Incluir linha de comando em eventos de criação de processos

Essa configuração de política determina as informações que são registradas em log de eventos de auditoria de segurança quando um novo processo é criado.

Essa configuração se aplica somente quando a política Auditar criação de processos está habilitada. Se você habilitar essa configuração de política, as informações de linha de comando de cada processo serão registradas em texto sem formatação no logs de eventos de segurança como parte do evento 4688 de Auditar criação de processos, "um novo processo foi criado", nas estações de trabalho e nos servidores nos quais essa configuração de política foi aplicada.

Se você desabilitar ou não definir essa configuração de política, as informações de linha de comando do processo não serão incluídas nos eventos de Auditar criação de processos.

Padrão: Não configurado

Observação: quando essa configuração de política está habilitada, qualquer usuário com acesso de leitura aos eventos de segurança poderá ler os argumentos da linha de comando de qualquer processo criado com êxito. Os argumentos da linha de comando podem conter informações sigilosas ou privadas, como senhas ou dados do usuário.

Suporte em: Windows Server 2012 R2, Windows 8.1 ou Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Audit
Value NameProcessCreationIncludeCmdLine_Enabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

auditsettings.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)