トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

cmdline_audit

Last-modified: 2023-02-14 (火) 16:21:24
Top/cmdline_audit

・コマンドラインインターフェースの監査

・コマンドラインインターフェースの悪用
・ファイル削除
・ファイルとディレクトリの探索
・ローカルシステムからのデータ収集

設定方法

Default Domain Policy、Default Domain Controllers Policy それぞれで、以下のグループポリシーを設定します。

  • 監査ポリシー カテゴリの設定を上書きする
    • [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、[有効] をクリックします。
AuditSub.png


AuditSub2.png
  • 監査プロセス作成の監査
    • [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の [成功][失敗] を構成します。
ProcAudit.png


ProcAudit2.png
  • プロセス作成の監査にコマンドラインを含める
    • [コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を [有効] に設定します。
CmdAudit.png


CmdAudit2.png

監査方法

イベントビューワーもしくは Message Analyzer で Event ID 4688 等を検索します。
JPCERT/CCの 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」 を参考にしてください。

参考

コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing