在建立處理程序事件中包含命令列

這個原則設定可決定建立新的處理程序之後,要將哪些資訊記錄到安全性稽核事件中。

必須啟用 [稽核建立處理程序] 原則後才能套用這個設定。如果您啟用這個原則設定,每個處理程序的命令列資訊會以純文字形式記錄到安全性事件記錄中,做為套用此原則設定之工作站和伺服器上稽核建立處理程序事件 4688「已建立新的處理程序」的一部分。

如果您停用或未設定這個原則設定,處理程序的命令列資訊將不會包含在稽核建立處理程序事件中。

預設: 未設定

注意: 如果啟用這個原則設定,具有讀取安全性事件存取權的任何使用者,將能夠讀取任何成功建立的處理程序的命令列引數。命令列引數可以包含敏感或私人資訊,如密碼或使用者資料。

支援的作業系統: 至少需要 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Audit
Value NameProcessCreationIncludeCmdLine_Enabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

auditsettings.admx

系統管理範本 (電腦)

系統管理範本 (使用者)