명령줄 프로세스 감사
작성자: 저스틴 터너, Windows 그룹의 수석 지원 에스컬레이션 엔지니어
참고 항목
이 콘텐츠는 Microsoft 고객 지원 엔지니어에 의해 작성되었으며 Windows Server 2012 R2의 기능 및 솔루션에 대해 TechNet에서 일반적으로 제공하는 항목보다 더 자세한 기술적 설명을 찾고 있는 숙련된 관리자 및 시스템 설계자를 대상으로 합니다. 그러나 동일한 편집 과정을 수행하지 않았으므로 일부 언어는 일반적으로 TechNet에서 찾을 수 있는 것보다 완벽하지 않을 수 있습니다.
개요
기존 프로세스 만들기 감사 이벤트 ID 4688에는 이제 명령줄 프로세스에 대한 감사 정보가 포함됩니다.
또한 Applocker 이벤트 로그에 실행 파일의 SHA1/2 해시를 기록합니다.
- 애플리케이션 및 서비스 Logs\Microsoft\Windows\AppLocker
GPO를 통해 사용하도록 설정하지만 기본적으로 사용하지 않도록 설정됩니다.
- "프로세스 생성 이벤트에 명령줄 포함"
그림 SEQ 그림 \* ARABIC 16 이벤트 4688
REF _Ref366427278 \h 그림 16에서 업데이트된 이벤트 ID 4688을 검토합니다. 이 업데이트 전에는 프로세스 명령줄에 대한 정보가 기록되지 않습니다. 이 추가 로깅으로 인해 이제 wscript.exe 프로세스가 시작되었을 뿐만 아니라 VB 스크립트를 실행하는 데도 사용되었음을 알 수 있습니다.
구성
이 업데이트의 효과를 보려면 두 가지 정책 설정을 사용하도록 설정해야 합니다.
이벤트 ID 4688을 보려면 감사 프로세스 만들기 감사를 사용하도록 설정해야 합니다.
감사 프로세스 만들기 정책을 사용하도록 설정하려면 다음 그룹 정책을 편집합니다.
정책 위치: 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 구성 > 세부 추적
정책 이름: 감사 프로세스 만들기
지원됨: Windows 7 이상
설명/도움말:
이 보안 정책 설정은 프로세스가 생성(시작)될 때 운영 체제에서 감사 이벤트를 생성하는지 여부와 이를 만든 프로그램 또는 사용자의 이름을 결정합니다.
이러한 감사 이벤트는 컴퓨터가 사용되는 방식을 이해하고 사용자 활동을 추적하는 데 도움이 될 수 있습니다.
이벤트 볼륨: 시스템 사용량에 따라 낮음에서 중간으로
기본값: 구성되지 않음
이벤트 ID 4688에 대한 추가 기능을 보려면 새 정책 설정을 사용하도록 설정해야 합니다. 프로세스 생성 이벤트에 명령줄 포함
테이블 SEQ 테이블 \* ARABIC 19 명령줄 프로세스 정책 설정
| 정책 구성 | 세부 정보 |
|---|---|
| Path | 관리 템플릿\시스템\감사 프로세스 만들기 |
| 설정 | 프로세스 생성 이벤트에 명령줄 포함 |
| 기본 설정 | 구성되지 않음 (활성화되지 않음) |
| 지원 됩니다. | = |
| 설명 | 이 정책 설정은 새 프로세스가 생성될 때 보안 감사 이벤트에 기록되는 정보를 결정합니다. 이 설정은 감사 프로세스 만들기 정책을 사용하는 경우에만 적용됩니다. 이 정책 설정을 사용하면 모든 프로세스에 대한 명령줄 정보가 이 정책 설정이 적용되는 워크스테이션 및 서버에서 감사 프로세스 만들기 이벤트 4688의 일부로 보안 이벤트 로그에 일반 텍스트로 기록됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 프로세스의 명령줄 정보가 Audit Process Creation 이벤트에 포함되지 않습니다. 기본값: 구성되지 않음 참고: 이 정책 설정을 사용하면 보안 이벤트를 읽을 권한을 가진 모든 사용자가 성공적으로 만들어진 프로세스에 대한 명령줄 인수를 읽을 수 있습니다. 명령줄 인수는 암호 또는 사용자 데이터와 같은 중요한 또는 개인 정보를 포함할 수 있습니다. |
고급 감사 정책 구성 설정을 사용하는 경우 기본 감사 정책 설정으로 이 설정을 덮어쓰지 않았는지 확인해야 합니다. 설정이 덮어쓰여지면 이벤트 4719가 기록됩니다.
다음 절차에서는 기본 감사 정책 설정을 적용하지 못하도록 차단하여 충돌을 방지하는 방법을 보여 줍니다.
고급 감사 정책 구성 설정을 덮어쓰지 않았는지 확인하려면
그룹 정책 관리 콘솔을 엽니다
기본 도메인 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
컴퓨터 구성을 두 번 클릭하고 정책을 두 번 클릭한 다음 Windows 설정을 두 번 클릭합니다.
보안 설정을 더블클릭하고 로컬 정책을 더블클릭한 다음 보안 옵션을 선택합니다.
감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 두 번 클릭하여 감사 정책 범주 설정을 재정의하도록 한 다음 이 정책 설정 정의를 선택합니다.
사용를 선택한 다음, 확인을 선택합니다.
추가 리소스
다음을 시도하세요: 명령줄 프로세스 감사 살펴보기
감사 프로세스 만들기 이벤트를 사용하도록 설정하고 고급 감사 정책 구성을 덮어쓰지 않도록 합니다.
관심 있는 일부 이벤트를 생성하는 스크립트를 만들고 스크립트를 실행합니다. 이벤트를 관찰합니다. 단원에서 이벤트를 생성하는 데 사용되는 스크립트는 다음과 같습니다.
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /Q명령줄 프로세스 감사를 사용하도록 설정
이전과 동일한 스크립트를 실행하고 이벤트를 관찰합니다.