Auditoría de proceso de línea de comandos
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016 R2, Windows Server 2012
Autor: Justin Turner, ingeniero de escalado de soporte técnico sénior con el grupo de Windows
Nota
Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.
Información general
El identificador de evento de auditoría de creación de procesos preexistente 4688 ahora incluirá información de auditoría para los procesos de la línea de comandos.
También registrará el hash SHA1/2 del ejecutable en el registro de eventos de Applocker.
- Registros de aplicaciones y servicios\Microsoft\Windows\AppLocker
Se habilita a través de GPO, pero está deshabilitado de forma predeterminada.
- "Incluir línea de comandos en eventos de creación de procesos"
Figura SEQ Figura \* Árabe 16 Evento 4688
Revise el identificador de evento actualizado 4688 en REF _Ref366427278 \h Figura 16. Antes de esta actualización, no se registra ninguna de las informaciones de la línea de comandos de proceso . Debido a este registro adicional, ahora podemos ver que no solo se inició el proceso de wscript.exe, sino que también se usó para ejecutar un script de VB.
Configuración
Para ver los efectos de esta actualización, deberá habilitar dos configuraciones de directiva.
Debe tener habilitada la auditoría auditar creación de procesos para ver el identificador de evento 4688.
Para habilitar la directiva auditar creación de procesos, edite la siguiente directiva de grupo:
Ubicación de la directiva: Directivas de configuración >> del equipo Windows Configuración Seguridad Configuración >> seguimiento detallado de la configuración > de auditoría avanzada
Nombre de directiva: Auditar creación de procesos
Compatible con: Windows 7 y versiones posteriores
Descripción/Ayuda:
Esta configuración de directiva de seguridad determina si el sistema operativo genera eventos de auditoría cuando se crea un proceso (se inicia) y el nombre del programa o usuario que lo creó.
Estos eventos de auditoría pueden ayudarle a comprender cómo se usa un equipo y realizar un seguimiento de la actividad del usuario.
Volumen de eventos: bajo a medio, según del uso del sistema
Predeterminado: No configurado
Para ver las adiciones al identificador de evento 4688, debe habilitar la nueva configuración de directiva: Incluir la línea de comandos en eventos de creación de procesos.
Tabla SEQ Tabla \* Configuración de directiva de proceso de línea de comandos ÁRABE 19
| Configuración de directivas | Detalles |
|---|---|
| Path | Plantillas administrativas\System\Audit Process Creation |
| Configuración | Incluir línea de comandos en eventos de creación de procesos |
| Configuración predeterminada | No configurado (no habilitado) |
| Compatible con: | ? |
| Descripción | Esta configuración de directiva determina qué información se registra en eventos de auditoría de seguridad cuando se ha creado un nuevo proceso. Esta configuración solo se aplica cuando la directiva de creación de procesos de auditoría está habilitada. Si habilita esta configuración de directiva, la información de la línea de comandos de cada proceso se registrará en texto sin formato en el registro de eventos de seguridad como parte del evento de creación de procesos de auditoría 4688, "se ha creado un nuevo proceso", en las estaciones de trabajo y los servidores en los que se ha aplicado esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva, la información de línea de comandos del proceso no se incluirá en los eventos de creación de procesos de auditoría. Valor predeterminado: no configurado Nota: Cuando esta configuración de directiva está habilitada, cualquier usuario con acceso para leer los eventos de seguridad podrá leer los argumentos de la línea de comandos para cualquier proceso creado correctamente. Los argumentos de la línea de comandos pueden contener información confidencial o privada, como contraseñas o datos de usuario. |
Si usa la Configuración de directiva de auditoría avanzada, deberá confirmar que la configuración de directiva de auditoría básica no la sobrescribe. El evento 4719 se registra cuando se sobrescribe la configuración.
En el procedimiento siguiente se muestra cómo evitar conflictos bloqueando la aplicación de cualquier configuración de directiva de auditoría básica.
Para asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada
Abra la consola de administración de directiva de grupo
Haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, haga clic en Editar.
Haga doble clic en Configuración del equipo, haga doble clic en Directivasy, a continuación, haga doble clic en Configuración de Windows.
Haga doble clic en Seguridad Configuración, haga doble clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.
Haga doble clic en Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría y, a continuación, haga clic en Definir esta configuración de directiva.
Haga clic en Habilitaday, a continuación, haga clic en Aceptar.
Recursos adicionales
Guía paso a paso de la directiva de auditoría de seguridad avanzada
AppLocker: Preguntas más frecuentes
Pruebe esto: Explorar la auditoría de procesos de línea de comandos
Habilite los eventos de creación de procesos de auditoría y asegúrese de que no se sobrescribe la configuración de directiva de auditoría avanzada.
Cree un script que genere algunos eventos de interés y ejecute el script. Observe los eventos. El script usado para generar el evento en la lección tenía este aspecto:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QHabilitación de la auditoría del proceso de línea de comandos
Ejecute el mismo script que antes y observe los eventos.