・タスクスケジューラのポリシー設定 の変更点
Top/・タスクスケジューラのポリシー設定
- 追加された行はこの色です。
- 削除された行はこの色です。
- ・タスクスケジューラのポリシー設定 へ行く。
- ・タスクスケジューラのポリシー設定 の差分を削除
#author("2020-10-20T14:01:50+09:00","","") #author("2020-10-20T14:02:25+09:00","","") [[・Windowsタスクスケジューラ at, schtasks の悪用]]~ -概要~ MITRE ATT&CK では、緩和策として「ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する」の設定を推奨していますが、このポリシーはATコマンドにたいしてのみ有効です。一方で、ATコマンドはWindows 10/Windows Server 2012以降廃止されているため、効果が期待できません。~ このため、システムの特性に応じて、Schtasks.Exe をホワイトリストで制御するか、監査を強化し検出に努めます。 +タスクスケジューラ ジョブの作成、有効化の監査(グループポリシー)~ グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。 [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。~ これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。~ また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。 スケジューラ ジョブの監査対象は以下の通りです。 ++タスクの登録 Event ID 106 ++タスクの更新 Event ID 140 ++タスクの削除 Event ID 141 ++タスクの無効化 Event ID 142 +タスクスケジューラ ジョブの作成、有効化の監査(ローカル)~ [イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。 +セキュリティログでの監査 [TaskScheduler]>[Operational] を有効にすると、[セキュリティログ] に [4698] および [4702] [その他のオブジェクト アクセス イベント] が発生します。 -[4698]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクが作成されました。] -[4702]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクがアップデートされました。] *タスクスケジューラのイベントID [#y73abf81] [[・タスクスケジューラのイベントID]] |Event ID|Task Category|h |100|タスクの開始| |101|タスクの開始が失敗しました| |102|タスクが完了しました| |103|操作の開始が失敗しました| |106|タスクが登録されました| |107|スケジューラによってトリガーされるタスク| |108|イベントによってトリガーされるタスク| |110|ユーザーによってトリガーされるタスク| |111|タスクが終了しました| |114|実行されなかったタスクが起動されました| |118|コンピューターの起動によってトリガーされるタスク| |119|ログオンによってトリガーされるタスク| |129|タスクのプロセスが作成されました| |135|Launch condition not met, machine not idle| |140|タスクの登録が更新されました| |141|タスクの登録が削除されました| |142|タスクが無効になりました| |200|開始された操作| |201|操作が完了しました| |202|操作に失敗しました| |203|Action failed to start| |301|Task engine properly shut down| |310|Task Engine started| |311|Task Engine failed to start| |314|Task Engine idle| |317|Task Engine started| |318|Task engine properly shut down| |319|Task Engine received message to start task| |322|Launch request ignored, instance already running| |329|Task stopping due to timeout reached| |332|Launch condition not met, user not logged-on| |400|Service started| |411|Service signaled time change| |700|Compatibility module started|