コマンド ライン プロセスの監査Command line process auditing

適用先:Windows Server 2016、Windows Server 2012 R2Applies To: Windows Server 2016, Windows Server 2012 R2

作成者:Justin Turner、シニア サポート エスカレーション エンジニア、Windows グループAuthor: Justin Turner, Senior Support Escalation Engineer with the Windows group

注意

この内容は Microsoft カスタマー サポート エンジニアによって作成され、TechNet が通常提供しているトピックよりも詳細な Windows Server 2012 R2 の機能やソリューションの技術的説明を求めている、経験豊かな管理者とシステム設計者を対象としています。This content is written by a Microsoft customer support engineer, and is intended for experienced administrators and systems architects who are looking for deeper technical explanations of features and solutions in Windows Server 2012 R2 than topics on TechNet usually provide. ただし、TechNet と同様の編集過程は実施されていないため、言語によっては通常より洗練されていない文章が見られる場合があります。However, it has not undergone the same editing passes, so some of the language may seem less polished than what is typically found on TechNet.

概要Overview

  • 既存のプロセス作成監査イベント 4688 の ID には、今すぐコマンド ライン プロセスの監査情報が含まれます。The pre-existing process creation audit event ID 4688 will now include audit information for command line processes.

  • Applocker イベント ログに実行可能ファイルの SHA1/2 のハッシュもログにはIt will also log SHA1/2 hash of the executable in the Applocker event log

    • アプリケーションとサービス Logs\Microsoft\Windows\AppLockerApplication and Services Logs\Microsoft\Windows\AppLocker
  • GPO を使用して有効にしたが、既定で無効になっていますYou enable via GPO, but it is disabled by default

    • 「プロセス作成イベントにコマンドラインを含める」"Include command line in process creation events"

コマンドラインの監査

図 SEQ 図\*アラビア 16 イベント 4688Figure SEQ Figure \* ARABIC 16 Event 4688

REF _Ref366427278 \h 図 16 で更新されるイベント ID 4688 を確認します。Review the updated event ID 4688 in REF _Ref366427278 \h Figure 16. この更新プログラムの前の情報のいずれもプロセス コマンド ラインログに記録を取得します。Prior to this update none of the information for Process Command Line gets logged. この追加のログ記録のためだけでなく、wscript.exe プロセスの開始が、VB スクリプトを実行するために使用もが今すぐ確認できます。Because of this additional logging we can now see that not only was the wscript.exe process started, but that it was also used to execute a VB script.

構成Configuration

この更新プログラムの効果を確認するには、2 つのポリシー設定を有効にする必要があります。To see the effects of this update, you will need to enable two policy settings.

プロセス作成の監査のイベント ID 4688 の参照を有効になっている監査が必要です。You must have Audit Process Creation auditing enabled to see event ID 4688.

プロセス作成の監査ポリシーを有効にするには、次のグループ ポリシーを編集します。To enable the Audit Process Creation policy, edit the following group policy:

ポリシーの場所: コンピューターの構成 > ポリシー > Windows の設定 > セキュリティ設定 > 監査の構成の詳細 > 追跡の詳細Policy location: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Configuration > Detailed Tracking

ポリシー名: プロセス作成の監査Policy Name: Audit Process Creation

サポートされています。 Windows 7 以降Supported on: Windows 7 and above

説明/ヘルプ:Description/Help:

このセキュリティ ポリシーの設定は、オペレーティング システムがプロセスには (開始) が作成されると、監査イベントと、プログラムまたは作成したユーザーの名前を生成するかどうかを判断します。This security policy setting determines whether the operating system generates audit events when a process is created (starts) and the name of the program or user that created it.

これらのイベントの監査、コンピューターの使用方法を理解するのに役立つとユーザーの利用状況を追跡するためにします。These audit events can help you understand how a computer is being used and to track user activity.

イベント ボリューム:低 ~ 中、システムの使用状況に応じてEvent volume: Low to medium, depending on system usage

既定値: 未構成Default: Not configured

イベント ID 4688 への追加を確認するためには、新しいポリシー設定を有効にする必要があります。プロセス作成イベントにコマンド ラインを含めるIn order to see the additions to event ID 4688, you must enable the new policy setting: Include command line in process creation events

SEQ テーブル\*アラビア語の 19 コマンド ライン プロセスのポリシー設定Table SEQ Table \* ARABIC 19 Command line process policy setting

ポリシーの構成Policy Configuration 詳細Details
[パス]Path 管理 Templates\System\Audit プロセスの作成Administrative Templates\System\Audit Process Creation
設定Setting プロセス作成イベントにコマンドラインを含めるInclude command line in process creation events
既定の設定Default setting 未構成 (無効)Not Configured (not enabled)
サポートされています。Supported on: ??
説明Description このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。This policy setting determines what information is logged in security audit events when a new process has been created.

この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。This setting only applies when the Audit Process Creation policy is enabled. このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。If you enable this policy setting the command line information for every process will be logged in plain text in the security event log as part of the Audit Process Creation event 4688, "a new process has been created," on the workstations and servers on which this policy setting is applied.

このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。If you disable or do not configure this policy setting, the process's command line information will not be included in Audit Process Creation events.

既定:未構成Default: Not configured

注:このポリシー設定を有効にすると、いずれかのコマンドライン引数を正常に読み取られたことが、セキュリティ イベントの読み取りアクセス権を持つすべてのユーザーは、プロセスを作成します。Note: When this policy setting is enabled, any user with access to read the security events will be able to read the command line arguments for any successfully created process. コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。Command line arguments can contain sensitive or private information such as passwords or user data.

コマンドラインの監査

高度な監査ポリシーの構成設定を使用する場合は、これらの設定が、基本的な監査ポリシーの設定によって上書きされないことを確認する必要があります。When you use Advanced Audit Policy Configuration settings, you need to confirm that these settings are not overwritten by basic audit policy settings. 設定が上書きされると、4719 イベントが記録されます。Event 4719 is logged when the settings are overwritten.

コマンドラインの監査

すべての基本の監査ポリシーの設定からアプリケーションをブロックして競合を防ぐ方法を、次の手順に示します。The following procedure shows how to prevent conflicts by blocking the application of any basic audit policy settings.

監査ポリシーの詳細な構成の設定が上書きされていないことを確認するにはTo ensure that Advanced Audit Policy Configuration settings are not overwritten

コマンドラインの監査

  1. グループ ポリシー管理コンソールを開くOpen the Group Policy Management console

  2. 既定のドメイン ポリシーを右クリックし、[編集] をクリックします。Right-click Default Domain Policy, and then click Edit.

  3. コンピューターの構成をダブルクリックし、[ポリシー] をダブルクリックし、[Windows 設定] をダブルクリックします。Double-click Computer Configuration, double-click Policies, and then double-click Windows Settings.

  4. セキュリティ設定 をダブルクリック、ローカル ポリシー をダブルクリックし、セキュリティ オプション をクリックします。Double-click Security Settings, double-click Local Policies, and then click Security Options.

  5. 監査をダブルクリックします。強制的に監査ポリシー サブカテゴリ設定 (Windows Vista またはそれ以降) を監査ポリシー カテゴリの設定をオーバーライドし、このポリシー設定を定義する順にクリックします。Double-click Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, and then click Define this policy setting.

  6. 有効 をクリックし、ok をクリックします。Click Enabled, and then click OK.

その他のリソースAdditional Resources

プロセス作成の監査Audit Process Creation

セキュリティ監査ポリシーのステップ バイ ステップ ガイドの詳細Advanced Security Audit Policy Step-by-Step Guide

AppLocker:よく寄せられる質問AppLocker: Frequently Asked Questions

これを試してください。コマンド ライン プロセスの監査を詳細します。Try This: Explore command line process auditing

  1. 有効にするプロセス作成の監査イベント、高度な監査ポリシーの構成が上書きされないように、Enable Audit Process Creation events and ensure the Advance Audit Policy configuration is not overwritten

  2. 関心のある一部のイベントを生成し、スクリプトを実行するスクリプトを作成します。Create a script that will generate some events of interest and execute the script. イベントを確認します。Observe the events. 次のように、レッスンでは、イベントを生成するためのスクリプト。The script used to generate the event in the lesson looked like this:

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward  
    copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward  
    start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs  
    del c:\systemfiles\temp\*.* /Q  
    
  3. コマンド ライン プロセスの監査を有効にします。Enable the command line process auditing

  4. 以前と同じスクリプトを実行し、イベントを確認しますExecute the same script as before and observe the events