Registros de seguridad de Windows 2008 completos después de la implementación de ID de usuario de agente

Escenario

Después de implementar el ID de usuario sin agente, los registros de seguridad del controlador de dominio de Windows están muy rellenados con el ID de evento 4776, causando que el registro de seguridad de Windows se sobrescriba con frecuencia.

Incidencia

Event ID 4776 es el evento "cuenta usada para el inicio de sesión" en Windows 2008. Cuando se configura el identificador de usuario sin agente, los registros de eventos pueden estar muy rellenados con el ID de evento 4776 porque registra cada vez que el cortafuegos se comprueba en el servidor. La configuración predeterminada del pan-os para el check-in es de 2 segundos. Esto puede hacer que los registros de seguridad se sobreescriban con mayor frecuencia, causando más utilización de la CPU para mantenerse al tanto de la velocidad de registro.

Permitir que esto se perpetuara podría hacer que los recursos de la CPU se elevaran, lo que potencialmente podría degradar la precisión del ID de usuario e impactar también la productividad del usuario final.  Aunque el ID de evento 4776 puede ser útil si la implementación de ID de usuario sin agente está teniendo problemas para comunicarse con ad, este evento no es necesario. En Windows 2008, los eventos de registro de seguridad necesarios para el ID de usuario son:

• 4624-éxito de inicio de sesión
• 4768-ticket de autenticación otorgado
• 4769-ticket de servicio concedido
• 4770-ticket concedido renovado

Resolución

1. Para resolver este problema, abra la herramienta de administración de directivas de grupo en Windows

2. Desplácese hasta equipo Configuration\Policies\Windows seguridad\Directivas Settings\Advanced Directiva de auditoría Configuration\Account Logon \

3. En la subcategoría "iniciar cuenta" selecciona "auditar validación de credenciales" y configurarlo para "no auditar"