情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・タスクスケジューラのポリシー設定
をテンプレートにして作成
開始行:
[[・Windowsタスクスケジューラ at, schtasks の悪用]]~
-概要~
MITRE ATT&CK では、緩和策として「ドメイン コントローラー:...
このため、システムの特性に応じて、Schtasks.Exe をホワイト...
+タスクスケジューラ ジョブの作成、有効化の監査(グループ...
グループポリシーで [その他のオブジェクトアクセス イベント...
[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリ...
これにより、新規にタスクが作成されると、[イベントビューア...
また、[イベントビューアー]>[アプリケーションとサービスロ...
スケジューラ ジョブの監査対象は以下の通りです。
++タスクの登録 Event ID 106
++タスクの更新 Event ID 140
++タスクの削除 Event ID 141
++タスクの無効化 Event ID 142
+タスクスケジューラ ジョブの作成、有効化の監査(ローカル)~
[イベントビューアー]>[アプリケーションとサービスログ]>[Mi...
+セキュリティログでの監査
[TaskScheduler]>[Operational] を有効にすると、[セキ...
-[4698]-[その他のオブジェクト アクセス イベント]-[スケジ...
-[4702]-[その他のオブジェクト アクセス イベント]-[スケジ...
*タスクスケジューラのイベントID [#y73abf81]
|Event ID|Task Category|h
|100|タスクの開始|
|101|タスクの開始が失敗しました|
|102|タスクが完了しました|
|103|操作の開始が失敗しました|
|106|タスクが登録されました|
|107|スケジューラによってトリガーされるタスク|
|108|イベントによってトリガーされるタスク|
|110|ユーザーによってトリガーされるタスク|
|111|タスクが終了しました|
|114|実行されなかったタスクが起動されました|
|118|コンピューターの起動によってトリガーされるタスク|
|119|ログオンによってトリガーされるタスク|
|129|タスクのプロセスが作成されました|
|135|Launch condition not met, machine not idle|
|140|タスクの登録が更新されました|
|141|タスクの登録が削除されました|
|142|タスクが無効になりました|
|200|開始された操作|
|201|操作が完了しました|
|202|操作に失敗しました|
|203|Action failed to start|
|301|Task engine properly shut down|
|310|Task Engine started|
|311|Task Engine failed to start|
|314|Task Engine idle|
|317|Task Engine started|
|318|Task engine properly shut down|
|319|Task Engine received message to start task|
|322|Launch request ignored, instance already running|
|329|Task stopping due to timeout reached|
|332|Launch condition not met, user not logged-on|
|400|Service started|
|411|Service signaled time change|
|700|Compatibility module started|
終了行:
[[・Windowsタスクスケジューラ at, schtasks の悪用]]~
-概要~
MITRE ATT&CK では、緩和策として「ドメイン コントローラー:...
このため、システムの特性に応じて、Schtasks.Exe をホワイト...
+タスクスケジューラ ジョブの作成、有効化の監査(グループ...
グループポリシーで [その他のオブジェクトアクセス イベント...
[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリ...
これにより、新規にタスクが作成されると、[イベントビューア...
また、[イベントビューアー]>[アプリケーションとサービスロ...
スケジューラ ジョブの監査対象は以下の通りです。
++タスクの登録 Event ID 106
++タスクの更新 Event ID 140
++タスクの削除 Event ID 141
++タスクの無効化 Event ID 142
+タスクスケジューラ ジョブの作成、有効化の監査(ローカル)~
[イベントビューアー]>[アプリケーションとサービスログ]>[Mi...
+セキュリティログでの監査
[TaskScheduler]>[Operational] を有効にすると、[セキ...
-[4698]-[その他のオブジェクト アクセス イベント]-[スケジ...
-[4702]-[その他のオブジェクト アクセス イベント]-[スケジ...
*タスクスケジューラのイベントID [#y73abf81]
|Event ID|Task Category|h
|100|タスクの開始|
|101|タスクの開始が失敗しました|
|102|タスクが完了しました|
|103|操作の開始が失敗しました|
|106|タスクが登録されました|
|107|スケジューラによってトリガーされるタスク|
|108|イベントによってトリガーされるタスク|
|110|ユーザーによってトリガーされるタスク|
|111|タスクが終了しました|
|114|実行されなかったタスクが起動されました|
|118|コンピューターの起動によってトリガーされるタスク|
|119|ログオンによってトリガーされるタスク|
|129|タスクのプロセスが作成されました|
|135|Launch condition not met, machine not idle|
|140|タスクの登録が更新されました|
|141|タスクの登録が削除されました|
|142|タスクが無効になりました|
|200|開始された操作|
|201|操作が完了しました|
|202|操作に失敗しました|
|203|Action failed to start|
|301|Task engine properly shut down|
|310|Task Engine started|
|311|Task Engine failed to start|
|314|Task Engine idle|
|317|Task Engine started|
|318|Task engine properly shut down|
|319|Task Engine received message to start task|
|322|Launch request ignored, instance already running|
|329|Task stopping due to timeout reached|
|332|Launch condition not met, user not logged-on|
|400|Service started|
|411|Service signaled time change|
|700|Compatibility module started|
ページ名:
