Eu postei isso como uma resposta intermediária até obter comentários detalhados da Microsoft sobre esse problema (o que pode acontecer nunca).
Por tentativa e erro, descobri que o problema acima ocorre somente ao especificar o filtro de sessão anterior ao início do rastreio em tempo real. Eu uso muito grande filtragem baseada em IP que se parece com isso:
*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address == 2.19.177.129 ) or
...
many lines
Mas se eu aplicar o filtro de sessão após a sessão começar, então tudo vai bem e os nomes dos processos são mostrados como esperado. Eu não posso explicar este fenômeno adequadamente, já que a filtragem não tem nada a ver com nomes de processos (que são fornecidos pelo kernel), e obviamente não tem nada para fazer e deve não ter nada a ver com o momento de aplicar filtros: antes ou depois do início da sessão.
Apenas mais um vadio da Microsoft ...