|
ПРОБЛЕМА
При установке параметров журнала безопасности (Security Log) в одно из состояний:
- Overwrite Events Older than <n> Days
- или
- Do Not Overwrite Events (Clear Log Manually)
переполнение журнала приведет к невозможности регистрировать события, влияющие на безопасность Windows NT.
РЕШЕНИЕ
Одним из способов предотвратить потерю информации попадающей в журнал безопасности Windows NT является принудительный выход из системы при его (журнала) переполнении. При этом вход в систему до вмешательства администратора становиться невозможным.
Для реализации этого механизма следует в реестре создать ключ:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
типа REG_DWORD, установить его значение в "1" и перезагрузить компьютер.
При переполнении журнала безопасности Windows NT устанавливает параметр реестра CrashOnAuditFail в значение "2", перезагружает компьютер и блокирует все последующие попытки обычного входа в систему. В этом случае следует выполнить следующие действия:
- Перезагрузить компьютер и войти в систему с правами члена группы Administrators.
- Запустить монитор событий (Event Viewer), создать архив содержимого журнала безопасности и очистить его.
- Используя редактор реестра установить параметр CrashOnAuditFail в значение "1".
- Сохранить проведенные изменения и перезагрузить компьютер.