Для того, чтобы избежать потери содержимого журнала безопасности, можно настроить блокировку системы в случае заполнения этого журнала. После блокировки регистрация в системе будет разрешена только администратору, который получит возможность создать архивную копию журнала и удалить содержимое основного журнала безопасности.
1. Откройте редактор системного реестра (REGEDIT.EXE).
2. Перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
3. Если запись CrashOnAuditFail существует, перейдите к шагу 4. В противном случае в меню Правка (Edit) выберите команду Создать > Параметр DWORD (New > DWORD Value) и введите имя записи CrashOnAuditFail. Кликните на кнопке OK.
4. Дважды кликните на записи CrashOnAuditFail и присвойте ей одно из следующих значений:
· 1 — остановка ведения аудита при заполнении журнала;
· 2 — только администратор может регистрироваться в системе; этот параметр указывается операционной системой перед блокировкой системы по причине заполнения журнала аудита.
5. Завершите работу с редактором.
При блокировке системы на экран будет выведено сообщение о системной ошибке (так называемый “синий экран” — BSOD (Blue Screen of Death)).