Auditoría de proceso de línea de comandos
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016 R2, Windows Server 2012
Autor: Justin Turner, ingeniero sénior de escalación de soporte técnico con el grupo de Windows
Nota
Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.
Información general
El identificador de evento de auditoría de creación de procesos preexistente 4688 ahora incluirá información de auditoría de los procesos de la línea de comandos.
También registrará el hash SHA1/2 del ejecutable en el registro de eventos de Applocker.
- Registros de aplicaciones y servicios\Microsoft\Windows\AppLocker
Se habilita mediante GPO, pero está deshabilitado de forma predeterminada
- "Incluir línea de comandos en eventos de creación de procesos"
Figure SEQ Figure \* ARABIC 16 Event 4688
Revise el identificador de evento actualizado 4688 en REF _Ref366427278 \h Figura 16. Antes de esta actualización, no se registraba ninguna de las informaciones de la línea de comandos de proceso. Debido a este registro adicional, ahora podemos ver que no solo se inició el proceso de wscript.exe, sino que también se usó para ejecutar un script de VB.
Configuración
Para ver los efectos de esta actualización, tendrá que habilitar dos valores de la directiva.
Debe tener habilitada la auditoría de creación de procesos de auditoría para ver el identificador de evento 4688.
Para habilitar la directiva de creación de procesos de auditoría, edite la siguiente directiva de grupo:
Ubicación de directiva: Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de auditoría > Seguimiento detallado
Nombre de la directiva: Creación de procesos de auditoría
Se admite en: Windows 7 y versiones posteriores
Descripción/Ayuda:
Esta configuración de directiva de seguridad determina si el sistema operativo genera eventos de auditoría cuando se crea un proceso (se inicia) y el nombre del programa o usuario que lo creó.
Estos eventos de auditoría pueden ayudarle a realizar un seguimiento de la actividad del usuario y comprender cómo se utiliza un equipo.
Volumen de eventos: bajo a medio, según del uso del sistema
Valor predeterminado: No configurado
Para ver las adiciones al identificador de evento 4688, debe habilitar la nueva configuración de directiva: Incluir línea de comandos en eventos de creación de procesos
Tabla SEQ Tabla \* ÁRABE 19 Configuración de directiva de proceso de línea de comandos
| Configuración de directivas | Detalles |
|---|---|
| Ruta de acceso | Plantillas administrativas\Sistema\Auditar creación de procesos |
| Configuración | Incluir línea de comandos en eventos de creación de procesos |
| Configuración predeterminada | No configurado (no habilitado) |
| Compatible con: | ? |
| Descripción | Esta configuración de directiva determina la información que se registra en los eventos de auditoría de seguridad cuando se crea un nuevo proceso. Esta configuración solo se aplica cuando la directiva de creación de procesos de auditoría está habilitada. Si habilita esta configuración de directiva, la información de la línea de comandos de cada proceso se registrará en texto sin formato en el registro de eventos de seguridad como parte del evento de creación de procesos de auditoría 4688, "se ha creado un nuevo proceso", en las estaciones de trabajo y los servidores en los que se ha aplicado esta configuración de directiva. Si deshabilita este valor de la directiva, o no lo configura, la información de línea de comandos del proceso no se incluirá en los eventos de creación de procesos de auditoría. Valor predeterminado: no configurado Nota: Si esta configuración de directiva está habilitada, cualquier usuario con acceso para leer los eventos de seguridad podrá leer los argumentos de la línea de comandos de cualquier proceso creado correctamente. Los argumentos de la línea de comandos pueden contener información confidencial o privada, como contraseñas o datos de usuario. |
Si usa los valores de Configuración de directiva de auditoría avanzada, deberá confirmar que no los sobrescribe la directiva de auditoría básica. El evento 4719 se registra cuando se sobrescribe la configuración.
En el procedimiento siguiente se muestra cómo evitar conflictos bloqueando la aplicación de cualquier configuración de directiva de auditoría básica.
Para asegurarse de que no se sobrescriben los valores de Configuración de directiva de auditoría avanzada
Abra la consola de administración de directivas de grupo.
Haga clic con el botón derecho en Directiva predeterminada de dominio y seleccione Editar.
Haga doble clic en Configuración del equipo, haga doble clic en Directivasy, a continuación, haga doble clic en Configuración de Windows.
Haga doble clic en Configuración de seguridad, luego en Directivas locales y, finalmente, seleccione Opciones de seguridad.
Haga doble clic en Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría y, después, seleccione Definir esta configuración de directiva.
Selecciona Habilitado y después selecciona Aceptar.
Recursos adicionales
Guía paso a paso de la directiva de auditoría de seguridad avanzada
AppLocker: Preguntas más frecuentes
Pruebe esto: Exploración de la auditoría de procesos de línea de comandos
Habilite los eventos de Auditar creación de procesos y asegúrese de que no se sobrescribe la configuración de la directiva de auditoría avanzada
Cree un script que genere algunos eventos de interés y ejecute el script. Observe los eventos. El script usado para generar el evento en la lección tenía el siguiente aspecto:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QHabilitar auditoría de procesos de línea de comandos
Ejecute el mismo script que antes y observe los eventos.