這個原則設定可決定建立新的處理程序之後,要將哪些資訊記錄到安全性稽核事件中。
必須啟用 [稽核建立處理程序] 原則後才能套用這個設定。如果您啟用這個原則設定,每個處理程序的命令列資訊會以純文字形式記錄到安全性事件記錄中,做為套用此原則設定之工作站和伺服器上稽核建立處理程序事件 4688「已建立新的處理程序」的一部分。
如果您停用或未設定這個原則設定,處理程序的命令列資訊將不會包含在稽核建立處理程序事件中。
預設: 未設定
注意: 如果啟用這個原則設定,具有讀取安全性事件存取權的任何使用者,將能夠讀取任何成功建立的處理程序的命令列引數。命令列引數可以包含敏感或私人資訊,如密碼或使用者資料。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
| Value Name | ProcessCreationIncludeCmdLine_Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |