AuditProcess removed

farag2 · May 19, 2024 · bcfbd51 · bcfbd51
1 parent 66151da
commit bcfbd51
Show file tree

Hide file tree

Showing 21 changed files with 44 additions and 587 deletions.
diff --git a/Wrapper/Config/config_Windows_10.json b/Wrapper/Config/config_Windows_10.json
@@ -2068,22 +2068,6 @@
     "Preset": "Zero",
     "WindowsDefault": ""
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Control": "cmb",
-    "Required": "false",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable"
-      },
-      "One": {
-        "Tag": "Disable"
-      }
-    },
-    "Preset": "Zero",
-    "WindowsDefault": "One"
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Control": "cmb",

diff --git a/Wrapper/Config/config_Windows_10_LTSC.json b/Wrapper/Config/config_Windows_10_LTSC.json
@@ -1893,24 +1893,6 @@
     "LTSC2019": "true",
     "LTSC2021": "true"
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Control": "cmb",
-    "Required": "false",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable"
-      },
-      "One": {
-        "Tag": "Disable"
-      }
-    },
-    "Preset": "Zero",
-    "WindowsDefault": "One",
-    "LTSC2019": "true",
-    "LTSC2021": "true"
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Control": "cmb",

diff --git a/Wrapper/Config/config_Windows_11.json b/Wrapper/Config/config_Windows_11.json
@@ -1946,22 +1946,6 @@
     "Preset": "Zero",
     "WindowsDefault": ""
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Control": "cmb",
-    "Required": "false",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable"
-      },
-      "One": {
-        "Tag": "Disable"
-      }
-    },
-    "Preset": "Zero",
-    "WindowsDefault": "One"
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Control": "cmb",

diff --git a/Wrapper/Localizations/de-DE/tooltip_Windows_10.json b/Wrapper/Localizations/de-DE/tooltip_Windows_10.json
@@ -1812,27 +1812,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Aktiviert die Ereignisüberwachung, die beim Erstellen (Starten) eines Prozesses erzeugt werden."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Deaktiviert die Ereignisüberwachung, die beim Erstellen (Starten) eines Prozesses erzeugt wird (Standardeinstellung)."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung. Damit diese Funktion funktioniert, muss die Ereignisüberprüfung (ProcessAudit -Enable) aktiviert werden."
+        "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung."
       },
       "One": {
         "Tag": "Disable",
@@ -1846,7 +1832,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Erstellt eine dauerhafte Ansicht \"Prozesserstellung\" in der Ereignisanzeige. Damit dies funktioniert, müssen Auditing-Ereignisse (AuditProcess -Enable) und Kommandozeilenereignisse bei der Prozesserstellung aktiviert sein."
+        "ToolTip": "Erstellt eine dauerhafte Ansicht \"Prozesserstellung\" in der Ereignisanzeige. Damit diese Funktion funktioniert, müssen Ereignisse in der Befehlszeile (CommandLineProcessAudit -Enable) in den Ereignissen der Prozesserstellung aktiviert werden."
       },
       "One": {
         "Tag": "Disable",

diff --git a/Wrapper/Localizations/de-DE/tooltip_Windows_11.json b/Wrapper/Localizations/de-DE/tooltip_Windows_11.json
@@ -1707,27 +1707,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Aktiviert das Überwachen von Ereignissen, die beim Erstellen (Starten) eines Prozesses erzeugt werden."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Deaktiviert das Überwachen von Ereignissen, die beim Erstellen (Starten) eines Prozesses erzeugt werden."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung. Damit diese Funktion funktioniert, muss die Ereignisüberprüfung (ProcessAudit -Enable) aktiviert werden."
+        "ToolTip": "Einbeziehung der Befehlszeile in Ereignisse der Prozesserstellung."
       },
       "One": {
         "Tag": "Disable",
@@ -1741,7 +1727,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Erstellt eine benutzerdefinierte Ansicht \"Prozesserstellung\", um ausgeführte Prozesse und ihre Argumente zu protokollieren. Damit diese Funktion funktioniert, müssen die Ereignisprüfung (AuditProcess -Enable) und die Befehlszeile (CommandLineProcessAudit -Enable) in Ereignissen zur Prozesserstellung aktiviert werden."
+        "ToolTip": "Erstellt eine benutzerdefinierte Ansicht \"Prozesserstellung\", um ausgeführte Prozesse und ihre Argumente zu protokollieren. Damit diese Funktion funktioniert, müssen Ereignisse in der Befehlszeile (CommandLineProcessAudit -Enable) in den Ereignissen der Prozesserstellung aktiviert werden."
       },
       "One": {
         "Tag": "Disable",

diff --git a/Wrapper/Localizations/en-US/tooltip_Windows_10.json b/Wrapper/Localizations/en-US/tooltip_Windows_10.json
@@ -1812,27 +1812,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Enable events auditing generated when a process is created (starts)."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Disable events auditing generated when a process is created (starts) (default value)."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Include command line in process creation events. In order this feature to work events auditing (ProcessAudit -Enable) will be enabled."
+        "ToolTip": "Include command line in process creation events."
       },
       "One": {
         "Tag": "Disable",
@@ -1846,7 +1832,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Create the \"Process Creation\" сustom view in the Event Viewer to log executed processes and their arguments. In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled."
+        "ToolTip": "Create the \"Process Creation\" сustom view in the Event Viewer to log executed processes and their arguments. In order this feature to work events command line (CommandLineProcessAudit -Enable) in process creation events will be enabled."
       },
       "One": {
         "Tag": "Disable",

diff --git a/Wrapper/Localizations/en-US/tooltip_Windows_11.json b/Wrapper/Localizations/en-US/tooltip_Windows_11.json
@@ -1707,27 +1707,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Enable events auditing generated when a process is created (starts)."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Disable events auditing generated when a process is created (starts) (default value)."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Include command line in process creation events. In order this feature to work events auditing (ProcessAudit -Enable) will be enabled."
+        "ToolTip": "Include command line in process creation events."
       },
       "One": {
         "Tag": "Disable",
@@ -1741,7 +1727,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Create the \"Process Creation\" Event Viewer сustom view to log executed processes and their arguments. In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled."
+        "ToolTip": "Create the \"Process Creation\" Event Viewer сustom view to log executed processes and their arguments. In order this feature to work events command line (CommandLineProcessAudit -Enable) in process creation events will be enabled."
       },
       "One": {
         "Tag": "Disable",

diff --git a/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json b/Wrapper/Localizations/ru-RU/tooltip_Windows_10.json
@@ -1812,27 +1812,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Включить аудит событий, возникающих при создании или запуске процесса."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию)."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Включать командную строку в событиях создания процесса. Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable)."
+        "ToolTip": "Включать командную строку в событиях создания процесса."
       },
       "One": {
         "Tag": "Disable",
@@ -1846,7 +1832,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса."
+        "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса."
       },
       "One": {
         "Tag": "Disable",

diff --git a/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json b/Wrapper/Localizations/ru-RU/tooltip_Windows_11.json
@@ -1707,27 +1707,13 @@
       }
     }
   },
-  {
-    "Region": "Microsoft Defender & Security",
-    "Function": "AuditProcess",
-    "Arg": {
-      "Zero": {
-        "Tag": "Enable",
-        "ToolTip": "Включить аудит событий, возникающих при создании или запуске процесса."
-      },
-      "One": {
-        "Tag": "Disable",
-        "ToolTip": "Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию)."
-      }
-    }
-  },
   {
     "Region": "Microsoft Defender & Security",
     "Function": "CommandLineProcessAudit",
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Включать командную строку в событиях создания процесса. Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable)."
+        "ToolTip": "Включать командную строку в событиях создания процесса."
       },
       "One": {
         "Tag": "Disable",
@@ -1741,7 +1727,7 @@
     "Arg": {
       "Zero": {
         "Tag": "Enable",
-        "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса."
+        "ToolTip": "Создать настраиваемое представление \"Создание процесса\" в Просмотре событий. Для того, чтобы работал данный функционал, буден включен командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса."
       },
       "One": {
         "Tag": "Disable",

diff --git a/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1 b/src/Sophia_Script_for_Windows_10/Module/Sophia.psm1
@@ -13867,57 +13867,6 @@ function DismissSmartScreenFilter
 	}
 }
 
-<#
-	.SYNOPSIS
-	Audit process creation
-
-	.PARAMETER Enable
-	Enable events auditing generated when a process is created (starts)
-
-	.PARAMETER Disable
-	Disable events auditing generated when a process is created (starts)
-
-	.EXAMPLE
-	AuditProcess -Enable
-
-	.EXAMPLE
-	AuditProcess -Disable
-
-	.NOTES
-	Machine-wide
-#>
-function AuditProcess
-{
-	param
-	(
-		[Parameter(
-			Mandatory = $true,
-			ParameterSetName = "Enable"
-		)]
-		[switch]
-		$Enable,
-
-		[Parameter(
-			Mandatory = $true,
-			ParameterSetName = "Disable"
-		)]
-		[switch]
-		$Disable
-	)
-
-	switch ($PSCmdlet.ParameterSetName)
-	{
-		"Enable"
-		{
-			auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable
-		}
-		"Disable"
-		{
-			auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable
-		}
-	}
-}
-
 <#
 	.SYNOPSIS
 	Сommand line auditing

diff --git a/src/Sophia_Script_for_Windows_10/Sophia.ps1 b/src/Sophia_Script_for_Windows_10/Sophia.ps1
@@ -1268,34 +1268,16 @@ DismissMSAccount
 # Отклонить предложение Microsoft Defender в "Безопасность Windows" включить фильтр SmartScreen для Microsoft Edge
 DismissSmartScreenFilter
 
-# Enable events auditing generated when a process is created (starts)
-# Включить аудит событий, возникающих при создании или запуске процесса
-AuditProcess -Enable
-
-# Disable events auditing generated when a process is created (starts) (default value)
-# Выключить аудит событий, возникающих при создании или запуске процесса (значение по умолчанию)
-# AuditProcess -Disable
-
-<#
-	Include command line in process creation events
-	In order this feature to work events auditing (ProcessAudit -Enable) will be enabled
-
-	Включать командную строку в событиях создания процесса
-	Для того, чтобы работал данный функционал, будет включен аудит событий (AuditProcess -Enable)
-#>
+# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments
+# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов
 CommandLineProcessAudit -Enable
 
 # Do not include command line in process creation events (default value)
 # Не включать командную строку в событиях создания процесса (значение по умолчанию)
 # CommandLineProcessAudit -Disable
 
-<#
-	Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments
-	In order this feature to work events auditing (AuditProcess -Enable) and command line (CommandLineProcessAudit -Enable) in process creation events will be enabled
-
-	Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов
-	Для того, чтобы работал данный функционал, буден включен аудит событий (AuditProcess -Enable) и командной строки (CommandLineProcessAudit -Enable) в событиях создания процесса
-#>
+# Create the "Process Creation" сustom view in the Event Viewer to log executed processes and their arguments
+# Создать настраиваемое представление "Создание процесса" в Просмотре событий для журналирования запускаемых процессов и их аргументов
 EventViewerCustomView -Enable
 
 # Remove the "Process Creation" custom view in the Event Viewer to log executed processes and their arguments (default value)