5

На многопользовательском компьютере под управлением Windows 8.1 было много замедлений при доступе через RDP. Просматривая средство просмотра событий, я заметил, что в разделе безопасности выполняется много проверок, которые кажутся чрезмерными и ненужными: каждые несколько секунд генерируются десятки событий:

Я попытался изменить локальную политику безопасности, но она, кажется, уже отключена:

Итак, как мне отключить аудит? Или это должно быть проблемой?

1 ответ1

1

Если внимательно посмотреть на изображение, кажется, что по крайней мере одна из этих записей аудита регистрировала «попытку запросить наличие пустого пароля для учетной записи». Всякий раз, когда кто-то входит в систему (или повышает UAC, если я правильно помню), одно или несколько из этих событий регистрируются как система, проверяющая, есть ли у людей пустые пароли; для пользовательского интерфейса входа в систему не будет большого смысла запрашивать пароль, если у пользователя его нет.

Это не проблема, если у вас нет безумного количества входов (или, возможно, автоматических вызовов Run As), происходящих постоянно. Но, так как вы спросили, как избавиться от них, здесь мы идем:

Пользовательский интерфейс локальной политики безопасности лжет вам об определенных проверенных действиях. (На самом деле есть несколько видов деятельности, включенных в каждую из этих категорий; она обобщает.) Чтобы увидеть, что именно проверяется, запустите auditpol /get /category:* в командной строке администратора. Чтобы полностью отключить аудит, запустите auditpol /clear , затем перезагрузите компьютер.

Вы можете выполнить резервное копирование и восстановить политику аудита (если вы считаете, что кто-то законно и целенаправленно настроил настраиваемую политику) с помощью ключей /backup и /restore на auditpol , для которых требуется /file:"\path\to\file" Аргумент сразу следующий.

Узнайте больше об аудите на TechNet.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .