วิธีการป้องกันการกิจกรรมที่ Auditable เมื่อล็อกการรักษาความปลอดภัยเป็นทั้งหมด

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 140058 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

เนื่อง จากมีจำกัดการล็อกการรักษาความปลอดภัยในขนาด และเนื่อง จากระเบียนตรวจสอบตามกำหนดเวลาจำนวนมากสามารถทำได้ยากต่อการค้นหาระเบียนที่แนะนำปัญหาด้านความปลอดภัย คุณอย่างระมัดระวังพิจารณาวิธีคุณตรวจสอบการเข้าถึงวัตถุ สร้างระเบียนตรวจสอบจำนวนมากคุณอาจต้องตรวจสอบ และล้างข้อมูลล็อกการรักษาความปลอดภัยมากขึ้นบ่อยครั้งที่ practical

ข้อมูลเพิ่มเติม

คำเตือน: การใช้ตัวแก้ไขรีจิสทรีอย่างไม่ถูกต้องอาจทำให้เกิดปัญหาร้ายแรง ทั้งระบบซึ่งอาจทำให้คุณติดตั้ง Windows NT เพื่อแก้ไขแฟ้มเหล่านั้น Microsoft ไม่รับประกันว่า ปัญหาใด ๆ ที่เป็นผลจากการใช้ของ'ตัวแก้ไขรีจิสทรี'สามารถแก้ไข ใช้เครื่องมือนี้ของคุณต้องยอมรับความเสี่ยง

ถ้าคุณได้เซ็ตล็อกการรักษาความปลอดภัยอย่างใดอย่างหนึ่งเพื่อ "Overwrite เหตุการณ์ Older n วันที่ไม่ใช่" หรือ "เขียนทับไม่เหตุการณ์ (ล้างแฟ้มบันทึกด้วยตนเอง) ", คุณอาจต้องการป้องกัน auditable กิจกรรมในขณะที่บันทึกเป็นแบบเต็มเพื่อเขียนไม่มีระเบียนตรวจสอบใหม่ได้ด้วย ด้วยวิธีการดังนี้::
  1. เรียกใช้ตัวแก้ไขรีจิสทรี (REGEDT32.EXE)
  2. จากทรีย่อย HKEY_LOCAL_MACHINE\SYSTEM ไปคีย์ต่อไปนี้:

    \CurrentControlSet\Control\Lsa\
  3. เพิ่มรายการ:

    คีย์: CrashOnAuditFail
    ชนิด: REG_DWORD
    ค่า: 1
  4. บันทึกการเปลี่ยนแปลง การเปลี่ยนแปลงจะมีผลในครั้งถัดไปที่คอมพิวเตอร์เริ่มทำงาน ปรับปรุงดิสก์การซ่อมแซม Emergency การเปลี่ยนแปลงเหล่านี้
ถ้า Windows NT halts เป็นผลมาจากการล็อกการรักษาความปลอดภัยที่กลายเต็ม ระบบต้องถูกเริ่มใหม่ และ reconfigured การคืนค่าการรักษาความปลอดภัยพื้นฐาน เมื่อมีการรีสตาร์ท Windows NT ล็อกการรักษาความปลอดภัยไม่เต็ม และดังนั้น ไม่ดำเนินการกระทำจะถูกบันทึกไว้จนกว่าการล้างข้อมูลล็อกการรักษาความปลอดภัย

การกู้คืนเมื่อ windows nt halts เนื่องจากคุณไม่สามารถสร้างเรกคอร์ดเหตุการณ์การตรวจสอบ:
  1. รีสตาร์ทเครื่องคอมพิวเตอร์ และเข้าสู่ระบบโดยใช้บัญชีผู้ใช้ในการผู้ดูแลที่กลุ่ม
  2. ใช้ตัวแสดงเหตุการณ์การยกเลิกเลือกเหตุการณ์ทั้งหมดจากการล็อกการรักษาความปลอดภัย การเก็บถาวรเหตุการณ์ที่ล็อกไว้ในขณะนี้ สำหรับรายละเอียด ให้ดูที่บท "ตัวแสดงเหตุการณ์" ในเวิร์กสเตชันของ Windows NT หรือแนะนำระบบเซิร์ฟเวอร์ของ Windows NT
  3. ใช้ตัวแก้ไขรีจิสทรีเพื่อลบ และแทนรายการมูลค่า CrashOnAuditFail ด้วยข้อมูลพิมพ์ REG_DWORD และค่า 1 ภายใต้ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa (ตามที่อธิบายข้างต้น)
  4. จบการทำงาน และรีสตาร์ทคอมพิวเตอร์


หมายเหตุ: ถ้าล็อกการรักษาความปลอดภัยถึง มีข้อจำกัดขนาด และทำให้เกิดการค้างในระบบ จาก นั้นค่ารีจิสทรี CrashOnAuditFail อัตโนมัติเปลี่ยนจาก "0x1" เป็น "0x2" การอนุญาตให้เข้าสู่ระบบของผู้ดูแลระบบ ตั้งค่าค่า CrashOnAuditFail ต้องแล้วได้ด้วยตนเองใหม่ 0x1 หลังจากยกเลิกเลือกแฟ้มบันทึกเหตุการณ์การรักษาความปลอดภัย

คุณสมบัติ

หมายเลขบทความ (Article ID): 140058 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows NT Workstation 3.1
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbmt KB140058 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:140058

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com