Úvahy o umožňujúce CrashOnAuditFailure zabrániť auditovateľné aktivity zanechanie pri zaplnení denníka zabezpečenia

ID článku: 140058 - Zobraziť produkty, ktorých sa tento článok týka.
Strojovo preloženéKliknutím sem zobrazíte vyhlásenie týkajúce sa strojovo preložených článkov databázy KB
Rozbaliť všetko | Zbaliť všetko

SUHRN

Pretože denník zabezpečenia má obmedzenú veľkosť a veľký počet rutinných auditné záznamy môže byť ťažké nájsť záznamy, ktoré naznačujú bezpečnostný problém, ste mali starostlivo zvážiť ako Auditovať prístup k objektu.

Generovanie príliš veľa auditné záznamy môžu vyžadovať preskúmanie a vymazať denník zabezpe?enia častejšie, ako je praktické.

Ak ste nastavili denníka zabezpečenia buď "Prepisovať udalosti staršie ako n dní"alebo "Neprepisovať udalosti (denník vymazávať ručne)", možno budete chcieť zabrániť auditovateľné aktivity, pokiaľ je denník plný tak žiadne nové auditné záznamy sa stratia.

Na dosiahnutie tohto, nastavenie skupinovej politiky'Vypnúť systém ak nemožno prihlásiť bezpečnostných auditov môžete nastaviť na zabránenie auditovať udalosti pred prepísaním.

Zapnutie tejto politiky alebo úprava hodnoty CrashOnAuditFail DWORD podľa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa kľúč databázy Registry nakonfiguruje systém na automaticky krach s modrej obrazovke kedykoľvek akúkoľvek podmienku zabráni písanie auditu udalosti do denníka zabezpečenia systému.

Keď umožnia toto nastavenie, veľkosť denníka zabezpečenia by sa hodnotené nasával a vhodne ošetriť z audítorskej činnosti na serveri.


Platné možnosti pre hodnotu CrashOnAuditFail databáze Registry sú:

0 = Akákoľvek používateľ môže prihlásiť. Toto je predvolená hodnota.

1 = Akákoľvek používateľ môže prihlásiť, ak počítač možno auditovať udalosti a zapísať udalosti do denníka udalostí zabezpečenia. Ak udalosť denník zabezpečenia je plný alebo akúkoľvek inú podmienku zabraňuje napísaný udalos auditu, hodnota pre CrashOnAuditFail kľúč sa zmení na 2 a počítač havaruje zámerne.

2 = Iba správcovia môžu prihlásiť do systému.


Okrem toho, keď hodnota CrashOnAuditFail nastavená na 2 iba správcovia sú povolené na prihlásenie do systému.


DALSIE INFORMACIE

Po reštartovaní systému Windows po vzniku zlyhania auditu, iba správcovia môžu prihlásiť do systému.
Okrem toho, ak je denník zabezpečenia plný, žiadne Auditovateľné činnosti zaznamenávajú do denníka zabezpečenia sa zbaví.

Na obnovenie systému Windows zastaví pretože nemôže generuje auditný záznam o udalosti:
  1. Reštartujte počítač a prihláste sa pomocou konta v skupine Administrators a vyhodnotenie či havárie bolo zahájené kvôli udalosti denník zabezpečenia je plný alebo ak ďalšiu podmienku zabránil auditu udalosti generované.
  2. Ak havárii spustené z denníka udalostí, že je plná, použite Zobrazovač udalostí archivovať všetky aktuálne zaznamenané udalosti a potom vymažte všetky udalosti z denníka zabezpečenia.
  3. Použite Editor databázy Registry na odstrániť a nahradiť položka ocenenia CrashOnAuditFail, s údajov typu REG_DWORD a hodnotu 1, pod HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa (ako je opísané vyššie).
  4. Skončite a reštartujte počítač.


POZNÁMKA: Ak denník zabezpečenia dosiahne jeho veľkosť obmedzenia a spôsobí zastavenie systému potom hodnotu databázy registry CrashOnAuditFail sa automaticky zmení z "0x1" na "0x2" umožniť iba administratívne prihlasovací systém. Hodnota CrashOnAuditFail musí potom manuálne nastaviť na 0x1 po denníka udalostí zabezpečenia sa zbaví, aby neadministratívneho používatelia budú môcť prihlásiť do systému.



Ďalšie informácie:

Ďalšie informácie o nastavenie databázy registry CrashOnAuditFail, navštívte nasledovnú webovú stránku Microsoft.
Úvod do CrashOnAuditFail
(http://technet.microsoft.com/en-us/library/cc963220.aspx)


Nastavenia skupinovej politiky denníka udalostí
http://msdn.Microsoft.com/en-us/library/cc778402 (v=WS.10) .aspx
(http://msdn.microsoft.com/en-us/library/cc778402(v=WS.10).aspx)


Počítač nie krach, keď je plný disk, po CrashOnAuditFail nastavená v systéme Windows 7 alebo v systéme Windows Server 2008 R2
http://support.Microsoft.com/kb/2492505
(http://support.microsoft.com/kb/2492505)


Po zapnutí CrashOnAuditFail nastavenie v počítači so systémom Windows Server 2008 alebo Windows Vista zobrazí chybové hlásenie „Stop chyba 0xC0000244 {neúspešný Audit}"počas procesu vypínania
http://support.Microsoft.com/kb/2346270
(http://support.microsoft.com/kb/2346270)


Používatelia nemôžu získať prístup webových lokalít, keď udalosť denník zabezpečenia je plný
http://support.Microsoft.com/kb/832981
(http://support.microsoft.com/kb/832981)

Vlastnosti

ID článku: 140058 - Posledná kontrola: 10. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition with Service Pack 2
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Web Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 for Windows Essential Server Solutions
  • Windows Server 2008 for Windows Essential Server Solutions without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 for Embedded Systems
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
Kľúčové slová: 
kbmt KB140058 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:140058
(http://support.microsoft.com/kb/140058/en-us/ )
Späť na začiatok | Odošlite odozvu

Odošlite odozvu

 
Späť na začiatokSpäť na začiatok