トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・タスクスケジューラのポリシー設定 のバックアップ(No.1)


・Windowsタスクスケジューラ at, schtasks の悪用

  1. タスクの実行権限の変更
    SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
    関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。 この設定は、GPOで構成できます。
    [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション:ドメインコントローラー:Server Operatorsがタスクのスケジュールを割りてるのを許可する。] で [このポリシー設定を定義する] にチェックし、[有効] をクリックします。
    ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします: https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN
  2. 特権アカウント管理
    管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。 これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。
    スケジューリング優先順位の繰り上げ
    https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority
  3. タスクスケジューラ ジョブの作成、有効化の監査(グループポリシー)
    グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。 [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。
    これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。
    また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。 スケジューラ ジョブの監査対象は以下の通りです。
    1. ジョブの作成
    2. ジョブの削除
    3. ジョブの有効化
    4. ジョブの無効化
    5. ジョブの更新
  4. タスクスケジューラ ジョブの作成、有効化の監査(ローカル)
    [イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。