Freitag, 27.12.2024 (CET) um 00:21 Uhr
www.windowspage.de 20 Jahre Windowspage
News:
Herzlich Willkommen bei Windowspage. Alles rund um Windows.

Tipps - Ereignisanzeige - Prozessbefehlszeile bei Prozesserstellungsereignissen einbeziehen (ab Win 8.1)
Detailbeschreibung
Betriebssystem: Windows 8

Bei aktivierter Überwachung von prozessbezogenen Ereignisse wie Prozesserstellung oder Prozessbeendigung wird bei jedem neuen Prozess im Sicherheitsprotokoll (der Ereignisanzeige) das Ereignis mit der ID 4688 eingetragen. Unter den "Prozessinformationen" (Registerkarte "Allgemein") des Ereignisses / Protokolleintrags ist die Zeile "Prozessbefehlszeile" immer ohne Eintrag. Die Anzeige dieser Information muss zuerst mit einem Schlüssel in der Registrierung aktiviert werden. Befehlszeilenargumente können möglicherweise vertrauliche oder private Informationen wie z. B. Kennwörter oder Benutzerdaten enthalten. Durch die Speicherung der Informationen kann die Sicherheit beeinträchtigt werden.

So geht's:

  • Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Policies
    System
    Audit

    Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
  • Doppelklicken Sie auf den Schlüssel "ProcessCreationIncludeCmdLine_Enabled".
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "ProcessCreationIncludeCmdLine_Enabled" ein.
  • Ändern Sie den Wert ggf. von "0" (nicht speichern) auf "1" (protokollieren).
  • Die Änderungen werden ggf. erst nach einem Neustart aktiv.
ProcessCreationIncludeCmdLine_Enabled

Hinweise:

  • ProcessCreationIncludeCmdLine_Enabled:
    0 = Die Befehlszeileninformationen werden bei Sicherheitsüberwachungsereignissen im Rahmen der Prozesserstellung nicht protokolliert. (Standard)
    1 = Die Befehlszeileninformationen werden bei Sicherheitsüberwachungsereignissen im Rahmen der Prozesserstellung mit protokolliert und angezeigt.
  • Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Hinweis:

  • Diese Einstellung gilt erst ab Windows 8.1.

Windowspage - Weitere interessante Tipps und Einstellungen
Tipps für Windows 8
Statistik

Unsere Webseite verwendet technisch notwendige Cookies ("berechtigtes Interesse"). Darüberhinausgehend (z. B. für Statistiken oder Marketing) erfolgt keine Speicherung von Cookies. Klicken Sie auf "Ich stimme zu", um Cookies zu akzeptieren und direkt unsere Webseite besuchen zu können. Weitere Informationen...

Valid HTML 4.01 Transitional  CSS ist valide!