Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3004375

Atualização para a Auditoria da Linha de Comando do Windows

Publicado em: 10.02.15

Versão: 1.0

Informações Gerais

Resumo executivo

A Microsoft está anunciando a disponibilidade de uma atualização para edições suportadas do Windows 7, Windows Server 2008R2, Windows 8 e Windows Server 2012 que expande a política de Criação do Processo de Auditoria para incluir a informação de comando transmitida para cada processo. Esse é um novo recurso que fornece informações valiosas para ajudar os administradores a investigar, monitorar e resolver problemas relacionados à segurança em suas redes. Observe que as edições suportadas do Windows 8.1 e Windows Server 2012 R2 já suportam esse recurso. Para obter mais informações e baixar links para instalação manual, consulte o artigo 3004375 da Base de Dados de Conhecimento da Microsoft.

Recomendação. Veja a seção Ações Sugeridas desse comunicado de segurança para obter mais informações.

Softwares afetados

Esse comunicado descreve o seguinte software:

Softwares afetados

Sistema operacional
Windows 7 Service Pack 1 para sistemas de 32 bits
Windows 7 Service Pack 1 para sistemas baseados em x64
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium
Windows 8 para sistemas baseados em 32 bits
Windows 8 para sistemas baseados em x64
Windows Server 2012
Opção de instalação Server Core
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2012 (instalação Server Core)

Perguntas frequentes do comunicado

Qual é o escopo do comunicado?
O objetivo desse comunicado é notificar os clientes que uma atualização está disponível para edições suportadas do Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 que expande a política de Criação do Processo de Auditoria da Linha de Comando do Windows para incluir a informação de comando transmitida para cada processo. Esse novo recurso, quando habilitado e configurado, cria um log de eventos sempre que um processo é criado e inclui a informação da linha de comando transmitida para esse processo. Os eventos serão registrados na ID de evento 4688 existente e salvos no Log de Segurança do Windows. Monitorar esses eventos pode fornecer informações valiosas para ajudar os administradores a investigar e resolver problemas relacionados à segurança.

Como obter essa atualização?
A funcionalidade discutida nesse comunicado pode ser obtida instalando a atualização 3004375 diretamente (veja o artigo 3004375 da Base de Dados de Conhecimento da Microsoft). Observe que a atualização também é agrupada com as atualizações sendo lançadas no MS15-011 (veja o artigo 3000483 da Base de Dados de Conhecimento da Microsoft) e MS15-015 (veja o artigo 3031432 da Base de Dados de Conhecimento da Microsoft). A atualização instalará a atualização 3004375 automaticamente.

O que é a política de Criação do Processo de Auditoria?
A política Criação do Processo de Auditoria é uma política de auditoria de segurança que determina se o sistema operacional gera ou não um evento de auditoria quando um processo é criado. Quando habilitado, um log de eventos com a ID 4688 é gerado e salvo no Log de Segurança do Windows. Como a política está desabilitada por padrão, nenhum evento de auditoria é registrado quando os processos são criados, a não ser que a política esteja habilitada. Além disso, a Política de Criação do Processo de Auditoria deve estar habilitada para o recurso de auditoria da linha de comando expandida descrito nesse comunicado de segurança funcionar. Para obter mais informações sobre a Política de Criação do Processo de Auditoria, veja Criação do Processo de Auditoria.

Como essa atualização altera a ID do evento de segurança 4688?
Depois de instalar e configurar essa atualização de segurança, os administradores verão um elemento recentemente adicionado no evento de segurança 4688 chamado Linha de Comando do Processo, que contém todo o comando que foi executado para o evento em questão.

Como eu configuro os recursos fornecidos com essa atualização?
Os recursos fornecidos com essa atualização são desabilitados por padrão. Depois de instalar a atualização, os administradores primeiro precisarão habilitar a política Criação do Processo de Auditoria e habilitar o recurso para registro em log expandido. Para obter informações adicionais, consulte o artigo 3004375 da Base de Dados de Conhecimento Microsoft.

Por que essa atualização não está disponível para edições suportadas do Windows 8.1 e Windows Server 2012 R2?
A atualização de segurança não está sendo fornecida para edições suportadas do Windows 8.1 e Windows Server 2012 R2 porque os novos recursos discutidos nesse comunicado de segurança já estão presentes nesses sistemas operacionais.

Ações sugeridas

  • Aplique as atualização em versões suportadas do Microsoft Windows

    A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização 3004375 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o artigo 294871 da Base de Dados de Conhecimento da Microsoft.

    Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar a atualização 3004375 manualmente, a Microsoft recomenda que os clientes apliquem a atualização usando o software de gerenciamento de atualização ou verificando se há atualizações usando o serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 3004375 da Base de Dados de Conhecimento da Microsoft.

    Habilitar a política de Criação do Processo de Auditoria e habilitar o Registro em Log Expandido

    Depois de instalar a atualização, os administradores primeiro precisarão habilitar a política Criação do Processo de Auditoria e habilitar o recurso para registro em log expandido. Para obter informações adicionais, consulte o artigo 3004375 da Base de Dados de Conhecimento Microsoft.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10.02.15): Comunicado publicado.

Página gerada em 03.02.15 14:23Z-08:00.