Windows 2008 journaux de sécurité complets après le déploiement sans agent utilisateur-ID

Scénario

Après le déploiement de l'ID utilisateur sans agent, les journaux de sécurité sur le contrôleur de domaine Windows sont fortement remplis avec l'ID d'événement 4776, ce qui entraîne la réécriture du journal de sécurité Windows.

Demande client

L'ID d'événement 4776 est l'événement «compte utilisé pour l'ouverture de session» dans Windows 2008. Lorsque l'ID utilisateur sans agent est configuré, les journaux des événements peuvent devenir fortement remplis avec l'ID d'événement 4776 car il se connecte chaque fois que le pare-feu vérifie le serveur. Le réglage par défaut du PAN-os à archiver est de 2 secondes. Cela peut entraîner la réécriture des journaux de sécurité plus fréquemment, causant ainsi plus d'utilisation du CPU pour suivre le taux de log.

Permettre à cette perpétuation pourrait provoquer des ressources CPU à élever qui pourrait potentiellement dégrader l'exactitude de l'utilisateur-ID, et l'impact de la productivité des utilisateurs finaux ainsi.  Bien que l'ID d'événement 4776 puisse être utile si votre déploiement d'ID utilisateur sans agent a des problèmes de communication avec AD, cet événement n'est pas nécessaire. Dans Windows 2008, les événements de journal de sécurité nécessaires pour l'ID utilisateur sont:

• 4624-succès d'ouverture de session
• 4768-ticket d'authentification accordé
• 4769-ticket de service accordé
• 4770-billet accordé renouvelé

Résolution

1. Pour résoudre ce problème, ouvrez l'outil de gestion de stratégie de groupe dans Windows

2. Accédez à ordinateur Configuration\Policies\Windows Settings\Security Settings\Advanced vérification de la stratégie Configuration\Account ouverture de session \

3. Dans la sous-catégorie «ouverture de compte», sélectionnez «audit Credential validation» et configurez-le pour «aucun audit»