Jak zabránit aktivit, které lze auditovat při úplné protokolu zabezpečení

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:140058
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Souhrn
Protože je omezené velikosti protokolu zabezpečení a protože velký počet záznamů rutiny auditu může být obtížné najít záznamy navrhnout problém zabezpečení, měli byste pečlivě zvážit, jak auditovat přístup k objektům. Generování příliš mnoho záznamů auditu vyžadují zkontrolovat a vymazat protokol zabezpečení častěji, je praktické.
Další informace
Upozornění: Nesprávné použití Editoru registru může způsobit celý systém, vážné problémy, které mohou vyžadovat přeinstalaci WINDOWSNT je opravte. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Pokud jste nastavili protokolu zabezpečení buď k "Přepisovat události starší než n dny" nebo "Not Přepsat události (protokol vymazat ručně)", který chcete zabránit aktivit, které lze auditovat, zatímco je protokol plný tak zapsány žádné nové záznamy auditu. Akce:
  1. Spusťte program Editor registru (Regedt32.exe).
  2. Z podstromu HKEY_LOCAL_MACHINE\SYSTEM přejít na následující klíč:

    \CurrentControlSet\Control\Lsa\
  3. Přidejte položku:

    Klíč: CrashOnAuditFail
    Typ: REG_DWORD
    Hodnota: 1
  4. Uložte změny. Změnit se projeví při příštím spuštění počítače. Aktualizovat záchrannou disketu podle těchto změn.
Pokud WINDOWSNT zastaví z protokolu zabezpečení stala úplné, musí být systém restartování a překonfigurováním obnovit zabezpečení vysoké úrovně. Při restartování WINDOWSNT zaplnění protokolu zabezpečení a tak jsou zaznamenány žádné akce, které lze auditovat dokud protokolu zabezpečení je zrušeno.

Obnovení při zastaví systému windows nt, protože nelze generovat záznamu události auditu:
  1. Restartujte počítač a přihlaste se pomocí účtu Administrators skupiny.
  2. Pomocí prohlížeče událostí vymažte všechny události z protokolu zabezpečení archivaci aktuálně zaprotokolované události. Podrobnosti naleznete v kapitole "Prohlížeč událostí" v Windows NT Workstation nebo Windows NT Server System Guide.
  3. Pomocí Editoru registru odstranit a nahradit položku Hodnota zadejte REG_DWORD CrashOnAuditFail s daty a hodnota 1 v části HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA (popsané výše).
  4. Ukončete a restartujte počítač.


Poznámka: Pokud dosáhne hodnoty protokolu zabezpečení je omezení velikosti a pak hodnotu registru CrashOnAuditFail automaticky změněn z "0x1" na „ 0x2"Povolit správu přihlášení k systému způsobí zastavení systému. CrashOnAuditFail hodnota musí být 0x1 obnovena potom ručně, po vymazání protokolu událostí zabezpečení.
prodnt 3.50 3.51

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 140058 - Poslední kontrola: 12/04/2015 12:27:46 - Revize: 2.1

Microsoft Windows NT Workstation 3.1, Microsoft Windows NT Workstation 3.5, Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Advanced Server 3.1, Microsoft Windows NT Server 3.5, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbmt KB140058 KbMtcs
Váš názor