- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-27T10:52:03+09:00","","")
[[・Windowsタスクスケジューラ at, schtasks の悪用]]
#freeze
#author("2020-10-20T14:02:25+09:00","","")
[[・Windowsタスクスケジューラ at, schtasks の悪用]]~
+タスクの実行権限の変更~
SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。~
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。
この設定は、GPOで構成できます。~
[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション:ドメインコントローラー:Server Operatorsがタスクのスケジュールを割りてるのを許可する。] で [このポリシー設定を定義する] にチェックし、''[有効]'' をクリックします。~
ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします: https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN~
+特権アカウント管理~
管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。
これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。~
スケジューリング優先順位の繰り上げ~
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority
-概要~
MITRE ATT&CK では、緩和策として「ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する」の設定を推奨していますが、このポリシーはATコマンドにたいしてのみ有効です。一方で、ATコマンドはWindows 10/Windows Server 2012以降廃止されているため、効果が期待できません。~
このため、システムの特性に応じて、Schtasks.Exe をホワイトリストで制御するか、監査を強化し検出に努めます。
+タスクスケジューラ ジョブの作成、有効化の監査(グループポリシー)~
グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。
[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。~
これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。~
また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。
スケジューラ ジョブの監査対象は以下の通りです。
++ジョブの作成
++ジョブの削除
++ジョブの有効化
++ジョブの無効化
++ジョブの更新
++タスクの登録 Event ID 106
++タスクの更新 Event ID 140
++タスクの削除 Event ID 141
++タスクの無効化 Event ID 142
+タスクスケジューラ ジョブの作成、有効化の監査(ローカル)~
[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。
+セキュリティログでの監査
[TaskScheduler]>[Operational] を有効にすると、[セキュリティログ] に [4698] および [4702] [その他のオブジェクト アクセス イベント] が発生します。
-[4698]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクが作成されました。]
-[4702]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクがアップデートされました。]
*タスクスケジューラのイベントID [#y73abf81]
|Event ID|Task Category|h
|100|タスクの開始|
|101|タスクの開始が失敗しました|
|102|タスクが完了しました|
|103|操作の開始が失敗しました|
|106|タスクが登録されました|
|107|スケジューラによってトリガーされるタスク|
|108|イベントによってトリガーされるタスク|
|110|ユーザーによってトリガーされるタスク|
|111|タスクが終了しました|
|114|実行されなかったタスクが起動されました|
|118|コンピューターの起動によってトリガーされるタスク|
|119|ログオンによってトリガーされるタスク|
|129|タスクのプロセスが作成されました|
|135|Launch condition not met, machine not idle|
|140|タスクの登録が更新されました|
|141|タスクの登録が削除されました|
|142|タスクが無効になりました|
|200|開始された操作|
|201|操作が完了しました|
|202|操作に失敗しました|
|203|Action failed to start|
|301|Task engine properly shut down|
|310|Task Engine started|
|311|Task Engine failed to start|
|314|Task Engine idle|
|317|Task Engine started|
|318|Task engine properly shut down|
|319|Task Engine received message to start task|
|322|Launch request ignored, instance already running|
|329|Task stopping due to timeout reached|
|332|Launch condition not met, user not logged-on|
|400|Service started|
|411|Service signaled time change|
|700|Compatibility module started|
