Zahrnout příkazový řádek do událostí vytvoření procesu

Toto nastavení zásad určuje, jaké informace jsou protokolovány v událostech auditu zabezpečení po vytvoření nového procesu.

Toto nastavení se použije pouze v případě, že je povolena zásada Auditovat vytvoření procesu. Pokud toto nastavení zásad povolíte, budou protokolovány informace z příkazového řádku pro každý proces jako prostý text v protokolu událostí zabezpečení jako součást události Auditovat vytvoření procesu číslo 4688 (Byl vytvořen nový proces) v pracovních stanicích a na serverech, kde je toto nastavení zásad uplatňováno.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nebudou informace z příkazového řádku procesu zahrnuty do událostí Auditovat vytvoření procesu.

Výchozí nastavení: Není nakonfigurováno

Poznámka: Pokud je toto nastavení zásad povoleno, libovolný uživatel s přístupem ke čtení událostí zabezpečení bude moci číst argumenty příkazového řádku pro jakýkoli úspěšně vytvořený proces. Argumenty příkazového řádku mohou obsahovat citlivé nebo soukromé informace, například hesla nebo uživatelská data.

Podporováno na: Minimálně Windows Server 2012 R2, Windows 8.1 nebo Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Audit
Value NameProcessCreationIncludeCmdLine_Enabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

auditsettings.admx

Šablony pro správu (počítače)

Šablony pro správu (uživatelé)