diff --git a/Wrapper/Config/config_Windows_10.json b/Wrapper/Config/config_Windows_10.json index 01598627..58cb1777 100644 --- a/Wrapper/Config/config_Windows_10.json +++ b/Wrapper/Config/config_Windows_10.json @@ -2068,22 +2068,6 @@ "Preset": "Zero", "WindowsDefault": "" }, - { - "Region": "Microsoft Defender & Security", - "Control": "cmb", - "Required": "false", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable" - }, - "One": { - "Tag": "Disable" - } - }, - "Preset": "Zero", - "WindowsDefault": "One" - }, { "Region": "Microsoft Defender & Security", "Control": "cmb", diff --git a/Wrapper/Config/config_Windows_10_LTSC.json b/Wrapper/Config/config_Windows_10_LTSC.json index dff163b3..95dd2440 100644 --- a/Wrapper/Config/config_Windows_10_LTSC.json +++ b/Wrapper/Config/config_Windows_10_LTSC.json @@ -1893,24 +1893,6 @@ "LTSC2019": "true", "LTSC2021": "true" }, - { - "Region": "Microsoft Defender & Security", - "Control": "cmb", - "Required": "false", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable" - }, - "One": { - "Tag": "Disable" - } - }, - "Preset": "Zero", - "WindowsDefault": "One", - "LTSC2019": "true", - "LTSC2021": "true" - }, { "Region": "Microsoft Defender & Security", "Control": "cmb", diff --git a/Wrapper/Config/config_Windows_11.json b/Wrapper/Config/config_Windows_11.json index 719cf094..9b4b3a71 100644 --- a/Wrapper/Config/config_Windows_11.json +++ b/Wrapper/Config/config_Windows_11.json @@ -1946,22 +1946,6 @@ "Preset": "Zero", "WindowsDefault": "" }, - { - "Region": "Microsoft Defender & Security", - "Control": "cmb", - "Required": "false", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable" - }, - "One": { - "Tag": "Disable" - } - }, - "Preset": "Zero", - "WindowsDefault": "One" - }, { "Region": "Microsoft Defender & Security", "Control": "cmb", diff --git a/Wrapper/Localizations/de-DE/tooltip_Windows_10.json b/Wrapper/Localizations/de-DE/tooltip_Windows_10.json index 38531e46..3f6af3a9 100644 --- a/Wrapper/Localizations/de-DE/tooltip_Windows_10.json +++ b/Wrapper/Localizations/de-DE/tooltip_Windows_10.json @@ -1812,27 +1812,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Aktiviert die Ereignisüberwachung, die beim Erstellen (Starten) eines Prozesses erzeugt werden." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Deaktiviert die Ereignisüberwachung, die beim Erstellen (Starten) eines Prozesses erzeugt wird (Standardeinstellung)." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung. Damit diese Funktion funktioniert, muss die Ereignisüberprüfung (ProcessAudit -Enable) aktiviert werden." + "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung." }, "One": { "Tag": "Disable", @@ -1846,7 +1832,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Erstellt eine dauerhafte Ansicht \"Prozesserstellung\" in der Ereignisanzeige. Damit dies funktioniert, müssen Auditing-Ereignisse (AuditProcess -Enable) und Kommandozeilenereignisse bei der Prozesserstellung aktiviert sein." + "ToolTip": "Erstellt eine dauerhafte Ansicht \"Prozesserstellung\" in der Ereignisanzeige. Damit diese Funktion funktioniert, müssen Ereignisse in der Befehlszeile (CommandLineProcessAudit -Enable) in den Ereignissen der Prozesserstellung aktiviert werden." }, "One": { "Tag": "Disable", diff --git a/Wrapper/Localizations/de-DE/tooltip_Windows_11.json b/Wrapper/Localizations/de-DE/tooltip_Windows_11.json index d4dcb84e..0087f2bf 100644 --- a/Wrapper/Localizations/de-DE/tooltip_Windows_11.json +++ b/Wrapper/Localizations/de-DE/tooltip_Windows_11.json @@ -1707,27 +1707,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Aktiviert das Überwachen von Ereignissen, die beim Erstellen (Starten) eines Prozesses erzeugt werden." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Deaktiviert das Überwachen von Ereignissen, die beim Erstellen (Starten) eines Prozesses erzeugt werden." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung. Damit diese Funktion funktioniert, muss die Ereignisüberprüfung (ProcessAudit -Enable) aktiviert werden." + "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung." }, "One": { "Tag": "Disable", @@ -1741,7 +1727,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Erstellt eine benutzerdefinierte Ansicht \"Prozesserstellung\", um ausgeführte Prozesse und ihre Argumente zu protokollieren. Damit diese Funktion funktioniert, müssen die Ereignisprüfung (AuditProcess -Enable) und die Befehlszeile (CommandLineProcessAudit -Enable) in Ereignissen zur Prozesserstellung aktiviert werden." + "ToolTip": "Erstellt eine benutzerdefinierte Ansicht \"Prozesserstellung\", um ausgeführte Prozesse und ihre Argumente zu protokollieren. Damit diese Funktion funktioniert, müssen Ereignisse in der Befehlszeile (CommandLineProcessAudit -Enable) in den Ereignissen der Prozesserstellung aktiviert werden." }, "One": { "Tag": "Disable", diff --git a/Wrapper/Localizations/en-US/tooltip_Windows_10.json b/Wrapper/Localizations/en-US/tooltip_Windows_10.json index 024118ff..0ed7a1b7 100644 --- a/Wrapper/Localizations/en-US/tooltip_Windows_10.json +++ b/Wrapper/Localizations/en-US/tooltip_Windows_10.json @@ -1812,27 +1812,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Enable events auditing generated when a process is created (starts)." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Disable events auditing generated when a process is created (starts) (default value)." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Include command line in process creation events. In order this feature to work events auditing (ProcessAudit -Enable) will be enabled." + "ToolTip": "Include command line in process creation events." }, "One": { "Tag": "Disable", @@ -1846,7 +1832,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Create the \"Process Creation\" сustom view in the Event Viewer to log executed processes and their arguments. In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled." + "ToolTip": "Create the \"Process Creation\" сustom view in the Event Viewer to log executed processes and their arguments. In order this feature to work events command line (CommandLineProcessAudit -Enable) in process creation events will be enabled." }, "One": { "Tag": "Disable", diff --git a/Wrapper/Localizations/en-US/tooltip_Windows_11.json b/Wrapper/Localizations/en-US/tooltip_Windows_11.json index 6a985255..40b0bfb9 100644 --- a/Wrapper/Localizations/en-US/tooltip_Windows_11.json +++ b/Wrapper/Localizations/en-US/tooltip_Windows_11.json @@ -1707,27 +1707,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Enable events auditing generated when a process is created (starts)." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Disable events auditing generated when a process is created (starts) (default value)." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Include command line in process creation events. In order this feature to work events auditing (ProcessAudit -Enable) will be enabled." + "ToolTip": "Include command line in process creation events." }, "One": { "Tag": "Disable", @@ -1741,7 +1727,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Create the \"Process Creation\" Event Viewer сustom view to log executed processes and their arguments. In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled." + "ToolTip": "Create the \"Process Creation\" Event Viewer сustom view to log executed processes and their arguments. In order this feature to work events command line (CommandLineProcessAudit -Enable) in process creation events will be enabled." }, "One": { "Tag": "Disable", diff --git a/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json b/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json index a1508cca..c51e0f4b 100644 --- a/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json +++ b/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json @@ -1812,27 +1812,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Включить аудит событий, возникающих при создании или запуске процесса." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию)." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Включать командную строку в событиях создания процесса. Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable)." + "ToolTip": "Включать командную строку в событиях создания процесса." }, "One": { "Tag": "Disable", @@ -1846,7 +1832,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса." + "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса." }, "One": { "Tag": "Disable", diff --git a/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json b/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json index 5b0eb5e7..a83d252f 100644 --- a/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json +++ b/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json @@ -1707,27 +1707,13 @@ } } }, - { - "Region": "Microsoft Defender & Security", - "Function": "AuditProcess", - "Arg": { - "Zero": { - "Tag": "Enable", - "ToolTip": "Включить аудит событий, возникающих при создании или запуске процесса." - }, - "One": { - "Tag": "Disable", - "ToolTip": "Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию)." - } - } - }, { "Region": "Microsoft Defender & Security", "Function": "CommandLineProcessAudit", "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Включать командную строку в событиях создания процесса. Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable)." + "ToolTip": "Включать командную строку в событиях создания процесса." }, "One": { "Tag": "Disable", @@ -1741,7 +1727,7 @@ "Arg": { "Zero": { "Tag": "Enable", - "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса." + "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса." }, "One": { "Tag": "Disable", diff --git a/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1 index d9b4e7dd..d924107d 100644 --- a/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1 @@ -13867,57 +13867,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing diff --git a/src/Sophia_Script_for_Windows_10/Sophia.ps1 b/src/Sophia_Script_for_Windows_10/Sophia.ps1 index 4ca44a87..3a2abae8 100644 --- a/src/Sophia_Script_for_Windows_10/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_10/Sophia.ps1 @@ -1268,34 +1268,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value) diff --git a/src/Sophia_Script_for_Windows_10_LTSC_2019/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_10_LTSC_2019/Module/Sophia.psm1 index 3f71c429..b2390266 100644 --- a/src/Sophia_Script_for_Windows_10_LTSC_2019/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_10_LTSC_2019/Module/Sophia.psm1 @@ -10421,57 +10421,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing diff --git a/src/Sophia_Script_for_Windows_10_LTSC_2019/Sophia.ps1 b/src/Sophia_Script_for_Windows_10_LTSC_2019/Sophia.ps1 index e7138832..ec6a4b50 100644 --- a/src/Sophia_Script_for_Windows_10_LTSC_2019/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_10_LTSC_2019/Sophia.ps1 @@ -928,34 +928,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value) diff --git a/src/Sophia_Script_for_Windows_10_LTSC_2021/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_10_LTSC_2021/Module/Sophia.psm1 index 553023e3..f33bd793 100644 --- a/src/Sophia_Script_for_Windows_10_LTSC_2021/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_10_LTSC_2021/Module/Sophia.psm1 @@ -11552,57 +11552,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing diff --git a/src/Sophia_Script_for_Windows_10_LTSC_2021/Sophia.ps1 b/src/Sophia_Script_for_Windows_10_LTSC_2021/Sophia.ps1 index 6468ec40..9d14e1a3 100644 --- a/src/Sophia_Script_for_Windows_10_LTSC_2021/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_10_LTSC_2021/Sophia.ps1 @@ -1067,34 +1067,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value) diff --git a/src/Sophia_Script_for_Windows_10_PowerShell_7/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_10_PowerShell_7/Module/Sophia.psm1 index 3634fcf3..25f09fcb 100644 --- a/src/Sophia_Script_for_Windows_10_PowerShell_7/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_10_PowerShell_7/Module/Sophia.psm1 @@ -13893,57 +13893,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing diff --git a/src/Sophia_Script_for_Windows_10_PowerShell_7/Sophia.ps1 b/src/Sophia_Script_for_Windows_10_PowerShell_7/Sophia.ps1 index 24cd53a6..6af685ad 100644 --- a/src/Sophia_Script_for_Windows_10_PowerShell_7/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_10_PowerShell_7/Sophia.ps1 @@ -1279,34 +1279,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value) diff --git a/src/Sophia_Script_for_Windows_11/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_11/Module/Sophia.psm1 index ab300e33..5aed5871 100644 --- a/src/Sophia_Script_for_Windows_11/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_11/Module/Sophia.psm1 @@ -13121,57 +13121,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing @@ -13226,7 +13175,9 @@ function CommandLineProcessAudit } "Disable" { + auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable Remove-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit -Name ProcessCreationIncludeCmdLine_Enabled -Force -ErrorAction Ignore + Set-Policy -Scope Computer -Path SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit -Name ProcessCreationIncludeCmdLine_Enabled -Type CLEAR } } @@ -13309,8 +13260,8 @@ function EventViewerCustomView New-Item -Path "$env:ProgramData\Microsoft\Event Viewer\Views" -ItemType Directory -Force } - # Save ProcessCreation.xml in the UTF-8 without BOM encoding - Set-Content -Path "$env:ProgramData\Microsoft\Event Viewer\Views\ProcessCreation.xml" -Value $XML -Encoding Default -NoNewline -Force + # Save ProcessCreation.xml in the UTF-8 with BOM encoding + Set-Content -Path "$env:ProgramData\Microsoft\Event Viewer\Views\ProcessCreation.xml" -Value $XML -Encoding UTF8 -NoNewline -Force ### } "Disable" { @@ -13883,7 +13834,7 @@ function DNSoverHTTPS Local Security Authority protection .PARAMETER Enable - Enable Local Security Authority protection to prevent code injection + Enable Local Security Authority protection to prevent code injection without UEFI lock ### .PARAMETER Disable Disable Local Security Authority protection @@ -13949,6 +13900,9 @@ function LocalSecurityAuthority "Disable" { Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL, RunAsPPLBoot -Force -ErrorAction Ignore + Remove-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\System -Name RunAsPPL -Force -ErrorAction Ignore ### + + Set-Policy -Scope User -Path Software\Policies\Microsoft\Windows\Explorer -Name NoUseStoreOpenWith -Type CLEAR } } } diff --git a/src/Sophia_Script_for_Windows_11/Sophia.ps1 b/src/Sophia_Script_for_Windows_11/Sophia.ps1 index dae99141..57cfa824 100644 --- a/src/Sophia_Script_for_Windows_11/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_11/Sophia.ps1 @@ -1210,34 +1210,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value) diff --git a/src/Sophia_Script_for_Windows_11_PowerShell_7/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_11_PowerShell_7/Module/Sophia.psm1 index 22c12320..4646165e 100644 --- a/src/Sophia_Script_for_Windows_11_PowerShell_7/Module/Sophia.psm1 +++ b/src/Sophia_Script_for_Windows_11_PowerShell_7/Module/Sophia.psm1 @@ -13144,57 +13144,6 @@ function DismissSmartScreenFilter } } -<# - .SYNOPSIS - Audit process creation - - .PARAMETER Enable - Enable events auditing generated when a process is created (starts) - - .PARAMETER Disable - Disable events auditing generated when a process is created (starts) - - .EXAMPLE - AuditProcess -Enable - - .EXAMPLE - AuditProcess -Disable - - .NOTES - Machine-wide -#> -function AuditProcess -{ - param - ( - [Parameter( - Mandatory = $true, - ParameterSetName = "Enable" - )] - [switch] - $Enable, - - [Parameter( - Mandatory = $true, - ParameterSetName = "Disable" - )] - [switch] - $Disable - ) - - switch ($PSCmdlet.ParameterSetName) - { - "Enable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable - } - "Disable" - { - auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable - } - } -} - <# .SYNOPSIS Сommand line auditing diff --git a/src/Sophia_Script_for_Windows_11_PowerShell_7/Sophia.ps1 b/src/Sophia_Script_for_Windows_11_PowerShell_7/Sophia.ps1 index a76cd772..d0f75ef0 100644 --- a/src/Sophia_Script_for_Windows_11_PowerShell_7/Sophia.ps1 +++ b/src/Sophia_Script_for_Windows_11_PowerShell_7/Sophia.ps1 @@ -1221,34 +1221,16 @@ DismissMSAccount # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge DismissSmartScreenFilter -# Enable events auditing generated when a process is created (starts) -# Включить аудит событий, возникающих при создании или запуске процесса -AuditProcess -Enable - -# Disable events auditing generated when a process is created (starts) (default value) -# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию) -# AuditProcess -Disable - -<# - Include command line in process creation events - In order this feature to work events auditing (ProcessAudit -Enable) will be enabled - - Включать командную строку в событиях создания процесса - Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable) -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов CommandLineProcessAudit -Enable # Do not include command line in process creation events (default value) # Не включать командную строку в событиях создания процесса (значение по умолчанию) # CommandLineProcessAudit -Disable -<# - Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments - In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled - - Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов - Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса -#> +# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments +# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов EventViewerCustomView -Enable # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value)