Включать командную строку в события создания процессов

Этот параметр политики определяет, какие сведения заносятся в события аудита безопасности, когда создается новый процесс.

Он применяется, только когда включен параметр политики "Аудит создания процессов". Если вы включаете этот параметр политики, то на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки заносятся в журнал событий безопасности. Эти сведения заносятся для каждого процесса в виде обычного текста. Они включаются в событие аудита создания процессов 4688 «создан процесс».

Если вы отключаете или не настраиваете этот параметр политики, то сведения из командной строки не включаются в события аудита создания процессов.

Значение по умолчанию: не настроено

Примечание. Когда включен этот параметр политики, любой пользователь, имеющий доступ для чтения событий безопасности, сможет прочитать аргументы командной строки для любого успешно созданного процесса. Аргументы командной строки могут содержать конфиденциальные сведения, в том числе пароли и данные о пользователе.

Поддерживается: SUPPORTED_WindowsBlue

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Audit
Value NameProcessCreationIncludeCmdLine_Enabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

auditsettings.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)