命令行进程审核
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
作者:与Windows组的高级支持升级工程师贾斯汀·特纳
注意
本内容由 Microsoft 客户支持工程师编写,适用于正在查找比 TechNet 主题通常提供的内容更深入的有关 Windows Server 2012 R2 中的功能和解决方案的技术说明的有经验管理员和系统架构师。 但是,它未经过相同的编辑审批,因此某些语言可能看起来不如通常在 TechNet 上找到的内容那么精练。
概述
预先存在的进程创建审核事件 ID 4688 现在将包括命令行进程的审核信息。
它还会在 Applocker 事件日志中记录可执行文件的 SHA1/2 哈希
- 应用程序和服务日志\Microsoft\Windows\AppLocker
通过 GPO 启用,但它默认处于禁用状态
- “在进程创建事件中包含命令行”
图 SEQ 图 \* ARABIC 16 事件 4688
查看 REF _Ref366427278 \h 图 16 中更新的事件 ID 4688。 在此更新之前, 不会记录进程命令行 的任何信息。 由于此附加日志记录,我们现在可以看到,不仅wscript.exe进程已启动,还用于执行VB脚本。
Configuration
若要查看此更新的影响,需要启用两个策略设置。
必须启用审核过程创建审核才能查看事件 ID 4688。
若要启用审核进程创建策略,请编辑以下组策略:
策略位置:计算机配置>策略>Windows 设置>安全设置>高级审核配置>详细跟踪
策略名称: 审核过程创建
支持:Windows 7 及更高版本
说明/帮助:
此安全策略设置确定在创建进程时操作系统是否生成审核事件 (启动) 以及创建它的程序或用户的名称。
这些审核事件可帮助你了解计算机使用方式和跟踪用户活动的方式。
事件量:低到中等,具体取决于系统使用情况
默认: 未配置
若要查看事件 ID 4688 的新增内容,必须启用新策略设置:在进程创建事件中包含命令行
表 SEQ 表 \* ARABIC 19 命令行进程策略设置
| 策略配置 | 详细信息 |
|---|---|
| 路径 | 管理模板\系统\审核过程创建 |
| 设置 | 在过程创建事件中加入命令行 |
| 默认设置 | 未配置 (未启用) |
| 在以下设备上受支持: | ? |
| 说明 | 此策略设置确定创建新进程时在安全审核事件中记录的信息。 仅当启用了“审核过程创建”策略时,此设置才会应用。 如果启用此策略设置,则在应用了此策略设置的工作站和服务器上,每个过程的命令行信息都将以纯文本形式记录在安全事件日志中(作为审核过程创建事件 4688“已创建了一个新过程”的一部分)。 如果禁用或未配置此策略设置,则审核过程创建事件中将不会包括该过程的命令行信息。 默认:未配置 注意:启用此策略设置后,有权读取安全事件的任何用户将能够读取任何成功创建进程的命令行参数。 命令行参数可包含敏感信息或私人信息,例如密码或用户数据。 |
当使用“高级审核策略配置”设置时,您需要确认这些设置不会被基本审核策略设置覆盖。 覆盖设置时记录事件 4719。
以下过程显示了如何通过阻止应用任何基本审核策略设置来避免冲突。
确保“高级审核策略配置”设置不被覆盖
打开组策略管理控制台
右键单击“默认域策略”,然后单击“编辑”。
依次双击 “计算机配置”、 “策略”和 “Windows 设置”。
双击安全设置,双击“本地策略”,然后单击“安全选项”。
双击“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”,然后单击“定义此策略设置”。
单击 “启用”,然后单击 “确定”。
其他资源
尝试此操作:浏览命令行进程审核
启用 审核进程创建 事件并确保未覆盖高级审核策略配置
创建将生成一些感兴趣的事件并执行脚本的脚本。 观察事件。 用于在课程中生成事件的脚本如下所示:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /Q启用命令行进程审核
执行与之前相同的脚本并观察事件