Cómo impedir actividades auditables al registro de seguridad completa

Seleccione idioma Seleccione idioma
Id. de artículo: 140058 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Puesto que el registro de seguridad es limitado el tamaño y debido a un gran número de registros de auditoría rutina puede dificultar buscar registros que sugieran un problema de seguridad, debe considerar cuidadosamente cómo de auditoría de acceso a objetos. Generar demasiados registros de auditoría requieren que se revise y borrar el registro de seguridad con más frecuencia es práctico.

Más información

AVISO: Utilizar el Editor del Registro incorrectamente puede provocar problemas graves en todo el sistema que le obliguen a reinstalar Windows NT para corregirlos. Microsoft no puede garantizar la solución de los problemas resultantes del uso del Editor del Registro. Utilice esta herramienta bajo su responsabilidad.

Si ha establecido el registro de seguridad a "Sobrescribir eventos antiguos de n días" o "no sobrescribir sucesos (borrado manual)", quizás desee impedir actividades auditables mientras el registro está lleno de forma que no pueden escribirse nuevos registros de auditoría. Para ello:
  1. Ejecute el Editor del Registro (Regedt32.exe).
  2. Desde el subárbol HKEY_LOCAL_MACHINE\SYSTEM, vaya a la siguiente clave:

    \CurrentControlSet\Control\Lsa\
  3. Agregue la entrada:

    Clave: CrashOnAuditFail
    Tipo: REG_DWORD
    Valor: 1
  4. Guardar los cambios. Los cambios surtirán efecto la próxima vez que el equipo se inicie. Actualizar el disco de reparación de emergencia para reflejar estos cambios.
Si Windows se detiene como consecuencia de llenar el registro de seguridad, se debe reiniciar el sistema y reconfigurado para restaurarla a alto nivel de seguridad. Cuando se reinicia Windows, el registro de seguridad está lleno y así no se registran acciones auditables hasta que se borra el registro de seguridad.

Para recuperar cuando windows nt se detiene debido a no puede generar un registro de sucesos de auditoría:
  1. Reinicie el equipo e inicie sesión con una cuenta en los administradores de grupo.
  2. Utilice el Visor de sucesos para borrar todos los sucesos del registro de seguridad, archivando los sucesos actualmente registrados. Para obtener información detallada, consulte el capítulo "Visor de sucesos" en el Windows NT Workstation o de la Guía de sistema de Windows NT Server.
  3. Utilice el Editor del registro para eliminar y reemplazar la entrada de valor CrashOnAuditFail, con datos de tipo REG_DWORD y el valor 1, debajo de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa (como se ha descrito anteriormente).
  4. Salga y reinicie el equipo.


Nota: Si llega el registro de seguridad es la limitación de tamaño y hace que una detención del sistema, a continuación, el valor del registro CrashOnAuditFail se cambia automáticamente de "0 x 1" a "0 x 2" para permitir el inicio de sesión administrativa para el sistema. El valor CrashOnAuditFail debe después manualmente Restaurar para 0 x 1 una vez borrado el registro de sucesos de seguridad.

Propiedades

Id. de artículo: 140058 - Última revisión: miércoles, 1 de noviembre de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 3.1
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt KB140058 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 140058

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com