此策略设置用于确定创建新过程后将在安全审核事件中记录哪些信息。
此设置只在审核过程创建策略启用后才有效。如果启用此策略设置,则会以纯文本方式在安全事件日志中记录每个过程的命令行信息,作为审核过程创建事件 4688 的一部分。应用此策略设置的工作站和服务器上都会创建一个新过程。
如果禁用或未配置此策略设置,则审核过程创建事件中将不会加入该过程的命令行信息。
默认:未配置
注意:启用此策略设置后,任何有权读取安全事件的用户都能读取所有成功创建的过程的命令行参数。命令行参数可包含敏感信息或私人信息,例如密码或用户数据。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
Value Name | ProcessCreationIncludeCmdLine_Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |