在多用户 Windows 8.1 开发计算机上,通过 RDP 访问时速度明显变慢。在查看事件查看器时,我注意到安全部分正在运行许多审核,这些审核似乎有些多余且不必要:每隔几秒钟就会生成数十个事件:
我曾尝试更改本地安全策略,但它似乎已被禁用:
那么,我该如何禁用审计?或者这应该是一个问题吗?
答案1
仔细查看图片,似乎至少有一条审计条目记录了“尝试查询帐户是否存在空白密码”。每当有人登录(或如果我没记错的话,是 UAC 提升)时,系统都会记录一个或多个此类事件,以检查用户是否使用了空白密码;如果用户没有密码,登录 UI 提示输入密码就没什么意义了。
除非您一直有大量登录(或者可能是自动运行调用),否则这不是问题。但是,既然您问如何摆脱它们,我们就开始吧:
本地安全策略 UI 会向您隐瞒某些已审核的活动。(实际上,每个类别都涉及多项活动;它概括了这些活动。)要查看审核的具体内容,请auditpol /get /category:*在管理命令提示符下运行。要完全禁用审核,请运行auditpol /clear,然后重新启动。
/backup您可以使用和/restore开关来备份和恢复审计策略(如果您认为某人合法且有目的地设置了自定义策略)auditpol,这两个开关都需要/file:"\path\to\file"紧接着一个参数。
阅读有关审计的更多信息在 TechNet。