Cómo deshabilitar los informes de auditoría en Windows 8.1

En una máquina de desarrollo multiusuario de Windows 8.1, ha habido muchas ralentizaciones al acceder a través de RDP. Al revisar el visor de eventos, noté que hay muchas auditorías ejecutándose en la sección de seguridad, que parecen excesivas e innecesarias: cada pocos segundos, se generan docenas de eventos:

He intentado cambiar la política de seguridad local, pero parece que ya está desactivada:

Entonces, ¿cómo desactivo la auditoría? ¿O debería ser una preocupación?

Mirando la imagen de cerca, parece que al menos una de esas entradas de auditoría estaba registrando "un intento de consultar la existencia de una contraseña en blanco para una cuenta". Cada vez que alguien inicia sesión (o UAC-eleva, si no recuerdo mal), uno o más de estos eventos se registran a medida que el sistema verifica si las personas tienen contraseñas en blanco; no tendría mucho sentido que la interfaz de usuario de inicio de sesión solicite una contraseña si el usuario no la tiene.

Estos no son un problema a menos que tenga una cantidad increíble de inicios de sesión (o, tal vez, invocaciones automáticas de ejecución como) que suceden todo el tiempo. Pero, como preguntaste cómo deshacerte de ellos, aquí vamos:

La IU de la Política de seguridad local le miente sobre ciertas actividades auditadas. (En realidad, hay varias actividades involucradas en cada una de esas categorías; se generaliza). Para ver exactamente lo que se audita, ejecute auditpol /get /category:*en un símbolo del sistema administrativo. Para deshabilitar completamente la auditoría, ejecute auditpol /cleary luego reinicie.

Puede realizar una copia de seguridad y restaurar la política de auditoría (si cree que alguien configuró una política personalizada de manera legítima y deliberada) utilizando /backupy se /restoreactiva auditpol, los cuales requieren un /file:"\path\to\file"argumento inmediatamente posterior.

Lea más sobre auditoría en TechNet .