・タスクスケジューラのポリシー設定 のバックアップ(No.3)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・タスクスケジューラのポリシー設定 へ行く。
  • 1 (2019-11-27 (水) 10:52:03)
  • 2 (2019-11-27 (水) 11:11:43)
  • 3 (2019-12-23 (月) 17:09:00)

・Windowsタスクスケジューラ at, schtasks の悪用

• MITRE ATT&CK では、緩和策として「ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する」の設定を推奨していますが、このポリシーはATコマンドにたいしてのみ有効です。一方で、ATコマンドはWindows 10/Windows Server 2012以降廃止されているため、効果が期待できません。
  このため、システムの特性に応じて、Schtasks.Exe をホワイトリストで制御するか、監査を強化し検出に努めます。

1. タスクスケジューラ ジョブの作成、有効化の監査（グループポリシー）
   グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。 [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。
   これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。
   また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。 スケジューラ ジョブの監査対象は以下の通りです。
   1. タスクの登録 Event ID 106
   2. タスクの更新 Event ID 140
   3. タスクの削除 Event ID 141
   4. タスクの無効化 Event ID 142
2. タスクスケジューラ ジョブの作成、有効化の監査（ローカル）
   [イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。
3. セキュリティログでの監査 [TaskScheduler]>[Operational] を有効にすると、[セキュリティログ] に [4698] および [4702] [その他のオブジェクト アクセス イベント] が発生します。

• [4698]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクが作成されました。]
• [4702]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクがアップデートされました。]

タスクスケジューラのイベントID †

・タスクスケジューラのイベントID