Wytęż wzrok...

  • Article

... i znajdz jeden istotny szczegól rózniacy dwa ponizsze obrazki:

audit2

 

audit1

Jest róznica? Jak dla mnie, naprawde znaczaca, a do tego, wariant pierwszy jest wariantem domyslnym w kazdym systemie.

Tak wiec, jezeli chcesz miec w swoim srodowisku naprawde dobre sledzenie uruchamianych procesów, wystarczy ze:

  • Wlaczysz Process Tracking
  • Bedziesz uzywac Windows 8.1 / 2012R2
  • Dodasz w galezi HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Policies \System \Audit wpis ProcessCreationIncludeCmdLine_Enabled typu DWORD o wartosci równej 1.

To ostatnie mozna zrobic przez Group Policy (jezeli masz podpiete szablony GPO do 8.1) albo recznie przez regedit. Do zadzialania nowego ustawienia niestety potrzebny jest restart, ale to naprawde niewielki koszt takiego udogodnienia.

Autor: Grzegorz Tworek [MVP]