Abilitazione dell’audit della creazione dei processi
Su server e determinati client può essere opportuno abilitare l’audit della creazione dei processi per poter eseguire il tracing dell’esecuzione di malware e/o attività utente malevole o non consentite.
E’ possibile abilitare l’audit della creazione dei processi tramite la group policy computer Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit Process Creation configurandola per loggare il “Success” (ovvero le operazioni di creazione processo riuscite), a riguardo si veda Audit Process Creation – Windows 10 | Microsoft Learn in cui vengono indicate le configurazioni consigliate in funzione del ruolo del sistema e del volume di eventi generati.
La GPO farà si che nel registro eventi di sicurezza vengano registrati gli eventi con ID 4688 tramite cui ottenere informazioni su processi avviati, l’utente che ha avviato il processo e l’ora a cui il processo è stato avviato.
Se necessario la GPO può essere abilitata anche per l’audit del “Failure” (ovvero le operazioni di creazione processo fallite) e in questo caso verrà generato l’evento con ID 4696, a riguardo si veda Audit Process Termination – Windows 10 | Microsoft Learn in cui vengono indicate le configurazioni consigliate in funzione del ruolo del sistema e del volume di eventi generati.
Volendo è possibile registrare anche eventuali parametri che cono stati passati al processo abilitando la group policy computer Administrative Templates > System > Audit Process Creation > Include Command Line in Process Creation Events, a riguardo si veda Command line process auditing | Microsoft Learn.
Tramite questa policy nell’evento con ID 4688 viene registrato anche gli eventuali parametri passati al processo, che può rivelarsi particolarmente utile quando si ha la necessità di analizzare attività utente malevole o non consentite si pensi ad esempio all’uso illecito del processo schtasks.exe, tramite l’analisi dei parametri a riga di comando è possibile capire se sono stati create o manipolate operazioni pianificate.