連載
» 2015年02月20日 13時00分 UPDATE

山市良のうぃんどうず日記(27):システム監査対決! Windowsコマンドライン監査 vs. Sysmon

2015年2月の定例のWindows Updateと同時に公開された二つのマイクロソフトセキュリティアドバイザリに関して、筆者からもアドバイスを。

[山市良,テクニカルライター]
「山市良のうぃんどうず日記」のインデックス

連載目次

セキュリティを強化する二つのアドバイザリと更新プログラム

 2015年2月11日は毎月恒例のWindows Updateの日でした。@IT読者の皆さんのWindows環境は、問題なく更新を完了できましたでしょうか。

 今回は、セキュリティの脆弱(ぜいじゃく)性や不具合を解決する更新プログラムの他、二つのマイクロソフトセキュリティアドバイザリの公開と合わせて、セキュリティを強化するための更新プログラムの提供がありました。

 二つ目のアドバイザリ「3009008」は、2014年10月から問題となっている「SSL(Secure Sockets Layer)3.0」の脆弱性に関するアドバイザリの更新です。このSSL 3.0の脆弱性を悪用した中間者攻撃は、「POODLE(Padding Oracle On Downgraded Legacy Encryption)」と呼ばれています。

 アドバイザリ「3009008」で新たに更新されたのは、Internet Explorer(IE)11に対して「SSL 3.0のフォールバック(SSL 3.0への切り替え試行)」を無効化する更新プログラム「KB3038778」が、2015年2月の定例更新で自動配付されたことを知らせる記述が追加された部分になります。

 SSL 3.0のフォールバックをブロックする機能(SSL 3.0のフォールバック警告)は、2014年12月に配布された更新プログラム「KB3008923」ですでに利用可能でした。しかし、この機能を利用するためには、ポリシーやレジストリを構成する必要がありました。これが更新プログラム「KB3038778」によって、保護モードが有効なサイトについてSSL 3.0へのフォールバックが既定でブロックされる動作に変わりました(画面1)。

画面1 画面1 2月11日配布の更新プログラム「KB3038778」によって、SSL 3.0のフォールバック警告のポリシーを構成しなくても、保護モードが有効なサイトについてSSL 3.0へのフォールバックがブロックされるように既定の動作が変更された

 本件の詳細は以下の連載記事で説明した通りです。SSL 3.0のフォールバック警告の既定の動作が2月11日に変更されることは、予定されていたことでした。

 POODLE対策としては、「SSL 3.0の無効化」が推奨されます。SSL 3.0のフォールバック警告は、理由があってSSL 3.0を完全に無効化できない企業向けの“暫定的な対策”として提供されるものです。2カ月後の4月15日の定例更新では、SSL 3.0を既定で無効化する更新プログラムの自動配付が予定されています。

へぇ〜、「Windowsコマンドライン監査」ってあるんだ……

 もう一つのアドバイザリ「3004375」は、Windows 8.1およびWindows Server 2012 R2が標準搭載する「Windowsコマンドライン監査」機能が、更新プログラム「KB3004375」によってWindows 7、Windows Server 2008 R2 Service Pack(SP)1、Windows 8、Windows Server 2012でも利用可能になったというお知らせです(画面2)。

画面2 画面2 更新プログラム「KB3004375」で新たに追加された「プロセス作成イベントにコマンドラインを含める」ポリシー。Windows 8.1ではこのポリシーを、更新プログラムなしで最初から利用可能

 Windows 7以降の企業向けWindowsでは、グループポリシーまたはローカルコンピューターポリシーの「コンピューターの構成¥(ポリシー¥)Windowsの設定¥セキュリティの設定¥監査ポリシーの詳細な構成」で、「詳細追跡」の「プロセス作成の監査」ポリシーを有効にすることで、コンピューター上で作成されるプロセスの情報を「セキュリティ」イベントログに記録することができます。

 Windows 8.1およびWindows Server 2012 R2では監査ポリシーに加えて、「コンピューターの構成¥(ポリシー¥)システム¥プロセス作成の監査」にある「プロセス作成イベントにコマンドラインを含める」ポリシーを有効にすることで、プロセスを作成した完全なコマンドラインをイベントログに含めることが可能になっています(画面3)。

画面3 画面3 プロセス作成の監査イベントに記録された、プロセスを生成したコマンドライン

 更新プログラム「KB3004375」により、Windows 7、Windows Server 2008 R2 SP1、Windows 8、Windows Server 2012でも「プロセス作成イベントにコマンドラインを含める」ポリシーが利用可能になりました。

 ちなみに、更新プログラム「KB3004375」および依存関係にある更新プログラムをインストールする前は、「プロセス作成イベントにコマンドラインを含める」ポリシー(C:\Windows\PolicyDefinitions\AuditSettings.admx)は存在せず、プロセス作成の監査イベントに「プロセスのコマンドライン」の項目は存在しませんでした(画面4)。

画面4 画面4 更新プログラム「KB3004375」(および依存する更新)を適用する前のプロセス作成の監査イベント。「プロセスのコマンドライン」の項目が存在しない

「Sysmon」なら、もっと細かく追跡できるんだもん

 監査ポリシーにコマンドラインを含めることで、不正なプロセスの実行など、セキュリティ問題を調査する際、有益な情報を得られるようになりそうです。

 しかし、筆者はプロセスに関するさらに詳細な情報をイベントログに記録できるツールを知っています。それは、マイクロソフトが提供する無償のユーティリティ群「Windows Sysinternals」の「Sysmon(System Monitor)」です。

 Sysmonは2014年8月にバージョン1.0がリリースされた、Windows Sysinternalsの中で最も新顔のツールです。本稿執筆時点の最新バージョン2.0は、2015年1月に公開されたばかりです。

 Sysmonは、Windowsサービス(%Windir%\Sysmon.exe)とドライバー(%Windir%\SysmonDrv.sys)としてコンピューターにインストールされ、システム起動直後の早い段階からシャットダウンの後半までシステムの活動状況を監視し、プロセスの作成と終了、プロセスの詳細情報、ファイル作成日時の変更、ネットワーク接続、プロセスがロードしたモジュール(DLLやドライバー)の情報をイベントログに記録します(画面5)。システムの監視とログの記録は、Sysmonをアンインストールするまで継続します。

画面5 画面5 Sysmonを使用すると、プロセスを作成したコマンドライン(CommandLine)はもちろん、プロセスのハッシュ値や親プロセスの情報など、監査ポリシーより詳細な情報を得られる

 Sysmonによる監視と記録を開始するには、Windows Sysinternalsのサイトからダウンロードした「Sysmon.zip」を任意のパスに展開し、「管理者として実行」で開いたコマンドプロンプトで以下のコマンドラインを実行します。

Sysmon -i <オプション>


 ネットワーク接続をログに記録する場合はさらに「-n」オプションを、モジュールのロードを記録する場合はさらに「-l」オプションを追加してください(画面6)。特定のプロセスを対象に監視したければ、プロセス名(iexplore.exeなど)を引数に指定します。

画面6 画面6 プロセスが通信したネットワークのエンドポイントの情報も取得できる(「-n」オプションが必要)

 Sysmonが記録したログは「イベントビューアー」の「アプリケーションとサービス\Microsoft\Windows\Sysmon\Operational」で確認できます。イベントログファイルは「%Windir%\System32\winevt\LogsMicrosoft-Windows-Sysmon%4Operational.evtx」です。

 Sysmonの監視を終了するには、次のコマンドラインを実行して、Sysmonをアンインストールします。

Sysmon -u


 アンインストールしても記録済みのログファイルは削除されませんが、「イベントビューアー」ではログを参照できなくなります。Sysmonをインストールせずにログを参照したい場合は、次のコマンドラインを実行して、イベントログのマニフェストを登録してください。

Sysmon -m


 監査ポリシーとSysmonは、どちらもシステムの不審な挙動など、セキュリティ問題の調査に有効です。知っておいて損はありません。どちらを使うかは、あなた次第です。

 なお、監視とログへの記録を行うと、全てのプロセスを追跡することになるため、システムのパフォーマンスに少なからず影響するかもしれません。長期間監視する場合には、ログが肥大化することにも注意が必要です。調査が終了したら、監査ポリシーの無効化やSysmonのアンインストールを忘れずに。

「山市良のうぃんどうず日記」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2015)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。