Security

被安全事件 ID 4793 淹沒 - Windows 2008 R2

  • May 17, 2012

我有一個 SQL 伺服器,它是執行 Windows 2008 R2 的域成員。它是故障轉移集群中的一個集群節點。安全事件日誌充斥著這些:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/17/2012 8:30:19 AM
Event ID:      4793
Task Category: Other Account Management Events
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      SqlServer01.domain.com
Description:
The Password Policy Checking API was called.

Subject:
   Security ID:        DOMAIN\ClusterServiceAccount
   Account Name:       ClusterServiceAccount
   Account Domain:     Domain
   Logon ID:       0xaaaaa

Additional Information:
   Caller Workstation: SqlServer01
   Provided Account Name (unauthenticated):    -
   Status Code:    0x0

當我說“氾濫”時,我的意思是每秒大約有 20 個這樣的事件被記錄到安全日誌中,這意味著安全日誌現在基本上沒有用了,因為它在不到一個小時內就被這些事件填滿了,沒有其他空間了.

我確實找到了這篇關於它的Technet 文章,它為我提供了關於如何關閉它的日誌記錄的線索,但不是簡單地關閉日誌記錄,我真的更想知道究竟是什麼導致了它,為什麼它會這樣做,以及如何使其停止呼叫密碼策略檢查 API。

回答了我自己的問題。如果您有某些服務帳戶非常快速地訪問數據庫,並且如果在這些帳戶上選中“強制密碼策略”,則 SQL 會非常快速地呼叫該 Windows API。您可以停止該行為,也可以通過 GPO 或本地安全策略停止記錄該行為。我選擇通過取消選中某些關鍵 SQL 服務帳戶登錄上的“強制密碼策略”選項來停止該行為,並且我可以確認我的 Windows 安全事件日誌再次受到控制。

引用自:https://serverfault.com/questions/390026