Microsoft Security Advisory: Atualização para melhorar a auditoria de linha de comando do Windows: 10 de fevereiro de 2015

Sumário

A Microsoft está anunciando a disponibilidade de uma atualização para as edições compatíveis do Windows 7, Windows Server 2008R2, Windows 8 e Windows Server 2012. Esta atualização expande a política de Auditoria de Criação de Processo para incluir as informações de comando que são passadas para cada processo. Este é um novo recurso que fornece informações valiosas para ajudar os administradores a investigar, monitorar e solucionar problemas relacionados com a segurança em suas redes.

Introdução

A Microsoft lançou uma consultoria de segurança sobre este problema para os profissionais de TI. Essa consultoria contém informações adicionais relacionadas à segurança. Para exibir a consultoria de segurança, visite o seguinte site da Microsoft:

Mais Informações

Esta atualização adiciona um novo recurso ao Windows, que expande a política de Auditoria de Criação de Processo. Esse novo recurso, quando estiver habilitado e configurado, cria o log de evento cada vez que um processo é criado, e inclui as informações de linha de comando que são passadas para esse processo. Esses eventos são registrados na ID 4688 do evento existente e no log de segurança do Windows. O monitoramento destes eventos pode fornecer informações valiosas para ajudar os administradores a solucionar problemas e investigar as atividades relacionadas à segurança.

Após essa atualização ser aplicada e configurada, um novo elemento dentro do evento de segurança 4688 aparecerá com o nome de Linha de comando de processo, conforme mostrado na captura de tela seguinte:




Para tirar proveito desse recurso, os administradores devem seguir estas etapas:
  1. Ative a política de Auditoria de Criação de processo.
  2. Habilite o recurso de "Incluir linha de comando nos eventos de criação de processo".
Para obter mais informações sobre como configurar esses dois recursos, consulte a seção Configuração.


Segundo plano na política de Auditoria de Criação de Processo

A política de Auditoria de Criação de Processo é uma política de auditoria de segurança que determina se o sistema operacional gera um evento de auditoria quando um processo é criado. Por padrão, essa política não é configurada e nenhum evento de auditoria é registrado quando os processos são criados. Quando essa política estiver ativada, a ID 4688 de evento é gerada e registrada no log de segurança do Windows. É necessário habilitar esta política para tornar o recurso de auditoria da linha de comando expandido que está descrito no trabalho de supervisão da segurança. Para obter mais informações sobre a Política da Auditoria de Criação de Processo, consulte o seguinte artigo TechNet:

Configuração

Habilitando a Auditoria de Criação de Processo

Para habilitar a política de Auditoria de Criação de Processo, edite as seguintes configurações da Política de Grupo:
Configuração da PolíticaDetalhes
Local da PolíticaAcompanhamento de Configuração\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Auditoria Avançaca\Detalhada do computador
Nome da políticaAuditoria de Criação de Processo
Configuração padrãoNão configurado (não habilitado)
Com suporteWindows 7 e versões posteriores
DescriçãoEsta configuração da política de segurança determina se o sistema operacional gera eventos de auditoria quando um processo é criado (início) e o nome do programa ou usuário que o criou.
Esses eventos de auditoria podem ajudá-lo a entender como um computador está sendo usado e a acompanhar a atividade do usuário.
Volume do evento: Baixo a médio, dependendo do uso do sistema

Habilitando o recurso "Incluir linha de comando nos eventos de criação do processo"

Para habilitar o novo recurso que é descrito neste artigo da Base de Dados de Conhecimento, edite as seguintes configurações da Política de Grupo:
Configuração da políticaDetalhes
Local da PolíticaCriação dos Modelos administrativos\Sistema\Processo de Auditoria
ConfiguraçãoInclui a linha de comando em eventos de criação do processo
Configuração padrãoNão configurado (não habilitado)
Com suporteWindows 7 e versões posteriores
DescriçãoEssa configuração de política determina quais informações são registradas em eventos de auditoria de segurança quando um novo processo é criado.

Essa configuração se aplica somente quando a política de Auditoria de Criação de Processo é habilitada. Se você habilitar essa configuração de política, as informações de linha de comando para cada processo serão registradas em texto simples no log de segurança como parte do evento 4688 de Auditoria de Criação de Processos, "um novo processo foi criado", nas estações de trabalho e servidores em que esta definição de política é aplicada.

Se você desabilitar ou não configurar esta configuração da política, as informações de linha de comando do processo não estão incluídas nos eventos de Auditoria de criação de processo.

Padrão: Não configurado

Nota Quando esta configuração de política estiver habilitada, qualquer usuário que tenha acesso de leitura aos eventos de segurança pode ler os argumentos de linha de comando para qualquer processo criado com êxito. Argumentos de linha de comando podem conter informações confidenciais ou pessoais, como senhas ou dados do usuário.
Note Quando você configurar e usar as definições de configuração de política de auditoria avançada, você deve confirmar que as configurações não são substituídas por configurações básicas de política de auditoria. O evento 4719 é registrado quando as configurações são substituídas.

As configurações básicas de política de auditoria podem ser verificadas pela Configuração\Políticas\\Configurações do Windows\Configurações de Segurança\Política de Auditoria do computador. Você pode se certificar que as configurações da Política de Auditoria Avançada não são substituídas ao habilitar a Auditoria: Force as configurações de subcategoria da política de auditoria (Windows Vista ou versões posteriores) para substituir as configurações da categoria de política de auditoria no local seguinte:

Configuração\Políticas\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança do computador
Se você não tiver ainda um plano formal sobre como implantar e usar uma política de auditoria de segurança em seu ambiente, recomendamos que você leia a documentação de auditoria de segurança na TechNet e também na seção Recursos adicionais.

Recursos adicionais

Para obter mais informações, vá para os seguintes sites da Web da Microsoft:

Links do Centro de Download da Microsoft

Os arquivos a seguir estão disponíveis para download no Centro de Download da Microsoft.

Atualização de segurança para Windows 7 (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows 7 para sistemas baseados em x64 (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows Embedded Standard 7 (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows Embedded Standard 7 para sistemas baseados em x64 (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows Server 2008 R2 x64 Edition (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows Server 2008 R2 para sistemas baseados em Itanium (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows 8 (KB3004375)

Download Baixe o pacote agora.

Atualização de segurança para Windows 8 para sistemas baseados em x64 (KB3004375)

Download Baixe o pacote agora.

Atualizações de segurança para Windows Server 2012 (KB3004375)

Download Baixe o pacote agora.

Data de lançamento: 10 de fevereiro de 2015

Para obter mais informações sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft verificou a existência de vírus no arquivo. A Microsoft usou o software de detecção de vírus mais recente disponível na data de publicação do arquivo. O arquivo é armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Problemas conhecidos com esta atualização de segurança

  • Depois de aplicar essa atualização, alguns aplicativos de servidor da web podem falhar com erros de decodificação semelhantes aos seguintes:





    Falha ao descriptografar usando o provedor 'DataProtectionConfigurationProvider'. Mensagem de erro do provedor: O arquivo especificado não pode ser encontrado. (Exceção de HRESULT: 0x80071771)


    Para resolver esse problema, instale a atualização de segurança 3046049. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
    3046049 MS15-031: Vulnerabilidade no SChannel pode permitir o desvio do recurso de segurança: 10.03.2015

Informações de arquivo

A versão em inglês (Estados Unidos) desta atualização de software instala arquivos que têm os atributos listados nas seguintes tabelas. As datas e as horas desses arquivos estão listadas em formato UTC (Tempo Universal Coordenado). As datas e as horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença do horário de verão atual. Além disso, as datas e as horas também podem ser alteradas quando você realiza determinadas operações nos arquivos.
Informações de arquivo do Windows 7 e Windows Server 2008 R2
Informações de arquivo do Windows 8 e Windows Server 2012
Informações de hash de arquivo
Propriedades

ID do Artigo: 3004375 - Última Revisão: 8 de abr de 2015 - Revisão: 1

Comentários