Mit dieser Richtlinieneinstellung wird bestimmt, welche Informationen bei Sicherheitsüberwachungsereignissen protokolliert werden, wenn ein neuer Prozess erstellt wurde.
Diese Einstellung gilt nur, wenn die Richtlinie "Prozesserstellung überwachen" aktiviert ist. Wenn Sie diese Richtlinieneinstellung aktivieren, werden auf den Arbeitsstationen und Servern, auf denen diese Richtlinieneinstellung gilt, für jeden Prozess Befehlszeileninformationen im Nur-Text-Format im Sicherheitsereignisprotokoll im Rahmen des Ereignisses 4688 "Prozesserstellung überwachen" ("ein neuer Prozess wurde erstellt") protokolliert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Befehlszeileninformationen des Prozesses nicht in "Prozesserstellung überwachen"-Ereignisse aufgenommen.
Standard: Nicht konfiguriert
Hinweis: Wenn diese Richtlinieneinstellung aktiviert ist, kann jeder Benutzer mit Rechten zum Lesen der Sicherheitsereignisse die Befehlszeilenargumente für alle erfolgreich erstellten Prozesse lesen. Befehlszeilenargumente können vertrauliche oder private Informationen wie z. B. Kennwörter oder Benutzerdaten enthalten.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
| Value Name | ProcessCreationIncludeCmdLine_Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |