被安全事件 ID 4793 淹没 - Windows 2008 R2

被安全事件 ID 4793 淹没 - Windows 2008 R2

我有一台运行 Windows 2008 R2 的域成员 SQL 服务器。它是故障转移群集中的群集节点。安全事件日志中充斥着以下内容:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/17/2012 8:30:19 AM
Event ID:      4793
Task Category: Other Account Management Events
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      SqlServer01.domain.com
Description:
The Password Policy Checking API was called.

Subject:
    Security ID:        DOMAIN\ClusterServiceAccount
    Account Name:       ClusterServiceAccount
    Account Domain:     Domain
    Logon ID:       0xaaaaa

Additional Information:
    Caller Workstation: SqlServer01
    Provided Account Name (unauthenticated):    -
    Status Code:    0x0

当我说“淹没”时,我的意思是每秒大约有 20 个这样的事件被记录到安全日志中,这意味着安全日志现在基本上没用了,因为它在不到一个小时的时间内就被这些事件填满,没有其他空间了。

我确实找到了这篇 Technet 文章关于它,这给了我一个关于如何关闭它的日志记录的线索,但不是简单地关闭日志记录,我更想知道究竟是什么原因导致的,为什么这样做,以及如何让它停止调用密码策略检查 API。

答案1

回答了我自己的问题。如果您有某些服务帐户非常快速地访问数据库,并且这些帐户上选中了“强制密码策略”,则 SQL 会非常快速地调用该 Windows API。您可以停止该行为,也可以通过 GPO 或本地安全策略停止记录该行为。我选择通过取消选中某些关键 SQL 服务帐户登录上的“强制密码策略”选项来停止该行为,并且可以确认我的 Windows 安全事件日志再次受到控制。

相关内容