Comment faire pour empêcher des activités d'audit lorsque le journal sécurité est plein

Traductions disponibles Traductions disponibles
Numéro d'article: 140058 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Étant donné que la taille du journal de sécurité est limitée et car un grand nombre d'enregistrements d'audit routine peut rendre difficile de rechercher les enregistrements qui suggèrent un problème de sécurité, vous devez réfléchir soigneusement la façon dont vous auditez l'accès aux objets. Générer trop d'enregistrements d'audit vous obliger à passer en revue et effacer le journal de sécurité plus souvent qui est pratique.

Plus d'informations

Avertissement: À l'aide de l'Éditeur du Registre incorrecte peut provoquer des problèmes sérieuses au niveau du système, pouvant vous obliger à réinstaller Windows NT. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation de l'Éditeur du Registre puissent être résolus. Utilisez cet outil à vos risques et périls.

Si vous avez défini le journal de sécurité pour «Remplacer événements ancien que n jours» ou «ne pas écraser les événements (Effacer le journal manuellement)», vous souhaiterez peut-être empêcher que des activités placées sous audit s'exécutent pendant que le journal est plein pour aucun des enregistrements d'audit ne peuvent être écrits. Pour ce faire :
  1. Exécutez l'Éditeur du Registre (Regedt32.exe).
  2. À partir de la sous-arborescence HKEY_LOCAL_MACHINE\System, accédez à la clé suivante :

    \CurrentControlSet\Control\Lsa\
  3. Ajoutez l'entrée :

    Clé : CrashOnAuditFail
    Type : REG_DWORD
    Valeur: 1
  4. Enregistrer les modifications. La modification prendra effet au prochain que démarrage de l'ordinateur. Mettre à jour la disquette de réparation d'urgence pour refléter ces modifications.
Si Windows NT s'arrête à la suite du journal de sécurité ne soit plein, le système doit être redémarré et reconfiguré pour restaurer à la sécurité de haut niveau. Lors du redémarrage de Windows NT, le journal de sécurité est plein et par conséquent, aucune action ne pouvant être auditées n'est enregistrées jusqu'à ce que le journal de sécurité est désactivé.

Pour récupérer lorsque windows nt s'arrête, car il ne peut pas générer un enregistrement d'événement d'audit :
  1. Redémarrez l'ordinateur et ouvrez une session en utilisant un compte dans le groupe Administrateurs groupe.
  2. Utilisez l'Observateur d'événements pour effacer tous les événements du journal de sécurité, l'archivage les événements actuellement consignés. Pour plus d'informations, consultez le chapitre «Observateur d'événements» dans le Windows NT Workstation ou un guide système Windows NT Server.
  3. Utilisez l'Éditeur du Registre pour supprimer et remplacer l'entrée de la valeur CrashOnAuditFail avec les données de type REG_DWORD et valeur 1 sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA (comme décrit ci-dessus).
  4. Quittez et redémarrez l'ordinateur.


Remarque : Si le journal sécurité atteint est limitée et provoque un arrêt système, puis la valeur de Registre CrashOnAuditFail est automatiquement modifiée de "0 x 1" à «0 x 2» pour autoriser l'ouverture de session d'administration pour le système. La valeur CrashOnAuditFail doit ensuite être manuellement réinitialisée à 0 x 1 après avoir effacé le journal des événements de sécurité.

Propriétés

Numéro d'article: 140058 - Dernière mise à jour: mercredi 1 novembre 2006 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 3.1
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbmt KB140058 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 140058
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com