Auditoria de processo de linha de comando
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e Windows Server 2012 R2
Autor: Justin Turner, engenheiro sênior de escalonamento de suporte com o grupo do Windows
Observação
Este documento foi criado por um engenheiro de atendimento ao cliente da Microsoft e é destinado a administradores e arquitetos de sistemas experientes que procuram explicações técnicas mais profundas para recursos e soluções no Windows Server 2012 R2 do que aquelas geralmente oferecidas em tópicos do TechNet. No entanto, ele não passou pelas mesmas etapas de edição que eles, por isso a linguagem pode parecer que menos refinada do que a geralmente encontrada no TechNet.
Visão geral
A ID do evento de auditoria de criação de processo pré-existente 4688 agora incluirá informações de auditoria para processos de linha de comando.
Ele também registrará o hash SHA1/2 do executável no log de eventos do Applocker
- Logs de Aplicativos e Serviços\Microsoft\Windows\AppLocker
Você habilita por meio do GPO, mas ele fica desabilitado por padrão
- "Incluir linha de comando em eventos de criação de processo"
Figura SEQ Figura \* ARABIC 16 Evento 4688
Examine a ID de evento 4688 atualizada no REF _Ref366427278 \h Figura 16. Antes dessa atualização, nenhuma das informações da Linha de Comando do Processo era registrada em log. Devido a esse registro em log adicional, agora podemos visualizar que não só o processo de wscript.exe foi iniciado, mas que ele também foi usado para executar um script de VB.
Configuração
Para visualizar os efeitos dessa atualização, você vai precisar habilitar duas configurações de política.
É necessário ter a auditoria de Criação de Processo de Auditoria habilitada para visualizar a ID do evento 4688.
Para habilitar a política de Criação de Processo de Auditoria, edite a seguinte política de grupo:
Local da política: Políticas de Configuração > do Computador > Configurações do Windows > Configurações de Segurança > Configuração Avançada De Auditoria > Acompanhamento Detalhado
Nome da Política: criação do processo de auditoria
Com suporte em: Windows 7 e superior
Descrição/Ajuda:
Essa configuração de política de segurança determina se o sistema operacional gera eventos de auditoria quando um processo é criado (iniciado) e o nome do programa ou usuário que o criou.
Esses eventos de auditoria podem ajudá-lo a entender como um computador está sendo usado e acompanhar a atividade do usuário.
Volume de eventos: baixo a médio, dependendo do uso do sistema
Padrão: não configurado
Para visualizar as adições à ID do evento 4688, é necessário habilitar a nova configuração de política: Incluir linha de comando em eventos de criação de processo
Tabela SEQ Tabela \* ARABIC 19 Configuração de política de processo de linha de comando
| Configuração de política | Detalhes |
|---|---|
| Caminho | Modelos Administrativos\Sistema\Criação de Processo de Auditoria |
| Configuração | Incluir linha de comando em eventos de criação de processo |
| Configuração padrão | Não configurado (não habilitado) |
| Com suporte em: | ? |
| Descrição | Essa configuração de política determina quais informações são registradas nos eventos de auditoria de segurança quando um novo processo é criado. Essa configuração se aplica somente quando a política de criação de processo de auditoria está habilitada. Se você habilitar essa configuração de política, as informações de linha de comando para cada processo serão registradas em texto sem formatação no log de eventos de segurança como parte do evento de criação de processo de auditoria 4688, "um novo processo foi criado" nas estações de trabalho e servidores nos quais essa configuração de política é aplicada. Se você desabilitar ou não definir essa configuração de política, as informações de linha de comando do processo não serão incluídas nos eventos de Criação do Processo de Auditoria. Padrão: não configurado Observação: quando essa configuração de política está habilitada, qualquer usuário com acesso para ler os eventos de segurança poderá ler os argumentos de linha de comando para qualquer processo criado com êxito. Argumentos de linha de comando podem conter informações confidenciais ou privadas, como senhas ou dados de usuário. |
Ao usar definições avançadas da Configuração de Política de Auditoria, você precisa confirmar se essas configurações não foram substituídas pelas configurações básicas de política de auditoria. O evento 4719 é registrado quando as configurações são substituídas.
O procedimento a seguir mostra como evitar conflitos, bloqueando a aplicação de quaisquer configurações de política de auditoria básicas.
Para garantir que as definições da Configuração de Política de Auditoria Avançada não foram substituídas
Abra o console do Gerenciamento de Política de Grupo
Clique com o botão direito do mouse em Política de Domínio Padrão e selecione Editar.
Clique duas vezes em Configuração do Computador, clique duas vezes em Políticas e clique duas vezes em Configurações do Windows.
Clique duas vezes em Configurações de Segurança, clique duas vezes em Políticas Locais e, em seguida, selecione Opções de Segurança.
Clique duas vezes em Auditoria: forçar configurações de subcategorias de política de auditoria (Windows Vista ou posterior) para substituir configurações de categorias de política de auditoria e selecione Definir esta configuração de política.
Selecione Habilitado e, em seguida, selecione OK.
Recursos adicionais
Auditoria do processo de criação
Guia Passo a Passo de Política de Auditoria de Segurança Avançada
AppLocker: perguntas frequentes
Experimente isto: explorar a auditoria do processo de linha de comando
Habilitar eventos de Criação de Processo de Auditoria e garantir que a configuração da Política de Auditoria Avançada não seja substituída
Crie um script que gere alguns eventos de interesse e execute o script. Observe os eventos. O script usado para gerar o evento na lição era assim:
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward copy \\192.168.1.254\c$\hidden c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward start C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserrights.vbs del c:\systemfiles\temp\*.* /QHabilitar a auditoria de processo de linha de comando
Execute o mesmo script de antes e observe os eventos