На многопользовательском компьютере под управлением Windows 8.1 было много замедлений при доступе через RDP. Просматривая средство просмотра событий, я заметил, что в разделе безопасности выполняется много проверок, которые кажутся чрезмерными и ненужными: каждые несколько секунд генерируются десятки событий:
Я попытался изменить локальную политику безопасности, но она, кажется, уже отключена:
Итак, как мне отключить аудит? Или это должно быть проблемой?
Если внимательно посмотреть на изображение, кажется, что по крайней мере одна из этих записей аудита регистрировала «попытку запросить наличие пустого пароля для учетной записи». Всякий раз, когда кто-то входит в систему (или повышает UAC, если я правильно помню), одно или несколько из этих событий регистрируются как система, проверяющая, есть ли у людей пустые пароли; для пользовательского интерфейса входа в систему не будет большого смысла запрашивать пароль, если у пользователя его нет.
Это не проблема, если у вас нет безумного количества входов (или, возможно, автоматических вызовов Run As), происходящих постоянно. Но, так как вы спросили, как избавиться от них, здесь мы идем:
Пользовательский интерфейс локальной политики безопасности лжет вам об определенных проверенных действиях. (На самом деле есть несколько видов деятельности, включенных в каждую из этих категорий; она обобщает.) Чтобы увидеть, что именно проверяется, запустите auditpol /get /category:* в командной строке администратора. Чтобы полностью отключить аудит, запустите auditpol /clear , затем перезагрузите компьютер.
Вы можете выполнить резервное копирование и восстановить политику аудита (если вы считаете, что кто-то законно и целенаправленно настроил настраиваемую политику) с помощью ключей /backup и /restore на auditpol , для которых требуется /file:"\path\to\file" Аргумент сразу следующий.
Узнайте больше об аудите на TechNet.
