|
網(wǎng)上看見的���,希望和大家共享下↓】
根據(jù)下面的ID,可以幫助我們快速識別由 Microsoft? Windows Server 2003 操作系統(tǒng)生成的安全事件��,究竟意味著什么事件出現(xiàn)了�。
一、帳戶登錄事件
下面顯示了由“審核帳戶登錄事件”安全模板設(shè)置所生成的安全事件����。
672:已成功頒發(fā)和驗證身份驗證服務(wù) (AS) 票證。
673:授權(quán)票證服務(wù) (TGS) 票證已授權(quán)�����。TGS 是由 Kerberos v5 票證授權(quán)服務(wù) (TGS) 頒發(fā)的票證����,允許用戶對域中的特定服務(wù)進(jìn)行身份驗證�。
674:安全主體已更新 AS 票證或 TGS 票證����。
675:預(yù)身份驗證失敗。用戶鍵入錯誤的密碼時�����,密鑰發(fā)行中心 (KDC) 生成此事件���。
676:身份驗證票證請求失敗����。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件����。
677:TGS 票證未被授權(quán)�����。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件����。
678:帳戶已成功映射到域帳戶����。
681:登錄失敗�����。嘗試進(jìn)行域帳戶登錄��。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件����。
682:用戶已重新連接至已斷開的終端服務(wù)器會話。
683:用戶未注銷就斷開終端服務(wù)器會話���。
二���、帳戶管理事件
下面顯示了由“審核帳戶管理”安全模板設(shè)置所生成的安全事件。
624:用戶帳戶已創(chuàng)建�����。
627:用戶密碼已更改����。
628:用戶密碼已設(shè)置���。
630:用戶帳戶已刪除。
631:全局組已創(chuàng)建��。
632:成員已添加至全局組���。
633:成員已從全局組刪除��。
634:全局組已刪除��。
635:已新建本地組���。
636:成員已添加至本地組。
637:成員已從本地組刪除�����。
638:本地組已刪除��。
639:本地組帳戶已更改��。
641:全局組帳戶已更改���。
642:用戶帳戶已更改���。
643:域策略已修改。
644:用戶帳戶被自動鎖定��。
645:計算機(jī)帳戶已創(chuàng)建����。
646:計算機(jī)帳戶已更改。
647:計算機(jī)帳戶已刪除��。
648:禁用安全的本地安全組已創(chuàng)建�。
注意:
從正式名稱上講,SECURITY_DISABLED 意味著該組不能用來授權(quán)訪問檢查��。
649:禁用安全的本地安全組已更改���。
650:成員已添加至禁用安全的本地安全組�。
651:成員已從禁用安全的本地安全組刪除����。
652:禁用安全的本地組已刪除。
653:禁用安全的全局組已創(chuàng)建����。
654:禁用安全的全局組已更改�。
655:成員已添加至禁用安全的全局組�。
656:成員已從禁用安全的全局組刪除。
657:禁用安全的全局組已刪除�。
658:啟用安全的通用組已創(chuàng)建。
659:啟用安全的通用組已更改��。
660:成員已添加至啟用安全的通用組�����。
661:成員已從啟用安全的通用組刪除�����。
662:啟用安全的通用組已刪除��。
663:禁用安全的通用組已創(chuàng)建���。
664:禁用安全的通用組已更改�。
665:成員已添加至禁用安全的通用組����。
666:成員已從禁用安全的通用組刪除。
667:禁用安全的通用組已刪除�����。
668:組類型已更改����。
684:管理組成員的安全描述符已設(shè)置。
注意:
在域控制器上��,每隔 60 分鐘�����,后臺線程就會搜索管理組的所有成員(如域��、企業(yè)和架構(gòu)管理員)�����,并對其應(yīng)用一個固定的安全描述符����。該事件已記錄。
685:帳戶名稱已更改����。
三����、目錄服務(wù)訪問事件
下面顯示了由"審核目錄服務(wù)訪問"安全模板設(shè)置所生成的安全事件�。
566:發(fā)生了一般對象操作。
四�����、登錄事件ID
528:用戶成功登錄到計算機(jī)���。
529:登錄失敗�����。試圖使用未知的用戶名或已知用戶名但錯誤密碼進(jìn)行登錄���。
530:登錄失敗。試圖在允許的時間外登錄���。
531:登錄失敗��。試圖使用禁用的帳戶登錄��。
532:登錄失敗���。試圖使用已過期的帳戶登錄。
533:登錄失敗����。不允許登錄到指定計算機(jī)的用戶試圖登錄。
534:登錄失敗�����。用戶試圖使用不允許的密碼類型登錄�����。
535:登錄失敗��。指定帳戶的密碼已過期�。
536:登錄失敗。Net Logon 服務(wù)沒有啟動����。
537:登錄失敗。由于其他原因登錄嘗試失敗���。
注意:
在某些情況下����,登錄失敗的原因可能是未知的。
538:用戶的注銷過程已完成��。
539:登錄失敗����。試圖登錄時,該帳戶已鎖定�����。
540:用戶成功登錄到網(wǎng)絡(luò)�。
541:本地計算機(jī)與列出的對等客戶端身份(已建立安全關(guān)聯(lián))之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成,或者快速模式已建立了數(shù)據(jù)頻道�����。
542:數(shù)據(jù)頻道已終止����。
543:主要模式已終止。
注意:
如果安全關(guān)聯(lián)的時間**(默認(rèn)為 8 小時)過期���、策略更改或?qū)Φ冉K止�����,則會發(fā)生此情況���。
544:由于對等客戶端沒有提供有效的證書或者簽名無效,造成主要模式身份驗證失敗���。
545:由于 Kerberos 失敗或者密碼無效�����,造成主要模式身份驗證失敗��。
546:由于對等客戶端發(fā)送的建議無效��,造成 IKE 安全關(guān)聯(lián)建立失敗�����。接收到的程序包包含無效數(shù)據(jù)�����。
547:在 IKE 握手過程中�,出現(xiàn)錯誤。
548:登錄失敗����。來自信任域的安全標(biāo)識符 (SID) 與客戶端的帳戶域 SID 不匹配。
549:登錄失敗�����。在林內(nèi)進(jìn)行身份驗證時����,所有與不受信任的名稱空間相關(guān)的 SID 將被篩選出去。
550:可以用來指示可能的拒絕服務(wù) (DoS) 攻擊的通知消息�����。
551:用戶已啟動注銷過程�。
552:用戶使用明確憑據(jù)成功登錄到作為其他用戶已登錄到的計算機(jī)。
682:用戶已重新連接至已斷開的終端服務(wù)器會話�����。
683:用戶還未注銷就斷開終端服務(wù)器會話。注意:當(dāng)用戶通過網(wǎng)絡(luò)連接到終端服務(wù)器會話時��,就會生成此事件����。該事件出現(xiàn)在終端服務(wù)器上。
五���、對象訪問事件
下面顯示了由"審核對象訪問"安全模板設(shè)置所生成的安全事件����。
560:訪問權(quán)限已授予現(xiàn)有的對象�。
562:指向?qū)ο蟮木浔殃P(guān)閉����。
563:試圖打開一個對象并打算將其刪除。
注意:
當(dāng)在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標(biāo)記時�,此事件可以用于文件系統(tǒng)。
564:受保護(hù)對象已刪除��。
565:訪問權(quán)限已授予現(xiàn)有的對象類型��。
567:使用了與句柄關(guān)聯(lián)的權(quán)限����。
注意:
創(chuàng)建句柄時�����,已授予其具體權(quán)限��,如讀取�����、寫入等�����。使用句柄時�,最多為每個使用的權(quán)限生成一個審核�����。
568:試圖創(chuàng)建與正在審核的文件的硬鏈接����。
569:授權(quán)管理器中的資源管理器試圖創(chuàng)建客戶端上下文。
570:客戶端試圖訪問對象����。
注意:
在此對象上發(fā)生的每個嘗試操作都將生成一個事件�����。
571:客戶端上下文由授權(quán)管理器應(yīng)用程序刪除�����。
572:Administrator Manager(管理員管理器)初始化此應(yīng)用程序�。
772:證書管理器已拒絕掛起的證書申請�����。
773:證書服務(wù)已收到重新提交的證書申請���。
774:證書服務(wù)已吊銷證書。
775:證書服務(wù)已收到發(fā)行證書吊銷列表 (CRL) 的請求��。
776:證書服務(wù)已發(fā)行 CRL�。
777:已制定證書申請擴(kuò)展。
778:已更改多個證書申請屬性����。
779:證書服務(wù)已收到關(guān)機(jī)請求。
780:已開始證書服務(wù)備份。
781:已完成證書服務(wù)備份�����。
782:已開始證書服務(wù)還原��。
783:已完成證書服務(wù)還原���。
784:證書服務(wù)已開始�。
785:證書服務(wù)已停止���。
786:已更改證書服務(wù)的安全權(quán)限�����。
787:證書服務(wù)已檢索存檔密鑰��。
788:證書服務(wù)已將證書導(dǎo)入其數(shù)據(jù)庫中�����。
789:證書服務(wù)審核篩選已更改��。
790:證書服務(wù)已收到證書申請��。
791:證書服務(wù)已批準(zhǔn)證書申請并已頒發(fā)證書�。
792:證書服務(wù)已拒絕證書申請。
793:證書服務(wù)將證書申請狀態(tài)設(shè)為掛起��。
794:證書服務(wù)的證書管理器設(shè)置已更改����。
795:證書服務(wù)中的配置項已更改。
796:證書服務(wù)的屬性已更改���。
797:證書服務(wù)已將密鑰存檔��。
798:證書服務(wù)導(dǎo)入密鑰并將其存檔��。
799:證書服務(wù)已將證書頒發(fā)機(jī)構(gòu) (CA) 證書發(fā)行到 Microsoft Active Directory? 目錄服務(wù)���。
800:已從證書數(shù)據(jù)庫刪除一行或多行。
801:角色分離已啟用����。
六���、審核策略更改事件
下面顯示了由"審核策略更改"安全模板設(shè)置所生成的安全事件��。
608:已分配用戶權(quán)限���。
609:用戶權(quán)限已刪除����。
610:與其他域的信任關(guān)系已創(chuàng)建���。
611:與其他域的信任關(guān)系已刪除����。
612:審核策略已更改���。
613:Internet 協(xié)議安全 (IPSec) 策略代理已啟動����。
614:IPSec 策略代理已禁用����。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一個可能很嚴(yán)重的故障�。
617:Kerberos v5 策略已更改。
618:加密數(shù)據(jù)恢復(fù)策略已更改���。
620:與其他域的信任關(guān)系已修改�。
621:已授予帳戶系統(tǒng)訪問權(quán)限。
622:已刪除帳戶的系統(tǒng)訪問權(quán)限�����。
623:按用戶設(shè)置審核策略���。
625:按用戶刷新審核策略�。
768:檢測到兩個林的名稱空間元素之間有沖突�。
注意:
當(dāng)兩個林的名稱空間元素重疊時,解析屬于其中一個名稱空間元素的名稱時�,將發(fā)生歧義。這種重疊也稱為沖突��。并非所有的參數(shù)對每一項類型都有效�����。例如�����,對于類型為 TopLevelName 的項�����,有些字段無效����,如 DNS 名稱、NetBIOS 名稱和 SID����。
769:已添加受信任的林信息。
注意:
當(dāng)更新林信任信息并且添加了一個或多個項時����,將生成此事件消息。為每個添加����、刪除或修改的項生成一個事件消息。如果在林信任信息的一個更新中添加����、刪除或修改了多個項,則為生成的所有事件消息指派一個唯一標(biāo)識符��,稱為操作 ID����。該標(biāo)識符可以用來確定生成的多個事件消息是一個操作的結(jié)果��。并非所有的參數(shù)對每一項類型都有效��。例如���,對于類型為 TopLevelName 的項,有些參數(shù)是無效的��,如 DNS 名稱��、NetBIOS 名稱和 SID��。
770:已刪除受信任的林信息�。
注意:
請參見事件 769 的事件描述。
771:已修改受信任的林信息��。
注意:
請參見事件 769 的事件描述����。
805:事件日志服務(wù)讀取會話的安全日志配置。
七�����、特權(quán)使用事件
下面顯示了由"審核特權(quán)使用"安全模板設(shè)置所生成的安全事件。
576:指定的特權(quán)已添加到用戶的訪問令牌中�。
注意:
當(dāng)用戶登錄時生成此事件�����。
577:用戶試圖執(zhí)行需要特權(quán)的系統(tǒng)服務(wù)操作���。
578:特權(quán)用于已經(jīng)打開的受保護(hù)對象的句柄���。
八、詳細(xì)的跟蹤事件
下面顯示了由"審核過程跟蹤"安全模板設(shè)置所生成的安全事件���。
592:已創(chuàng)建新進(jìn)程��。
593:進(jìn)程已退出���。
594:對象句柄已復(fù)制。
595:已獲取對象的間接訪問權(quán)�����。
596:數(shù)據(jù)保護(hù)主密鑰已備份。
注意:
主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統(tǒng) (EFS)�。每次新建主密鑰時都進(jìn)行備份。(默認(rèn)設(shè)置為 90 天���。)通常由域控制器備份主密鑰���。
597:數(shù)據(jù)保護(hù)主密鑰已從恢復(fù)服務(wù)器恢復(fù)。
598:審核過的數(shù)據(jù)已受保護(hù)��。
599:審核過的數(shù)據(jù)未受保護(hù)�。
600:已分配給進(jìn)程主令牌。
601:用戶試圖安裝服務(wù)����。
602:已創(chuàng)建計劃程序任務(wù)。
九�����、審核系統(tǒng)事件
下面顯示了由"審核系統(tǒng)事件"安全模板設(shè)置所生成的系統(tǒng)事件�����。
512:Windows 正在啟動�����。
513:Windows 正在關(guān)機(jī)。
514:本地安全機(jī)制機(jī)構(gòu)已加載身份驗證數(shù)據(jù)包�����。
515:受信任的登錄過程已經(jīng)在本地安全機(jī)構(gòu)注冊����。
516:用來列隊審核消息的內(nèi)部資源已經(jīng)用完����,從而導(dǎo)致部分審核數(shù)據(jù)丟失。
517:審核日志已清除���。
518:安全帳戶管理器已加載通知數(shù)據(jù)包�����。
519:進(jìn)程正在使用無效的本地過程調(diào)用 (LPC) 端口�����,試圖偽裝客戶端并向客戶端
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
