イベント ID 4688: 概要と有効にする方法

Contents

• 1 イベント ID 4688 の概要を確認します。
• 2 イベント ID 4688 とは何ですか?
• 3 イベント ID 4688 を有効にするにはどうすればよいですか?
  • 3.1 1. グループ ポリシー経由
  • 3.2 2. ローカル ポリシーでイベント ID 4688 を有効にする

イベント ID 4688 の概要を確認します。

沿って ヘンダーソン ジェイデン・ハーパー

彼は、暗号技術、Windows ソフトウェア、およびコンピューターに関連するすべてのことに情熱を注いでいます。 彼はほとんどの時間を新しいスキルの開発とテクノロジーの世界についての学習に費やしています。 彼はまた… 読む

に公開 2022 年 12 月 20 日

によってレビューされた
アレックス・セルバン

企業のワーキングモデルから離れた後アレックスは、絶え間ない分析のライフスタイルに報酬を見出しました。 チームの調整 MCSA Windows Server を保持している同僚の邪魔をする… 続きを読む

Windows PC の多くのプロセスは、信頼されていません。 何かがセキュリティ識別子によって信頼済みとしてマークされている間、イベント ID 4688 は、イベント ID 4688 として Windows ビューアーに書き込まれたプロセス作成コマンドです。

または、修正を確認できます: イベント ID 4648 資格情報を使用してログインしようとしました。

イベント ID 4688 とは何ですか?

Windows コンピュータでは、イベント プロセスは単なる実行中のプログラムです。 Windows イベント ビューア Windows イベント ログ Windows オペレーティング システムに保存されているシステム、セキュリティ、およびアプリケーション イベントの詳細なログを提供します。

多くのプロセスは、標準的なワークステーションまたはサーバーでの業務の一部として開始されるため、マルウェアは実行の一部として 1 つまたは複数のプロセスを開始することがよくあります。

ただし、イベント ID 4688 は、これらの悪意のあるアクティビティをプロセス作成イベントと共にログに記録できます。 マルウェア アクティビティがログ ファイルに表示される場合これらは、スレッドストーキングを使用して検出および追跡できます。

したがって、時間、プロセス名などの情報を含む新しいプロセスを開始します。 親プロセス、ソース、レベル、コンピューターなど

イベント ID 4688 を有効にするにはどうすればよいですか?

1. グループ ポリシー経由

1. 押す 窓 + R 起動ボタン 走る ウィンドウ、印刷 gpedit.msc次にクリック 同意.
2. 次のパスをナビゲートします。 Windows Settings Security Settings Advanced Audit Policy Configuration Audit Policies Detailed Tracking Audit Process Creation
3. また、ダブルクリック プロセス作成イベントにコマンド ラインを含めます。選ぶ 活性化次にクリック 同意.

Windows イベント ビューアーは、Windows で作成されたすべてのプロセスのログを記録します。Windows イベント ビューアーの詳細を読むこともできます。

2. ローカル ポリシーでイベント ID 4688 を有効にする

1. を左クリック 始める 検索ボタン イベントの観客そして活性化
2. も選択 Windows ログ 次にクリック 安全性 左上隅から
3. 選ぶ イベント そしてクリック 現在のレコードをフィルタリングします。 右から
4. 選ぶ イベント ID バー ポップアップ メニューから、次のように入力します。 4688次にクリック 同意.
5. イベントプロセス作成ログを表示します。

イベント ID 4688 は事前ウィンドウ ポリシーです。 イベント ビューアでイベント プロセスの生成を有効にすると、アクセスしやすくなります。

さらに、ユーザーは Microsoft Malicious Software Removal Tool のダウンロード方法に関するガイドを使用して、マルウェアから身を守ることができます。

以下のコメント欄で、このプロセスがどのように行われたかをお知らせください。