Audit des processus de ligne de commande

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Auteur : Justin Turner, ingénieur support senior avec le groupe Windows

Notes

Ce contenu est écrit par un ingénieur du support client Microsoft et est destiné aux administrateurs expérimentés et aux architectes système qui recherchent des explications techniques plus approfondies des fonctionnalités et des solutions Windows Server 2012 R2 que n'en proposent généralement les rubriques de TechNet. Toutefois, il n'a pas subi les mêmes passes de correction. De ce fait, une partie du langage peut sembler moins finalisée que le contenu de TechNet.

Vue d’ensemble

  • L’ID d’événement d’audit de création de processus préexistant 4688 inclut désormais des informations d’audit pour les processus de ligne de commande.

  • Il journalisera également le code de hachage SHA1/2 de l’exécutable dans le journal des événements Applocker

    • Journaux des applications et des services\Microsoft\Windows\AppLocker

  • L’activation se fait par le biais d’un GPO, mais il est désactivé par défaut

    • « Inclure la ligne de commande dans les événements de création de processus »

Screenshot that highlights the Process Command Line.

Figure SEQ Figure \* ARABIC 16 Event 4688

Passez en revue l’ID d’événement 4688 mis à jour dans REF _Ref366427278 \h Figure 16. Avant cette mise à jour, aucune des informations relatives à la ligne de commande du processus n’est journalisée. En raison de cette journalisation supplémentaire, nous pouvons maintenant voir que non seulement le processus wscript.exe a démarré, mais qu’il a également été utilisé pour exécuter un script VB.

Configuration

Pour voir les effets de cette mise à jour, vous devez activer deux paramètres de stratégie.

L’audit de création du processus d’audit doit être activé pour voir l’ID d’événement 4688.

Pour activer la stratégie de création de processus d’audit, modifiez la stratégie de groupe suivante :

Emplacement de la stratégie : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration d’audit avancée > Suivi détaillé

Nom de la stratégie : Création du processus d’audit

Pris en charge dans : Windows 7 et version ultérieure

Description/Aide :

Ce paramètre de stratégie de sécurité détermine si le système d’exploitation génère des événements d’audit lorsqu’un processus est créé (démarre) et le nom du programme ou de l’utilisateur qui l’a créé.

Ces événements d’audit peuvent vous aider à comprendre comment un ordinateur est utilisé et à suivre l’activité des utilisateurs.

Volume d’événement : faible à moyen, selon l’utilisation du système

Par défaut : Non configuré

Pour voir les ajouts à l’ID d’événement 4688, vous devez activer le nouveau paramètre de stratégie : Inclure la ligne de commande dans les événements de création de processus

Table SEQ Table \* ARABIC 19 Paramètre de stratégie de processus de ligne de commande

Configuration de la stratégie Détails
Chemin d’accès Modèles d’administration\Système\Création du processus d’audit
Paramètre Inclure la ligne de commande dans les événements de création de processus
Paramètre par défaut Non configuré (non activé)
Pris en charge sur : ?
Description Ce paramètre de stratégie détermine les informations qui sont consignées dans les événements d’audit de sécurité lors de la création d’un nouveau processus.

Ce paramètre s’applique uniquement lorsque la stratégie d’audit de la création de processus est activée. Si vous activez cette stratégie, les informations de ligne de commande pour chaque processus seront journalisées en texte brut dans le journal des événements de sécurité dans le cadre de l’événement d’audit de la création de processus 4688, « Un nouveau processus a été créé » sur les stations de travail et les serveurs sur lesquels ce paramètre de stratégie est appliqué.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les informations de ligne de commande du processus ne sont pas incluses dans les événements d’audit de la création de processus.

Par défaut : non configuré

Remarque : lorsque ce paramètre de stratégie est activé, tout utilisateur disposant d’un accès pour lire les événements de sécurité peut lire les arguments de ligne de commande pour tout processus créé avec succès. Les arguments de ligne de commande peuvent contenir des informations sensibles ou privées, telles que des mots de passe ou des données utilisateur.

Screenshot that shows

Quand vous utilisez les paramètres Configuration avancée de la stratégie d’audit, vous devez confirmer que ces paramètres ne sont pas remplacés par les paramètres de stratégie d’audit de base. L’événement 4719 est consigné lorsque les paramètres sont remplacés.

Screenshot that shows the Include command line in process creation events dialog box.

La procédure suivante montre comment éviter les conflits en bloquant l’application de tous les paramètres de stratégie d’audit de base.

Pour vérifier que les paramètres de Configuration avancée de la stratégie d’audit ne sont pas remplacés

command-line auditing

  1. Ouvrir la console de gestion des stratégies de groupe

  2. Cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis sélectionnez Modifier.

  3. Double-cliquez sur Configuration ordinateur, sur Stratégies, puis sur Paramètres Windows.

  4. Double-cliquez sur Paramètres de sécurité, double-cliquez sur Stratégies locales, puis sélectionnez Options de sécurité.

  5. Double-cliquez sur Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit, puis sélectionnez Définir ce paramètre de stratégie.

  6. Sélectionnez Activé, puis OK.

Ressources supplémentaires

Auditer la création du processus

Guide pas à pas de la stratégie d’audit de sécurité avancée

Forum Aux Questions sur AppLocker

Essayez ceci : Explorer l’audit du processus de ligne de commande

  1. Activer les événements de création de processus d’audit et vérifier que la configuration de la stratégie d’audit préalable n’est pas remplacée

  2. Créez un script qui génère des événements intéressants et exécutez le script. Observez les événements. Le script utilisé pour générer l’événement dans la leçon ressemblait à ceci :

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
del c:\systemfiles\temp\*.* /Q

  3. Activer l’audit des processus de ligne de commande

  4. Exécuter le même script que précédemment et observer les événements