#author("2019-11-20T14:21:40+09:00","","")
[[・コマンドラインインターフェースの悪用]]~
[[・ファイル削除]]~
[[・ファイルとディレクトリの探索]]~
[[・ローカルシステムからのデータ収集]]~
*設定方法 [#xc952ab7]
以下のグループポリシーを設定します。
-監査ポリシー カテゴリの設定を上書きする
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、''[有効]'' をクリックします。
-監査プロセス作成の監査
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の ''[成功]''、''[失敗]'' を構成します。
-プロセス作成の監査にコマンドラインを含める
--[コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を ''[有効]'' に設定します。
*監査方法 [#q35f959e]
イベントビューワーもしくは Message Analyzer で Event ID 4688 を検索します。
*参考 [#bd2907f4]
コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing
