Pertimbangan untuk memungkinkan CrashOnAuditFailure untuk mencegah kegiatan auditable hilang ketika log keamanan penuh

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 140058 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

RINGKASAN

Karena log Keamanan terbatas dalam ukuran dan karena sejumlah besar catatan rutin audit dapat membuat sulit untuk menemukan catatan yang menunjukkan masalah keamanan, Anda harus hati-hati mempertimbangkan bagaimana Anda melakukan audit objek akses.

Menghasilkan terlalu banyak audit catatan mengharuskan Anda untuk meninjau dan menghapus log keamanan lebih sering daripada praktis.

Jika Anda telah menetapkan log keamanan baik "Menimpa peristiwa-peristiwa yang lebih tua dari x hari"atau "Jangan menimpa peristiwa (Hapus Log secara manual)", Anda mungkin ingin mencegah kegiatan auditable sementara log penuh sehingga tidak ada catatan audit yang baru akan hilang.

Untuk mencapai hal ini, pengaturan kebijakan grup'Menutup sistem segera jika tidak dapat log audit keamanan dapat diatur untuk mencegah peristiwa audit yang ditimpa.

Mengaktifkan kebijakan ini atau memodifikasi nilai CrashOnAuditFail DWORD di bawah HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa kunci registri mengkonfigurasi sistem untuk secara otomatis crash dengan layar biru setiap kali kondisi mencegah sistem dari menulis peristiwa audit untuk log keamanan.

Ketika mengaktifkan pengaturan ini, ukuran log keamanan harus dievaluasi dan ukuran tepat untuk melayani untuk jumlah audit aktivitas di server.


Berikut ini adalah pilihan yang sah untuk nilai registy CrashOnAuditFail:

0 = Setiap pengguna dapat logon. Ini adalah nilai default.

1 = Setiap pengguna dapat logon jika komputer dapat melakukan audit peristiwa dan menulis peristiwa ke log peristiwa keamanan. Jika log peristiwa keamanan penuh atau kondisi lain mencegah peristiwa audit yang ditulis, nilai untuk kunci CrashOnAuditFail berubah untuk 2 dan komputer crash sengaja.

2 = Hanya administrator dapat log on ke sistem.


Selain itu, ketika nilai CrashOnAuditFail diatur ke 2 administrator hanya diperbolehkan untuk masuk ke sistem.


INFORMASI LEBIH LANJUT

Ketika Windows akan restart setelah audit kegagalan telah terjadi, hanya administrator dapat masuk ke sistem.
Selain itu, jika log keamanan penuh, tidak ada tindakan auditable tercatat sampai log Keamanan dibersihkan.

Untuk memulihkan ketika Windows perhentian karena itu tidak dapat menghasilkan audit acara Catatan:
  1. Restart komputer dan logon menggunakan account di grup Administrator dan mengevaluasi apakah kecelakaan ini dimulai karena ke log peristiwa keamanan yang penuh atau jika kondisi lain mencegah peristiwa audit yang dihasilkan.
  2. Jika kecelakaan dimulai dari log peristiwa yang penuh, menggunakan Peraga Peristiwa untuk arsip semua peristiwa saat ini login dan kemudian menghapus semua kejadian dari log keamanan.
  3. Menggunakan Editor registri untuk menghapus dan mengganti nilai entri CrashOnAuditFail, dengan data ketik REG_DWORD dan nilai 1, di bawah HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa (seperti yang dijelaskan di atas).
  4. Keluar dan restart komputer.


CATATAN: Jika log Keamanan mencapai batasan ukuran dan menyebabkan sistem berhenti maka nilai registri CrashOnAuditFail secara otomatis berubah dari "0x00000001" untuk "0x2" untuk memungkinkan hanya administratif masuk ke sistem. Nilai CrashOnAuditFail harus kemudian secara manual reset untuk 0x00000001 setelah log peristiwa keamanan dibersihkan agar pengguna non-administratif untuk dapat masuk ke sistem.



Informasi lebih lanjut:

Untuk informasi lebih lanjut tentang pengaturan registri CrashOnAuditFail, kunjungi halaman web Microsoft berikut.
Pengenalan CrashOnAuditFail

Pengaturan kebijakan grup log peristiwa
.aspx http://MSDN.Microsoft.com/en-us/library/cc778402 (v=WS.10)

Komputer tidak crash ketika disk penuh setelah CrashOnAuditFail diatur pada Windows 7 atau Windows Server 2008 R2
http://support.Microsoft.com/KB/2492505

Anda menerima pesan galat "Stop galat 0xC0000244 {Audit gagal}" selama proses pematian setelah Anda mengaktifkan pengaturan CrashOnAuditFail pada komputer yang sedang menjalankan Windows Vista atau Windows Server 2008

http://support.Microsoft.com/KB/2346270

Pengguna tidak dapat mengakses situs Web ketika log peristiwa keamanan penuh

http://support.Microsoft.com/KB/832981

Properti

ID Artikel: 140058 - Kajian Terakhir: 14 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition with Service Pack 2
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 for Windows Essential Server Solutions
  • Windows Server 2008 for Windows Essential Server Solutions without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 for Embedded Systems
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
Kata kunci: 
kbmt KB140058 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:140058

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com