PowerShellのログ

Last-modified: 2020-08-12 (水) 12:39:25

・Windowsタスクスケジューラ at, schtasks の悪用
・アカウントの探索

PowerShellのログ †

以下の設定で、イベントログに PowerShell のスクリプト実行内容を記録することが出来ます。

ログ取得の設定 †

PowerShell5.0以上（4.0はパッチが必要）

1. グループポリシー [コンピュータの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell]>>[モジュールログを有効にする]>>[有効] にする。
2. オプションで、[モジュール名]>[表示] をクリックし、以下の値をセットする。
   Microsoft.PowerShell.*
   Microsoft.WSMan.Management
3. gp-update /force を実行する。

ログの保存場所 †

[イベントビューワー]>[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[PowerShell]>>[Operational]

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策