Como impedir atividades auditáveis ao log de segurança está cheio

Como o log de segurança é limitado em tamanho e porque um grande número de registros de auditoria rotina pode dificultar localizar registros que sugerem um problema de segurança, você deve considerar cuidadosamente como de auditoria de acesso a objetos. Gerar muitos registros de auditoria exigem que você revise e limpar o log de segurança com mais freqüência que é prático.

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios no sistema que talvez exijam a reinstalação do Windows NT para corrigi-los. Microsoft não garante que problemas resultantes do uso do Editor do Registro possam ser solucionados. Use esta ferramenta de sua responsabilidade.

Se você tiver definido o log de segurança para "Substituir eventos mais de antigos que n dias" ou "não substituir eventos (limpar log manualmente)", talvez você queira evitar atividades auditáveis enquanto o log estiver cheio para que podem ser gravados não novos registros de auditoria. Para fazer isso:

1. Execute o Editor do Registro (Regedt32.exe).
2. No subárvore HKEY_LOCAL_MACHINE\System, vá para a seguinte chave:
   
   \CurrentControlSet\Control\Lsa\
3. Adicione a entrada:
   
   Chave: CrashOnAuditFail
   Tipo: REG_DWORD
   Valor: 1
4. Salve as alterações. A alteração terá efeito na próxima vez que o computador for iniciado. Atualize o disco reparação de emergência para refletir essas alterações.

Se o Windows NT pára como resultado do log de segurança se tornando completo, o sistema deve ser reiniciado e reconfigurado para restaurá-lo para segurança de alto nível. Quando o Windows NT for reiniciado, o log de segurança está cheio e portanto, não ações auditáveis registradas até que o log de segurança está desmarcado.

Para recuperar quando o windows nt pára porque ele não é possível gerar um registro de evento de auditoria:

1. Reinicie o computador e faça logon usando uma conta de administradores do grupo.
2. Use Visualizar eventos para limpar todos os eventos do log de segurança, arquivando os eventos registrados atualmente. Para obter detalhes, consulte o capítulo "Visualizar eventos" no guia de sistema do Windows NT Server ou Windows NT Workstation.
3. Use o Editor do Registro para excluir e substituir o valor CrashOnAuditFail, com dados digite REG_DWORD e o valor 1, em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa (conforme descrito acima).
4. Saia e reinicie o computador.

Observação: Se o log de segurança atingir é limitação de tamanho e faz com que interromper um sistema, em seguida, o valor de registro CrashOnAuditFail automaticamente é alterado de "0 x 1" para "0 x 2" para permitir logon administrativo para o sistema. O valor CrashOnAuditFail, em seguida, deve ser redefinido manualmente para 0 x 1 após o log de eventos de segurança está desmarcado.