・コマンドラインインターフェースの監査 のバックアップ(No.3)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・コマンドラインインターフェースの監査 へ行く。
  • 1 (2019-11-20 (水) 13:15:17)
  • 2 (2019-11-20 (水) 13:45:27)
  • 3 (2019-11-20 (水) 14:21:00)

・コマンドラインインターフェースの悪用
・ファイル削除
・ファイルとディレクトリの探索
・ローカルシステムからのデータ収集

設定方法 †

以下のグループポリシーを設定します。

• 監査ポリシー カテゴリの設定を上書きする
  • [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、[有効] をクリックします。

• 監査プロセス作成の監査
  • [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の [成功]、[失敗] を構成します。

• プロセス作成の監査にコマンドラインを含める
  • [コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を [有効] に設定します。

監査方法 †

イベントビューワーもしくは Message Analyzer で Event ID 4688 を検索します。

参考 †

コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing