Interrompendo o computador quando o log de segurança estiver cheio
É possível garantir que todas as atividades passíveis de auditoria sejam gravadas interrompendo o computador quando o log de segurança estiver cheio. Para fazer isso, defina o log de segurança como Substituir eventos com mais de n dias ou Não substituir eventos (limpar log manualmente). Use o Editor do Registro para criar ou atribuir o seguinte valor de chave do Registro:
| Seção: | HKEY_LOCAL_MACHINE| Chave:
| \CurrentControlSet\Control\Lsa
| Nome:
| CrashOnAuditFail
| Digite:
| REG_DWORD
| Valor:
| 1 | |
As alterações serão implementadas na próxima vez que o computador for iniciado.
Importante:
- Se o Microsoft Windows for interrompido como resultado de um log de segurança cheio, o sistema deverá ser reinicializado e reconfigurado para continuar a impedir que atividades passíveis de auditoria ocorram enquanto o log estiver cheio.
- Depois que o sistema for reiniciado, somente os administradores poderão fazer logon até que o log de segurança esteja limpo.
- Para capturar as alterações do Registro nos seus procedimentos de backup, certifique-se de incluir os dados sobre estado do sistema na configuração do backup quando executá-lo.
Para obter mais informações, consulte: