Überwachen von Befehlszeilenprozessen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Autor: Justin Turner, Senior Support Escalation Engineer bei der Windows-Gruppe

Hinweis

Dieser Inhalt wurde von einem Mitarbeiter des Microsoft-Kundendiensts geschrieben und richtet sich an erfahrene Administratoren und Systemarchitekten, die einen tieferen technischen Einblick in die Funktionen und Lösungen von Windows Server 2012 R2 suchen, als Ihnen die Themen im TechNet bieten können. Allerdings wurde er nicht mit der gleichen linguistischen Sorgfalt überprüft wie für die Artikel des TechNet üblich, so dass die Sprache gelegentlich holprig klingen mag.

Übersicht

  • Die bereits vorhandene Überwachungsereignis-ID 4688 für die Prozesserstellung enthält jetzt Überwachungsinformationen für Befehlszeilenprozesse.

  • Außerdem wird der SHA1/2-Hash der ausführbaren Datei im Applocker-Ereignisprotokoll protokolliert.

    • Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker

  • Die Aktivierung erfolgt über das GPO, was jedoch standardmäßig deaktiviert ist.

    • „Befehlszeile in Prozesserstellungsereignisse einschließen“

Screenshot that highlights the Process Command Line.

Figure SEQ Abbildung \* ARABISCH 16 Ereignis 4688

Überprüfen Sie die aktualisierte Ereignis-ID 4688 in REF _Ref366427278 \h, Abbildung 16. Vor diesem Update wird keine der Informationen für die Prozessbefehlszeile protokolliert. Aufgrund dieser zusätzlichen Protokollierung können wir nun sehen, dass der wscript.exe-Prozess nicht nur gestartet wurde, sondern dass er auch zum Ausführen eines VB-Skripts verwendet wurde.

Konfiguration

Um die Auswirkungen dieses Updates zu sehen, müssen Sie zwei Richtlinieneinstellungen aktivieren.

Für die Anzeige der Ereignis-ID 4688 muss die Prüfung der Überwachungsprozesserstellung aktiviert sein.

Bearbeiten Sie die folgende Gruppenrichtlinie, um die Richtlinie zur Überwachungsprozesserstellung zu aktivieren:

Speicherort der Richtlinie: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungskonfiguration > Detaillierte Nachverfolgung

Name der Richtlinie: Überwachungsprozesserstellung

Unterstützt unter: Windows 7 und höher

Beschreibung/Hilfe:

Diese Sicherheitsrichtlinieneinstellung bestimmt, ob das Betriebssystem Überwachungsereignisse generiert, wenn ein Prozess erstellt (gestartet) wird, und ermittelt den Namen des Programms oder Benutzers, von dem der Prozess erstellt wurde.

Diese Überwachungsereignisse helfen Ihnen dabei, zu verstehen, wie ein Computer verwendet wird, und Benutzeraktivitäten nachzuverfolgen.

Ereignisvolumen: Niedrig bis mittel, je nach Systemnutzung

Standardeinstellung: Nicht konfiguriert

Um die Ergänzungen zur Ereignis-ID 4688 anzuzeigen, müssen Sie die neue Richtlinieneinstellung aktivieren: „Befehlszeile in Prozesserstellungsereignisse einschließen“.

Table SEQ Tabelle \* ARABISCH 19 Richtlinieneinstellung für Befehlszeilenprozess

Richtlinienkonfiguration Details
Pfad Administrative Vorlagen\System\Überwachungsprozesserstellung
Einstellung Befehlszeile in Prozesserstellungsereignisse einschließen
Standardeinstellung Nicht konfiguriert (nicht aktiviert)
Unterstützt auf: ?
Beschreibung Mit dieser Richtlinieneinstellung wird festgelegt, welche Informationen in Sicherheitsüberwachungsereignissen protokolliert werden, wenn ein neuer Prozess erstellt wurde.

Diese Einstellung gilt nur, wenn die Richtlinie „Prozesserstellung überwachen“ aktiviert ist. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Befehlszeileninformationen für jeden Prozess im Rahmen des Ereignisses 4688, „Prozesserstellung überwachen“, auf den Arbeitsstationen und Servern, auf denen diese Richtlinieneinstellung angewendet wird, als Nur-Text im Sicherheitsereignisprotokoll protokolliert.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Befehlszeileninformationen des Prozesses nicht in Ereignisse vom Typ „Prozesserstellung überwachen“ eingeschlossen.

Standard: Nicht konfiguriert

Hinweis: Wenn diese Richtlinieneinstellung aktiviert ist, kann jeder Benutzer mit Lesezugriff für die Sicherheitsereignisse die Befehlszeilenargumente für jeden erfolgreich erstellten Prozess lesen. Befehlszeilenargumente können vertrauliche oder private Informationen (z. B. Kennwörter oder Benutzerdaten) enthalten.

Screenshot that shows

Wenn Sie die Einstellungen für die erweiterte Überwachungsrichtlinienkonfiguration verwenden, müssen Sie sicherstellen, dass diese Einstellungen nicht von den grundlegenden Überwachungsrichtlinieneinstellungen überschrieben werden. Protokollierungsort von Ereignis 4719, wenn die Einstellungen überschrieben werden

Screenshot that shows the Include command line in process creation events dialog box.

Das folgende Verfahren veranschaulicht, wie Sie Konflikte verhindern, indem Sie die Anwendung grundlegender Überwachungsrichtlinieneinstellungen blockieren.

So stellen Sie sicher, dass die Einstellungen unter „Erweiterte Überwachungsrichtlinienkonfiguration“ nicht überschrieben werden

command-line auditing

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Klicken Sie mit der rechten Maustaste auf „Standarddomänenrichtlinie“, und wählen Sie dann „Bearbeiten“ aus.

  3. Doppelklicken Sie auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, und doppelklicken Sie dann auf Windows-Einstellungen.

  4. Doppelklicken Sie auf „Sicherheitseinstellungen“ und auf „Lokale Richtlinien“, und wählen Sie dann „Sicherheitsoptionen“ aus.

  5. Doppelklicken Sie auf „Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen“, und wählen Sie dann „Diese Richtlinieneinstellung definieren“ aus.

  6. Wählen Sie Aktiviert aus, und klicken Sie dann auf OK.

Weitere Ressourcen

Prozesserstellung überwachen

Schrittweise Anleitung für die erweiterte Sicherheitsüberwachungsrichtlinie

AppLocker: Häufig gestellte Fragen

Versuchen Sie Folgendes: Erkunden der Befehlszeilenprozessüberwachung

  1. Aktivieren sie Ereignisse im Zusammenhang mit der Überwachungsprozesserstellung, und stellen Sie sicher, dass die Konfiguration der erweiterten Überwachungsrichtlinie nicht überschrieben wird.

  2. Erstellen Sie ein Skript, das einige Ereignisse von Interesse generiert, und führen Sie es aus. Beobachten Sie die Ereignisse. Das Skript, das zum Generieren des Ereignisses in der Lektion verwendet wurde, sah wie folgt aus:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
del c:\systemfiles\temp\*.* /Q

  3. Aktivieren Sie die Überwachung von Befehlszeilenprozessen.

  4. Führen Sie dasselbe Skript wie zuvor aus, und beobachten Sie die Ereignisse.