To ustawienie zasad określa, jakie informacje mają być rejestrowane w zdarzeniach inspekcji zabezpieczeń po utworzeniu nowego procesu.
To ustawienie jest stosowane tylko wtedy, gdy jest włączona zasada Przeprowadź inspekcję tworzenia procesu. Jeśli to ustawienie zasad zostanie włączone, informacje wiersza polecenia dotyczące każdego procesu będą rejestrowane w formie zwykłego tekstu w dzienniku zdarzeń zabezpieczeń w ramach zdarzenia 4688 inspekcji tworzenia procesu (Utworzono nowy proces) na stacjach roboczych i serwerach, na których to ustawienie zasad jest stosowane.
Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, informacje wiersza polecenia dotyczące procesu nie będą uwzględniane w zdarzeniach inspekcji tworzenia procesów.
Ustawienie domyślne: Nie skonfigurowano
Uwaga: jeśli to ustawienie zasad zostanie włączone, każdy użytkownik z uprawnieniami odczytu zdarzeń zabezpieczeń będzie mógł odczytywać argumenty wiersza polecenia dotyczące każdego pomyślnie utworzonego procesu. Argumenty wiersza polecenia mogą zawierać poufne lub prywatne informacje, takie jak hasła lub dane użytkownika.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
| Value Name | ProcessCreationIncludeCmdLine_Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |