策略 CSP - ADMX_AuditSettings
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>
。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
IncludeCmdLine
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_AuditSettings/IncludeCmdLine
此策略设置确定创建新进程时,哪些信息记录在安全审核事件中。
此设置仅在启用审核进程创建策略时适用。
如果启用此策略设置,则每个进程的命令行信息将以纯文本形式记录在安全事件日志中,作为审核进程创建事件 4688 的一部分,“已创建一个新进程”,该记录在应用此策略设置的工作站和服务器上。
如果禁用或未配置此策略设置,则审核进程创建事件中不会包含进程的命令行信息。
默认值:未配置。
注意
启用此策略设置后,有权读取安全事件的任何用户都将能够读取任何成功创建进程的命令行参数。 命令行参数可以包含敏感信息或私有信息,例如密码或用户数据。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
名称 | 值 |
---|---|
名称 | IncludeCmdLine |
友好名称 | 在进程创建事件中包含命令行 |
位置 | “计算机配置” |
路径 | 系统 > 审核过程创建 |
注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit |
注册表值名称 | ProcessCreationIncludeCmdLine_Enabled |
ADMX 文件名 | AuditSettings.admx |