・タスクスケジューラのポリシー設定
Last-modified: 2020-10-20 (火) 14:02:25
Top/・タスクスケジューラのポリシー設定
・Windowsタスクスケジューラ at, schtasks の悪用
- 概要
MITRE ATT&CK では、緩和策として「ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する」の設定を推奨していますが、このポリシーはATコマンドにたいしてのみ有効です。一方で、ATコマンドはWindows 10/Windows Server 2012以降廃止されているため、効果が期待できません。
このため、システムの特性に応じて、Schtasks.Exe をホワイトリストで制御するか、監査を強化し検出に努めます。
- タスクスケジューラ ジョブの作成、有効化の監査(グループポリシー)
グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。 [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。
これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。
また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。 スケジューラ ジョブの監査対象は以下の通りです。- タスクの登録 Event ID 106
- タスクの更新 Event ID 140
- タスクの削除 Event ID 141
- タスクの無効化 Event ID 142
- タスクスケジューラ ジョブの作成、有効化の監査(ローカル)
[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。 - セキュリティログでの監査 [TaskScheduler]>[Operational] を有効にすると、[セキュリティログ] に [4698] および [4702] [その他のオブジェクト アクセス イベント] が発生します。
- [4698]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクが作成されました。]
- [4702]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクがアップデートされました。]
タスクスケジューラのイベントID †
| Event ID | Task Category |
| 100 | タスクの開始 |
| 101 | タスクの開始が失敗しました |
| 102 | タスクが完了しました |
| 103 | 操作の開始が失敗しました |
| 106 | タスクが登録されました |
| 107 | スケジューラによってトリガーされるタスク |
| 108 | イベントによってトリガーされるタスク |
| 110 | ユーザーによってトリガーされるタスク |
| 111 | タスクが終了しました |
| 114 | 実行されなかったタスクが起動されました |
| 118 | コンピューターの起動によってトリガーされるタスク |
| 119 | ログオンによってトリガーされるタスク |
| 129 | タスクのプロセスが作成されました |
| 135 | Launch condition not met, machine not idle |
| 140 | タスクの登録が更新されました |
| 141 | タスクの登録が削除されました |
| 142 | タスクが無効になりました |
| 200 | 開始された操作 |
| 201 | 操作が完了しました |
| 202 | 操作に失敗しました |
| 203 | Action failed to start |
| 301 | Task engine properly shut down |
| 310 | Task Engine started |
| 311 | Task Engine failed to start |
| 314 | Task Engine idle |
| 317 | Task Engine started |
| 318 | Task engine properly shut down |
| 319 | Task Engine received message to start task |
| 322 | Launch request ignored, instance already running |
| 329 | Task stopping due to timeout reached |
| 332 | Launch condition not met, user not logged-on |
| 400 | Service started |
| 411 | Service signaled time change |
| 700 | Compatibility module started |