Для того, чтобы избежать потери содержимого журнала безопасности, можно настроить блокировку системы в случае заполнения этого журнала. После блокировки регистрация в системе будет разрешена только администратору, который получит возможность создать архивную копию журнала и удалить содержимое основного журнала безопасности.

  1.  Откройте редактор системного реестра (REGEDIT.EXE).

  2.  Перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  3.  Если запись CrashOnAuditFail существует, перейдите к шагу 4. В противном случае в меню Правка (Edit) выберите команду Создать > Параметр DWORD (New > DWORD Value) и введите имя записи CrashOnAuditFail. Кликните на кнопке OK.

  4.  Дважды кликните на записи CrashOnAuditFail и присвойте ей одно из следующих значений:

  ·  1 — остановка ведения аудита при заполнении журнала;

  ·  2 — только администратор может регистрироваться в системе; этот параметр указывается операционной системой перед блокировкой системы по причине заполнения журнала аудита.

  5.  Завершите работу с редактором.

При блокировке системы на экран будет выведено сообщение о системной ошибке (так называемый “синий экран” — BSOD (Blue Screen of Death)).