Está sendo inundado com a ID do evento de segurança 4793 - Windows 2008 R2

2

Eu tenho um servidor SQL que é um membro do domínio que executa o Windows 2008 R2. É um nó de cluster em um cluster de failover. O log de eventos de segurança está sendo inundado com estes:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/17/2012 8:30:19 AM
Event ID:      4793
Task Category: Other Account Management Events
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      SqlServer01.domain.com
Description:
The Password Policy Checking API was called.

Subject:
    Security ID:        DOMAIN\ClusterServiceAccount
    Account Name:       ClusterServiceAccount
    Account Domain:     Domain
    Logon ID:       0xaaaaa

Additional Information:
    Caller Workstation: SqlServer01
    Provided Account Name (unauthenticated):    -
    Status Code:    0x0

Quando digo "inundado", quero dizer que cerca de 20 desses eventos são registrados no log de segurança a cada segundo, o que significa que o log de segurança agora é inútil, pois fica cheio em menos de uma hora e há espaço para mais nada.

Eu encontrei este artigo da Technet sobre isso, o que me dá uma idéia de como desligar o log, mas em vez de simplesmente desligar o logging, eu realmente prefiro saber o que exatamente está causando isso, por que está fazendo isso, e como fazê-lo parar de chamar o API de verificação de política de senha.

    
por Ryan Ries 17.05.2012 / 15:49

1 resposta

1

Respondai minha própria pergunta. O SQL chama essa API do Windows muito rapidamente se você tiver determinadas contas de serviço que atingem o banco de dados muito rapidamente e se "Enforce Password Policy" estiver marcado nessas contas. Você pode interromper o comportamento ou interromper o log dele por meio do GPO ou da diretiva de segurança local. Escolhi interromper o comportamento desmarcando a opção "Impingir diretiva de senha" em determinados logins de contas de serviço SQL principais e posso confirmar que meu log de eventos do Windows Security está novamente sob controle.

    
por 17.05.2012 / 17:17