・タスクスケジューラのポリシー設定
Last-modified: 2020-10-20 (火) 14:02:25
Top/・タスクスケジューラのポリシー設定
・Windowsタスクスケジューラ at, schtasks の悪用
- 概要
MITRE ATT&CK では、緩和策として「ドメイン コントローラー: Server Operators がタスクのスケジュールを割り当てるのを許可する」の設定を推奨していますが、このポリシーはATコマンドにたいしてのみ有効です。一方で、ATコマンドはWindows 10/Windows Server 2012以降廃止されているため、効果が期待できません。
このため、システムの特性に応じて、Schtasks.Exe をホワイトリストで制御するか、監査を強化し検出に努めます。
- タスクスケジューラ ジョブの作成、有効化の監査(グループポリシー)
グループポリシーで [その他のオブジェクトアクセス イベントの監査のプロパティ] を設定します。 [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]>[その他のオブジェクトアクセス イベントの監査のプロパティ] で [次の監査イベントを構成する] にチェックをいれ、[成功] と [失敗] にチェックを入れます。
これにより、新規にタスクが作成されると、[イベントビューアー]>[Windowsログ]>[セキュリティ] に [4698]-[その他のオブジェクト アクセス イベント] が登録されます。
また、[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で [106]-[タスクが登録されました] 、[142]-[タスクが無効になりました] が登録されます。 スケジューラ ジョブの監査対象は以下の通りです。- タスクの登録 Event ID 106
- タスクの更新 Event ID 140
- タスクの削除 Event ID 141
- タスクの無効化 Event ID 142
- タスクスケジューラ ジョブの作成、有効化の監査(ローカル)
[イベントビューアー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[TaskScheduler]>[Operational] で右クリックし、[プロパティ] をクリックします。[ログを有効にする] をチェックし、最大ログサイズを [10240KB]以上に設定し、[イベントを上書きしないでログをアーカイブする] をチェックします。 - セキュリティログでの監査 [TaskScheduler]>[Operational] を有効にすると、[セキュリティログ] に [4698] および [4702] [その他のオブジェクト アクセス イベント] が発生します。
- [4698]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクが作成されました。]
- [4702]-[その他のオブジェクト アクセス イベント]-[スケジュールされたタスクがアップデートされました。]
タスクスケジューラのイベントID †
Event ID | Task Category |
100 | タスクの開始 |
101 | タスクの開始が失敗しました |
102 | タスクが完了しました |
103 | 操作の開始が失敗しました |
106 | タスクが登録されました |
107 | スケジューラによってトリガーされるタスク |
108 | イベントによってトリガーされるタスク |
110 | ユーザーによってトリガーされるタスク |
111 | タスクが終了しました |
114 | 実行されなかったタスクが起動されました |
118 | コンピューターの起動によってトリガーされるタスク |
119 | ログオンによってトリガーされるタスク |
129 | タスクのプロセスが作成されました |
135 | Launch condition not met, machine not idle |
140 | タスクの登録が更新されました |
141 | タスクの登録が削除されました |
142 | タスクが無効になりました |
200 | 開始された操作 |
201 | 操作が完了しました |
202 | 操作に失敗しました |
203 | Action failed to start |
301 | Task engine properly shut down |
310 | Task Engine started |
311 | Task Engine failed to start |
314 | Task Engine idle |
317 | Task Engine started |
318 | Task engine properly shut down |
319 | Task Engine received message to start task |
322 | Launch request ignored, instance already running |
329 | Task stopping due to timeout reached |
332 | Launch condition not met, user not logged-on |
400 | Service started |
411 | Service signaled time change |
700 | Compatibility module started |