名稱在建立處理程序事件中包含命令列
CCECCE-35802-8
GPOComputer Settings
類別系統\稽核建立處理程序
描述▪ 這個原則設定可決定建立新的處理程序之後,要將哪些資訊記錄到安全性稽核事件中
▪ 必須啟用 [稽核建立處理程序] 原則後才能套用這個設定。如果啟用這個原則設定,每個處理程序的命令列資訊會以純文字形式記錄到安全性事件記錄中,做為套用此原則設定之工作站和伺服器上稽核建立處理程序事件 4688「已建立新的處理程序」的一部分
▪ 如果停用或未設定這個原則設定,處理程序的命令列資訊將不會包含在稽核建立處理程序事件中
▪ 注意:如果啟用這個原則設定,具有讀取安全性事件存取權的任何使用者,將能夠讀取任何成功建立的處理程序的命令列引數。命令列引數可以包含敏感或私人資訊,如密碼或使用者資料
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\系統管理範本\系統\稽核建立處理程序]
3. 在右邊窗點擊 "在建立處理程序事件中包含命令列"
4. 選擇 "已停用", 點擊 "確定". (GCB 設定值為 停用)
對應Windows 10: 第 29 項