Windows 2008 Sicherheitsprotokolle voll nach dem Agenten losen User-ID-Einsatz

Szenario

Nach dem Einsatz von Agenten loser User-ID sind die Sicherheitsprotokolle auf dem Windows-Domain-Controller stark mit der Event-ID 4776 bevölkert, wodurch sich das Windows-Sicherheitsprotokoll häufig selbst überschreibt.

Problem

Event ID 4776 ist das "Konto für LOGON"-Event in Windows 2008. Wenn die Agenten lose User-ID konfiguriert ist, können die Ereignisprotokolle mit der Event-ID 4776 stark bevölkert werden, da Sie sich jedes Mal protokolliert, wenn die Firewall auf den Server prüft. Die Standardeinstellung für das Einchecken von Pan-OS beträgt 2 Sekunden. Dies kann dazu führen, dass die Sicherheitsprotokolle häufiger überschrieben werden, was zu mehr CPU-Auslastung führt, um mit der Log-Rate Schritt zu halten.

Um dies zu verewigen, könnte es dazu führen, dass CPU-Ressourcen erhöht werden, was die Genauigkeit der Benutzer-ID potenziell beeinträchtigen und auch die Produktivität der Endverbraucher beeinträchtigen könnte.  Obwohl Event ID 4776 nützlich sein kann, wenn Ihr Agenten loser User-ID-Einsatz Probleme mit der Anzeige hat, wird dieses Ereignis nicht benötigt. In Windows 2008 sind die Sicherheits-Log-Events, die für User-ID benötigt werden:

• 4624-Logon Success
• 4768-Authentifizierungs Ticket gewährt
• 4769-Service-Ticket gewährt
• 4770-Ticket wird erneuert

Lösung

1. Um dieses Problem zu lösen, öffnen Sie das Tool Policy Management in Windows

2. Navigieren Sie zu Computer-konfiguration\policies\windows Settings\Security settings\advanced Audit Policy konfiguration\account Logon \

3. In der Unterkategorie "Account LOGON" wählen Sie "Audit-Credential-Validierung" und konfigurieren Sie es für "keine Prüfung"