命令行进程审核
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
作者:Justin Turner,Windows 组的高级支持升级工程师
注意
本内容由 Microsoft 客户支持工程师编写,适用于正在查找比 TechNet 主题通常提供的内容更深入的有关 Windows Server 2012 R2 中的功能和解决方案的技术说明的有经验管理员和系统架构师。 但是,它未经过相同的编辑审批,因此某些语言可能看起来不如通常在 TechNet 上找到的内容那么精练。
概述
预先存在的进程创建审核事件 ID 4688 现在将包含命令行进程的审核信息。
它还会在 Applocker 事件日志中记录可执行文件的 SHA1/2 哈希
- 应用程序和服务日志\Microsoft\Windows\AppLocker
通过 GPO 启用,但默认情况下处于禁用状态
- “在进程创建事件中加入命令行”
图 SEQ 图 \* ARABIC 16 事件 4688
在 REF _Ref366427278 \h 图 16 中查看更新的事件 ID 4688。 在此更新之前,不会记录“进程命令行”的任何信息。 由于此附加日志记录,我们现在可以看到 wscript.exe 进程不仅已启动,而且还用于执行 VB 脚本。
配置
若要查看此更新的效果,需要启用两个策略设置。
必须启用审核进程创建审核才能查看事件 ID 4688。
若要启用审核进程创建策略,请编辑以下组策略:
策略位置:计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核配置 > 详细跟踪
策略名称:审核进程创建
支持的操作系统:Windows 7 及更高版本
说明/帮助:
此安全策略设置确定在创建(启动)进程时操作系统是否生成审核事件,以及创建进程的程序或用户的名称。
这些审核事件可帮助你了解计算机的使用方式以及跟踪用户活动的方式。
事件量:从低到中,具体取决于系统使用情况
默认值:未配置
若要查看事件 ID 4688 的添加项,必须启用新的策略设置:在进程创建事件中加入命令行
表 SEQ 表 \* ARABIC 19 命令行进程策略设置
| 策略配置 | 详细信息 |
|---|---|
| 路径 | 管理模板\系统\审核进程创建 |
| 设置 | 在过程创建事件中加入命令行 |
| 默认设置 | 未配置(未启用) |
| 在以下设备上受支持: | ? |
| 说明 | 此策略设置确定在创建了新进程时会在安全审核事件中记录哪些信息。 仅当启用了“审核过程创建”策略时,此设置才会应用。 如果启用此策略设置,则在应用了此策略设置的工作站和服务器上,每个过程的命令行信息都将以纯文本形式记录在安全事件日志中(作为审核过程创建事件 4688“已创建了一个新过程”的一部分)。 如果禁用或未配置此策略设置,则审核进程创建事件中将不会包括该过程的命令行信息。 默认:未配置 注意:启用此策略设置后,任何有权读取安全事件的用户都能读取所有成功创建的进程的命令行参数。 命令行参数可包含敏感信息或私人信息,例如密码或用户数据。 |
当使用“高级审核策略配置”设置时,需要确认这些设置不会被基本审核策略设置覆盖。 覆盖设置时会记录事件 4719。
以下过程显示了如何通过阻止应用任何基本审核策略设置来避免冲突。
确保“高级审核策略配置”设置不被覆盖
打开组策略管理控制台
右键单击“默认域策略”,然后选择“编辑”。
依次双击 “计算机配置”、 “策略”和 “Windows 设置”。
双击“安全设置”,双击“本地策略”,然后选择“安全选项”。
双击“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”,然后选择“定义此策略设置”。
选择“已启用”,然后选择“确定” 。
其他资源
尝试此操作:探索命令行进程审核
启用“审核进程创建”事件并确保未覆盖高级审核策略配置
创建一个脚本,该脚本生成一些相关事件,然后执行该脚本。 观察事件。 课程中用于生成事件的脚本如下所示:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /Q启用命令行进程审核
执行与之前相同的脚本并观察事件