|
網(wǎng)上看見的,希望和大家共享下↓】
根據(jù)下面的ID�����,可以幫助我們快速識別由 Microsoft? Windows Server 2003 操作系統(tǒng)生成的安全事件�,究竟意味著什么事件出現(xiàn)了。
一�����、帳戶登錄事件
下面顯示了由“審核帳戶登錄事件”安全模板設(shè)置所生成的安全事件�����。
672:已成功頒發(fā)和驗證身份驗證服務(wù) (AS) 票證��。
673:授權(quán)票證服務(wù) (TGS) 票證已授權(quán)�。TGS 是由 Kerberos v5 票證授權(quán)服務(wù) (TGS) 頒發(fā)的票證���,允許用戶對域中的特定服務(wù)進(jìn)行身份驗證����。
674:安全主體已更新 AS 票證或 TGS 票證。
675:預(yù)身份驗證失敗���。用戶鍵入錯誤的密碼時���,密鑰發(fā)行中心 (KDC) 生成此事件。
676:身份驗證票證請求失敗��。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件����。
677:TGS 票證未被授權(quán)。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件��。
678:帳戶已成功映射到域帳戶���。
681:登錄失敗����。嘗試進(jìn)行域帳戶登錄��。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件��。
682:用戶已重新連接至已斷開的終端服務(wù)器會話。
683:用戶未注銷就斷開終端服務(wù)器會話���。
二��、帳戶管理事件
下面顯示了由“審核帳戶管理”安全模板設(shè)置所生成的安全事件�。
624:用戶帳戶已創(chuàng)建����。
627:用戶密碼已更改。
628:用戶密碼已設(shè)置����。
630:用戶帳戶已刪除。
631:全局組已創(chuàng)建����。
632:成員已添加至全局組��。
633:成員已從全局組刪除��。
634:全局組已刪除�����。
635:已新建本地組。
636:成員已添加至本地組�。
637:成員已從本地組刪除。
638:本地組已刪除�����。
639:本地組帳戶已更改�。
641:全局組帳戶已更改。
642:用戶帳戶已更改����。
643:域策略已修改。
644:用戶帳戶被自動鎖定�����。
645:計算機(jī)帳戶已創(chuàng)建�。
646:計算機(jī)帳戶已更改。
647:計算機(jī)帳戶已刪除�����。
648:禁用安全的本地安全組已創(chuàng)建���。
注意:
從正式名稱上講��,SECURITY_DISABLED 意味著該組不能用來授權(quán)訪問檢查�。
649:禁用安全的本地安全組已更改。
650:成員已添加至禁用安全的本地安全組�。
651:成員已從禁用安全的本地安全組刪除。
652:禁用安全的本地組已刪除�。
653:禁用安全的全局組已創(chuàng)建。
654:禁用安全的全局組已更改���。
655:成員已添加至禁用安全的全局組���。
656:成員已從禁用安全的全局組刪除。
657:禁用安全的全局組已刪除�����。
658:啟用安全的通用組已創(chuàng)建���。
659:啟用安全的通用組已更改。
660:成員已添加至啟用安全的通用組���。
661:成員已從啟用安全的通用組刪除�。
662:啟用安全的通用組已刪除�。
663:禁用安全的通用組已創(chuàng)建��。
664:禁用安全的通用組已更改����。
665:成員已添加至禁用安全的通用組�。
666:成員已從禁用安全的通用組刪除。
667:禁用安全的通用組已刪除��。
668:組類型已更改���。
684:管理組成員的安全描述符已設(shè)置����。
注意:
在域控制器上���,每隔 60 分鐘��,后臺線程就會搜索管理組的所有成員(如域�����、企業(yè)和架構(gòu)管理員)����,并對其應(yīng)用一個固定的安全描述符。該事件已記錄���。
685:帳戶名稱已更改���。
三、目錄服務(wù)訪問事件
下面顯示了由"審核目錄服務(wù)訪問"安全模板設(shè)置所生成的安全事件����。
566:發(fā)生了一般對象操作。
四�����、登錄事件ID
528:用戶成功登錄到計算機(jī)�����。
529:登錄失敗���。試圖使用未知的用戶名或已知用戶名但錯誤密碼進(jìn)行登錄�。
530:登錄失敗�。試圖在允許的時間外登錄���。
531:登錄失敗����。試圖使用禁用的帳戶登錄。
532:登錄失敗�。試圖使用已過期的帳戶登錄。
533:登錄失敗�。不允許登錄到指定計算機(jī)的用戶試圖登錄。
534:登錄失敗��。用戶試圖使用不允許的密碼類型登錄�����。
535:登錄失敗���。指定帳戶的密碼已過期��。
536:登錄失敗���。Net Logon 服務(wù)沒有啟動。
537:登錄失敗�。由于其他原因登錄嘗試失敗。
注意:
在某些情況下,登錄失敗的原因可能是未知的�。
538:用戶的注銷過程已完成。
539:登錄失敗���。試圖登錄時�����,該帳戶已鎖定���。
540:用戶成功登錄到網(wǎng)絡(luò)。
541:本地計算機(jī)與列出的對等客戶端身份(已建立安全關(guān)聯(lián))之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成�����,或者快速模式已建立了數(shù)據(jù)頻道���。
542:數(shù)據(jù)頻道已終止��。
543:主要模式已終止���。
注意:
如果安全關(guān)聯(lián)的時間**(默認(rèn)為 8 小時)過期、策略更改或?qū)Φ冉K止�,則會發(fā)生此情況��。
544:由于對等客戶端沒有提供有效的證書或者簽名無效���,造成主要模式身份驗證失敗��。
545:由于 Kerberos 失敗或者密碼無效�����,造成主要模式身份驗證失敗����。
546:由于對等客戶端發(fā)送的建議無效,造成 IKE 安全關(guān)聯(lián)建立失敗����。接收到的程序包包含無效數(shù)據(jù)。
547:在 IKE 握手過程中���,出現(xiàn)錯誤��。
548:登錄失敗�。來自信任域的安全標(biāo)識符 (SID) 與客戶端的帳戶域 SID 不匹配��。
549:登錄失敗。在林內(nèi)進(jìn)行身份驗證時�,所有與不受信任的名稱空間相關(guān)的 SID 將被篩選出去。
550:可以用來指示可能的拒絕服務(wù) (DoS) 攻擊的通知消息���。
551:用戶已啟動注銷過程����。
552:用戶使用明確憑據(jù)成功登錄到作為其他用戶已登錄到的計算機(jī)�。
682:用戶已重新連接至已斷開的終端服務(wù)器會話。
683:用戶還未注銷就斷開終端服務(wù)器會話���。注意:當(dāng)用戶通過網(wǎng)絡(luò)連接到終端服務(wù)器會話時�,就會生成此事件���。該事件出現(xiàn)在終端服務(wù)器上����。
五�、對象訪問事件
下面顯示了由"審核對象訪問"安全模板設(shè)置所生成的安全事件。
560:訪問權(quán)限已授予現(xiàn)有的對象��。
562:指向?qū)ο蟮木浔殃P(guān)閉����。
563:試圖打開一個對象并打算將其刪除��。
注意:
當(dāng)在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標(biāo)記時��,此事件可以用于文件系統(tǒng)���。
564:受保護(hù)對象已刪除����。
565:訪問權(quán)限已授予現(xiàn)有的對象類型。
567:使用了與句柄關(guān)聯(lián)的權(quán)限��。
注意:
創(chuàng)建句柄時���,已授予其具體權(quán)限�����,如讀取�����、寫入等���。使用句柄時����,最多為每個使用的權(quán)限生成一個審核�����。
568:試圖創(chuàng)建與正在審核的文件的硬鏈接��。
569:授權(quán)管理器中的資源管理器試圖創(chuàng)建客戶端上下文��。
570:客戶端試圖訪問對象��。
注意:
在此對象上發(fā)生的每個嘗試操作都將生成一個事件�����。
571:客戶端上下文由授權(quán)管理器應(yīng)用程序刪除���。
572:Administrator Manager(管理員管理器)初始化此應(yīng)用程序���。
772:證書管理器已拒絕掛起的證書申請。
773:證書服務(wù)已收到重新提交的證書申請�����。
774:證書服務(wù)已吊銷證書。
775:證書服務(wù)已收到發(fā)行證書吊銷列表 (CRL) 的請求�。
776:證書服務(wù)已發(fā)行 CRL。
777:已制定證書申請擴(kuò)展�����。
778:已更改多個證書申請屬性����。
779:證書服務(wù)已收到關(guān)機(jī)請求��。
780:已開始證書服務(wù)備份�。
781:已完成證書服務(wù)備份。
782:已開始證書服務(wù)還原���。
783:已完成證書服務(wù)還原�。
784:證書服務(wù)已開始�。
785:證書服務(wù)已停止。
786:已更改證書服務(wù)的安全權(quán)限���。
787:證書服務(wù)已檢索存檔密鑰����。
788:證書服務(wù)已將證書導(dǎo)入其數(shù)據(jù)庫中。
789:證書服務(wù)審核篩選已更改���。
790:證書服務(wù)已收到證書申請�����。
791:證書服務(wù)已批準(zhǔn)證書申請并已頒發(fā)證書�。
792:證書服務(wù)已拒絕證書申請���。
793:證書服務(wù)將證書申請狀態(tài)設(shè)為掛起�。
794:證書服務(wù)的證書管理器設(shè)置已更改��。
795:證書服務(wù)中的配置項已更改�����。
796:證書服務(wù)的屬性已更改�。
797:證書服務(wù)已將密鑰存檔。
798:證書服務(wù)導(dǎo)入密鑰并將其存檔����。
799:證書服務(wù)已將證書頒發(fā)機(jī)構(gòu) (CA) 證書發(fā)行到 Microsoft Active Directory? 目錄服務(wù)�。
800:已從證書數(shù)據(jù)庫刪除一行或多行�����。
801:角色分離已啟用����。
六、審核策略更改事件
下面顯示了由"審核策略更改"安全模板設(shè)置所生成的安全事件���。
608:已分配用戶權(quán)限��。
609:用戶權(quán)限已刪除��。
610:與其他域的信任關(guān)系已創(chuàng)建�。
611:與其他域的信任關(guān)系已刪除����。
612:審核策略已更改��。
613:Internet 協(xié)議安全 (IPSec) 策略代理已啟動���。
614:IPSec 策略代理已禁用�。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一個可能很嚴(yán)重的故障�����。
617:Kerberos v5 策略已更改�。
618:加密數(shù)據(jù)恢復(fù)策略已更改。
620:與其他域的信任關(guān)系已修改�。
621:已授予帳戶系統(tǒng)訪問權(quán)限。
622:已刪除帳戶的系統(tǒng)訪問權(quán)限��。
623:按用戶設(shè)置審核策略�����。
625:按用戶刷新審核策略�����。
768:檢測到兩個林的名稱空間元素之間有沖突���。
注意:
當(dāng)兩個林的名稱空間元素重疊時���,解析屬于其中一個名稱空間元素的名稱時,將發(fā)生歧義。這種重疊也稱為沖突��。并非所有的參數(shù)對每一項類型都有效��。例如�����,對于類型為 TopLevelName 的項���,有些字段無效����,如 DNS 名稱��、NetBIOS 名稱和 SID��。
769:已添加受信任的林信息��。
注意:
當(dāng)更新林信任信息并且添加了一個或多個項時�����,將生成此事件消息�����。為每個添加�����、刪除或修改的項生成一個事件消息��。如果在林信任信息的一個更新中添加�、刪除或修改了多個項,則為生成的所有事件消息指派一個唯一標(biāo)識符��,稱為操作 ID����。該標(biāo)識符可以用來確定生成的多個事件消息是一個操作的結(jié)果。并非所有的參數(shù)對每一項類型都有效�����。例如��,對于類型為 TopLevelName 的項��,有些參數(shù)是無效的��,如 DNS 名稱、NetBIOS 名稱和 SID�����。
770:已刪除受信任的林信息��。
注意:
請參見事件 769 的事件描述��。
771:已修改受信任的林信息�����。
注意:
請參見事件 769 的事件描述���。
805:事件日志服務(wù)讀取會話的安全日志配置���。
七、特權(quán)使用事件
下面顯示了由"審核特權(quán)使用"安全模板設(shè)置所生成的安全事件���。
576:指定的特權(quán)已添加到用戶的訪問令牌中��。
注意:
當(dāng)用戶登錄時生成此事件�。
577:用戶試圖執(zhí)行需要特權(quán)的系統(tǒng)服務(wù)操作����。
578:特權(quán)用于已經(jīng)打開的受保護(hù)對象的句柄。
八���、詳細(xì)的跟蹤事件
下面顯示了由"審核過程跟蹤"安全模板設(shè)置所生成的安全事件���。
592:已創(chuàng)建新進(jìn)程。
593:進(jìn)程已退出�����。
594:對象句柄已復(fù)制��。
595:已獲取對象的間接訪問權(quán)�。
596:數(shù)據(jù)保護(hù)主密鑰已備份。
注意:
主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統(tǒng) (EFS)��。每次新建主密鑰時都進(jìn)行備份�����。(默認(rèn)設(shè)置為 90 天��。)通常由域控制器備份主密鑰。
597:數(shù)據(jù)保護(hù)主密鑰已從恢復(fù)服務(wù)器恢復(fù)�。
598:審核過的數(shù)據(jù)已受保護(hù)����。
599:審核過的數(shù)據(jù)未受保護(hù)。
600:已分配給進(jìn)程主令牌��。
601:用戶試圖安裝服務(wù)�����。
602:已創(chuàng)建計劃程序任務(wù)���。
九���、審核系統(tǒng)事件
下面顯示了由"審核系統(tǒng)事件"安全模板設(shè)置所生成的系統(tǒng)事件�����。
512:Windows 正在啟動。
513:Windows 正在關(guān)機(jī)�。
514:本地安全機(jī)制機(jī)構(gòu)已加載身份驗證數(shù)據(jù)包。
515:受信任的登錄過程已經(jīng)在本地安全機(jī)構(gòu)注冊��。
516:用來列隊審核消息的內(nèi)部資源已經(jīng)用完�,從而導(dǎo)致部分審核數(shù)據(jù)丟失。
517:審核日志已清除����。
518:安全帳戶管理器已加載通知數(shù)據(jù)包。
519:進(jìn)程正在使用無效的本地過程調(diào)用 (LPC) 端口�,試圖偽裝客戶端并向客戶端
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商���!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
