001-Audit Process Creation (592:4688)-棉花糖会员站

### Audit Process Creation (592/4688)

在启用了”审核进程创建”时记录4688的情况下（系统默认是关闭的，需要手动开启），`Windows 7`、`Windows Server 2008`及以上版本，会在每次创建一个进程时会把事件以`Event ID`为`4688`记录到windows安全日志中

**注**：`Windows XP/2003`的`Event ID`为`592`

开启：`Edit Default Domain Policy -> Policy location: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration -> Detailed Tracking`

策略名称: `Audit Process Creation`

![](/static/lingzu/images/security_wiki/15906445998664.png)

查看ID为`4688`的安全事件：

![](/static/lingzu/images/security_wiki/15906446075400.png)

命令行获取：

“`bash
wevtutil qe security /rd:true /f:text /q:”Event[System[(EventID=4688)]]”

“`

![](/static/lingzu/images/security_wiki/15906446167998.png)

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

001-Audit Process Creation (592:4688)

请登录后发表评论

1新增沉浸式翻译插件deepl pro api共享

2HertzBeat(赫兹跳动) 开源实时监控系统默认口令

3应急预案文档资料 pdf\docx\pptx

4【投稿】Linux应急响应and安全加固

5ctftools-all-in-oneV6 来源：由由学习吧

6中成科信票务管理系统UploadHandler.ashx任意文件上传