Ce paramètre détermine les informations enregistrées dans les événements d'audit de sécurité quand un nouveau processus est créé.
Il s'applique uniquement quand la stratégie Audit de création de processus est activée. Si vous activez ce paramètre de stratégie, les informations de ligne de commande pour chaque processus sont enregistrées au format texte brut dans le journal des événements de sécurité dans le cadre de l'événement 4688 Audit de création de processus, « un processus a été créé », sur les stations de travail et les serveurs sur lesquels ce paramètre de stratégie est appliqué.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les informations de ligne de commande du processus ne sont pas incluses dans les événements Audit de création de processus.
Par défaut : non configuré
Remarque : quand ce paramètre de stratégie est activé, tout utilisateur ayant un accès en lecture aux événements de sécurité peut lire les arguments de ligne de commande pour un processus dont la création a réussi. Les arguments de ligne de commande peuvent contenir des informations privées ou confidentielles telles que des mots de passe ou des données utilisateur.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
| Value Name | ProcessCreationIncludeCmdLine_Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |