windows Server 2012 R2

作者:与 Windows 组的 Justin Turner 高级支持专家级工程师

System_CAPS_note注意

此内容由 Microsoft 客户支持工程师编写并供有经验的管理员和系统架构师那些正在伺机更深入的技术说明的功能和 Windows Server 2012 R2 中的解决方案不是在 TechNet 上的主题通常提供。 但是,它不发生了相同的编辑阶段,因此某些语言可能看起来小于抛光比什么通常会在 TechNet 上找到。  

  • 预先存在的进程创建审核事件 ID 4688 现在将包括命令行进程的审核的信息。

  • 它还将 Applocker 事件日志中记录 SHA1/2 的可执行文件的哈希

    • 应用程序和服务 Logs\Microsoft\Windows\AppLocker

  • 您启用通过 GPO,但默认处于禁用状态

    • "包括在过程创建事件中的命令行"

Event 4688

图 SEQ 图 \ * 阿拉伯语 16 事件 4688

查看已更新的事件 ID 4688 REF _Ref366427278 \h 图 16 中。 在此之前未更新的信息的进程命令行获取记录。 由于此附加的日志记录我们现在可以看到不仅 wscript.exe 进程已启动,而且它也是用于执行 VB 脚本。

若要查看此更新的影响,您将需要启用两个策略设置。

若要启用审核进程创建策略,编辑以下组策略:

策略位置:计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核配置 > 详细的跟踪

策略名称:审核进程创建

支持对:Windows 7 和更高版本

说明/帮助:

此安全策略设置确定操作系统是否生成审核事件时创建一个进程 (启动) 和程序或创建它的用户的名称。

这些审核事件可以帮助您了解计算机的使用情况并跟踪用户活动。

事件数量:低或中等,具体取决于系统使用情况

Default:未配置

表 SEQ 表 \ * 阿拉伯语 19 命令行进程策略设置

策略配置

详细信息

路径

管理 Templates\System\Audit 进程创建

设置

在过程创建事件中包括命令行

默认设置

未配置 (未启用)

支持对:

?

说明

此策略设置确定哪些信息记录在安全审核事件时创建一个新进程。

此设置仅启用审核进程创建策略时才适用。 如果启用此策略设置将被每个进程的命令行信息以纯文本格式安全事件日志中记录为审核进程创建事件 4688 的一部分,"新进程已创建后,"在其上应用此策略设置的工作站和服务器上。

如果禁用或未配置此策略设置,则该进程的命令行信息将不包括在审核进程创建事件中。

Default:未配置

注意:启用此策略设置后,具有访问权限的任何用户读取安全事件将能够成功读取的任何命令行参数创建过程。 命令行参数可以包含敏感信息或私有信息 (例如密码或用户数据。

Include CLI Setting

当使用“高级审核策略配置”设置时,您需要确认这些设置不会被基本审核策略设置覆盖。 当设置被覆盖,记录事件 4719。

Event 4719

以下过程显示了如何通过阻止应用任何基本审核策略设置来避免冲突。

Advanced Audit Policy
  1. 打开组策略管理控制台

  2. 右键单击默认域策略,然后单击编辑。

  3. 双击计算机配置,双击策略,然后双击 Windows 设置。

  4. 双击安全设置,然后单击安全选项。

  5. 双击审核:强制审核策略子类别设置 (Windows Vista 或更高版本) 替代审核策略类别设置,,然后单击定义此策略设置。

  6. 单击启用,,,然后单击确定。

  1. 启用审核进程创建事件,并确保高级审核策略配置不会被覆盖

  2. 创建一个将生成一些感兴趣的事件并执行该脚本的脚本。 观察的事件。 用来在课中生成事件的脚本如下所示:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /Q
    
  3. 启用命令行过程审核

  4. 执行在之前的同一个脚本并观察的事件

显示: