Microsoft 資訊安全諮詢3004375
Windows 命令行稽核的更新
發佈時間: 2015 年 2 月 10 日
版本: 1.0
一般資訊
執行摘要
Microsoft 宣佈針對支援的 Windows 7、Windows Server 2008R2、Windows 8 和 Windows Server 2012 版本提供更新,以擴充稽核程式建立原則,以包含傳遞至每個進程的命令資訊。 這是一項新功能,提供寶貴的資訊,可協助系統管理員調查、監視及疑難解答其網路上的安全性相關問題。 請注意,支援的 Windows 8.1 和 Windows Server 2012 R2 版本已經支援此功能。 如需手動安裝的詳細資訊和下載連結,請參閱 Microsoft 知識庫文章3004375。
建議。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。
受影響的軟體
此諮詢會討論下列軟體。
受影響的軟體
作業系統 |
---|
Windows 7 for 32 位系統 Service Pack 1 |
Windows 7 for x64 型系統 Service Pack 1 |
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 |
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
Windows 8 for 32 位系統 |
適用於 x64 型系統的 Windows 8 |
Windows Server 2012 |
Server Core 安裝選項 |
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) |
Windows Server 2012 (Server Core 安裝) |
諮詢常見問題
諮詢的範圍為何?
此諮詢的目的是通知客戶,更新適用於 Windows 7、Windows Server 2008R2、Windows 8 和 Windows Server 2012 的支援版本,以擴充 Windows 命令行稽核程式建立原則,以包含傳遞至每個進程的命令資訊。 這項新功能在啟用和設定時,會在每次建立進程時建立事件記錄檔,並包含傳遞給該程式的命令行資訊。 事件會記錄至現有的事件標識碼 4688,並儲存至 Windows 安全性 記錄檔。 監視這些事件可以提供寶貴的信息,協助系統管理員調查及疑難解答安全性相關問題。
如何? 取得此更新嗎?
您可以直接安裝3004375更新來取得此諮詢中討論的功能(請參閱 Microsoft 知識庫文章3004375)。 請注意,更新也隨附於 MS15-011 中發行的更新(請參閱 Microsoft 知識庫文章3000483)和 MS15-015(請參閱 Microsoft 知識庫文章3031432)。 任一更新都會自動安裝3004375更新。
什麼是稽核程式建立原則?
稽核程式建立原則是安全審核策略,可判斷操作系統是否在建立進程時產生稽核事件。 啟用時,會產生標識碼為 4688 的事件記錄檔,並儲存至 Windows 安全性 記錄檔。 由於預設會停用原則,除非啟用原則,否則在建立進程時不會記錄任何稽核事件。 此外,必須啟用稽核程式建立原則,才能讓此安全性諮詢中所述的擴充命令行稽核功能運作。 如需稽核程式建立原則的詳細資訊,請參閱 稽核程式建立。
此更新如何變更安全性事件標識碼 4688?
安裝並設定此安全性更新之後,系統管理員會在名為 Process Command Line 的 4688 安全性事件中看到新加入的專案,其中包含針對有問題的事件執行的整個命令。
如何? 設定此更新所提供的功能嗎?
預設會停用此更新所提供的功能。 安裝更新之後,系統管理員必須先啟用稽核程式建立原則,然後啟用擴充記錄的功能。 如需詳細資訊,請參閱 Microsoft 知識庫文章3004375。
為什麼更新不適用於支援的 Windows 8.1 和 Windows Server 2012 R2 版本?
Windows 8.1 和 Windows Server 2012 R2 支援的版本並未提供安全性更新,因為此諮詢中討論的新功能已存在於這些操作系統中。
建議的動作
針對支援的 Microsoft Windows 版本套用更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝3004375更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝3004375更新的使用者,Microsoft 建議客戶使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章3004375。
啟用稽核程式建立原則,並啟用展開的記錄
安裝更新之後,系統管理員必須先啟用稽核程式建立原則,然後啟用擴充記錄的功能。 如需詳細資訊,請參閱 Microsoft 知識庫文章3004375。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 2 月 10 日):已發佈諮詢。
頁面產生的 2015-02-03 14:23Z-08:00。