명령줄 프로세스 감사

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

작성자: 저스틴 터너, Windows 그룹의 수석 지원 에스컬레이션 엔지니어

참고 항목

이 콘텐츠는 Microsoft 고객 지원 엔지니어에 의해 작성되었으며 Windows Server 2012 R2의 기능 및 솔루션에 대해 TechNet에서 일반적으로 제공하는 항목보다 더 자세한 기술적 설명을 찾고 있는 숙련된 관리자 및 시스템 설계자를 대상으로 합니다. 그러나 동일한 편집 과정을 수행하지 않았으므로 일부 언어는 일반적으로 TechNet에서 찾을 수 있는 것보다 완벽하지 않을 수 있습니다.

개요

  • 기존 프로세스 만들기 감사 이벤트 ID 4688에는 이제 명령줄 프로세스에 대한 감사 정보가 포함됩니다.

  • 또한 Applocker 이벤트 로그에 실행 파일의 SHA1/2 해시를 기록합니다.

    • 애플리케이션 및 서비스 로그\Microsoft\Windows\AppLocker

  • GPO를 통해 사용하도록 설정하지만 기본적으로 사용하지 않도록 설정됩니다.

    • "프로세스 만들기 이벤트에 명령줄 포함"

Screenshot that highlights the Process Command Line.

그림 SEQ 그림 \* ARABIC 16 이벤트 4688

REF _Ref366427278 \h 그림 16에서 업데이트된 이벤트 ID 4688을 검토합니다. 이 업데이트 전에는 프로세스 명령줄에 대한 정보가 기록되지 않습니다. 이 추가 로깅으로 인해 이제 wscript.exe 프로세스가 시작되었을 뿐만 아니라 VB 스크립트를 실행하는 데도 사용되었음을 알 수 있습니다.

구성

이 업데이트의 효과를 보려면 두 가지 정책 설정을 사용하도록 설정해야 합니다.

이벤트 ID 4688을 보려면 감사 프로세스 만들기 감사를 사용하도록 설정해야 합니다.

감사 프로세스 만들기 정책을 사용하도록 설정하려면 다음 그룹 정책을 편집합니다.

정책 위치: 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 구성 > 세부 추적

정책 이름: 감사 프로세스 만들기

지원됨: Windows 7 이상

설명/도움말:

이 보안 정책 설정은 프로세스가 생성(시작)될 때 운영 체제에서 감사 이벤트를 생성하는지 여부와 이를 만든 프로그램 또는 사용자의 이름을 결정합니다.

이러한 감사 이벤트는 컴퓨터가 사용되는 방식을 이해하고 사용자 활동을 추적하는 데 도움이 될 수 있습니다.

이벤트 볼륨: 시스템 사용량에 따라 낮음에서 중간으로

기본값: 구성되지 않음

이벤트 ID 4688에 대한 추가 기능을 보려면 새 정책 설정을 사용하도록 설정해야 합니다. 프로세스 생성 이벤트에 명령줄 포함

테이블 SEQ 테이블 \* ARABIC 19 명령줄 프로세스 정책 설정

정책 구성 세부 정보
Path 관리istrative Templates\System\Audit Process Creation
설정 프로세스 만들기 이벤트에 명령줄 포함
기본 설정 구성되지 않음(사용 안 함)
다음에서 지원됩니다. ?
설명 이 정책 설정은 새 프로세스가 생성될 때 보안 감사 이벤트에 기록되는 정보를 결정합니다.

이 설정은 감사 프로세스 만들기 정책을 사용하는 경우에만 적용됩니다. 이 정책 설정을 사용하면 모든 프로세스에 대한 명령줄 정보가 이 정책 설정이 적용되는 워크스테이션 및 서버에서 감사 프로세스 만들기 이벤트 4688의 일부로 보안 이벤트 로그에 일반 텍스트로 기록됩니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 프로세스의 명령줄 정보가 Audit Process Creation 이벤트에 포함되지 않습니다.

기본값: 구성되지 않음

참고: 이 정책 설정을 사용하도록 설정하면 보안 이벤트를 읽을 수 있는 액세스 권한이 있는 사용자는 성공적으로 생성된 모든 프로세스에 대한 명령줄 인수를 읽을 수 있습니다. 명령줄 인수는 암호 또는 사용자 데이터와 같은 중요한 또는 개인 정보를 포함할 수 있습니다.

Screenshot that shows

고급 감사 정책 구성 설정을 사용하는 경우 이러한 설정이 기본 감사 정책 설정으로 덮어쓰여지지 않는지 확인해야 합니다. 설정이 덮어쓰여지면 이벤트 4719가 기록됩니다.

Screenshot that shows the Include command line in process creation events dialog box.

다음 절차에서는 기본 감사 정책 설정을 적용하지 못하도록 차단하여 충돌을 방지하는 방법을 보여 줍니다.

고급 감사 정책 구성 설정을 덮어쓰지 않도록 하려면

command-line auditing

  1. 그룹 정책 관리 콘솔 열기

  2. 기본 Do기본 정책을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  3. 컴퓨터 구성을 두 번 클릭하고 정책을 두 번 클릭한 다음 Windows 설정을 두 번 클릭합니다.

  4. 보안 설정 두 번 클릭하고 로컬 정책을 두 번 클릭한 다음 보안 옵션을 선택합니다.

  5. 감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 강제로 클릭하여 감사 정책 범주 설정을 재정의한 다음, 이 정책 설정 정의를 선택합니다.

  6. 사용를 선택한 다음, 확인을 선택합니다.

추가 리소스

프로세스 만들기 감사

고급 보안 감사 정책 단계별 가이드

AppLocker: 질문과 대답

이 시도: 명령줄 프로세스 감사 살펴보기

  1. 감사 프로세스 만들기 이벤트를 사용하도록 설정하고 고급 감사 정책 구성을 덮어쓰지 않도록 합니다.

  2. 관심 있는 일부 이벤트를 생성하는 스크립트를 만들고 스크립트를 실행합니다. 이벤트를 관찰합니다. 단원에서 이벤트를 생성하는 데 사용되는 스크립트는 다음과 같습니다.

    mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs
del c:\systemfiles\temp\*.* /Q

  3. 명령줄 프로세스 감사 사용

  4. 이전과 동일한 스크립트를 실행하고 이벤트를 관찰합니다.