|
網上看見的���,希望和大家共享下↓】
根據下面的ID���,可以幫助我們快速識別由 Microsoft? Windows Server 2003 操作系統生成的安全事件���,究竟意味著什么事件出現了�����。
一����、帳戶登錄事件
下面顯示了由“審核帳戶登錄事件”安全模板設置所生成的安全事件�����。
672:已成功頒發和驗證身份驗證服務 (AS) 票證����。
673:授權票證服務 (TGS) 票證已授權���。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證�����,允許用戶對域中的特定服務進行身份驗證�。
674:安全主體已更新 AS 票證或 TGS 票證�����。
675:預身份驗證失敗���。用戶鍵入錯誤的密碼時�,密鑰發行中心 (KDC) 生成此事件����。
676:身份驗證票證請求失敗���。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件���。
677:TGS 票證未被授權�����。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件���。
678:帳戶已成功映射到域帳戶����。
681:登錄失敗����。嘗試進行域帳戶登錄����。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件����。
682:用戶已重新連接至已斷開的終端服務器會話��。
683:用戶未注銷就斷開終端服務器會話���。
二��、帳戶管理事件
下面顯示了由“審核帳戶管理”安全模板設置所生成的安全事件����。
624:用戶帳戶已創建����。
627:用戶密碼已更改��。
628:用戶密碼已設置��。
630:用戶帳戶已刪除���。
631:全局組已創建��。
632:成員已添加至全局組����。
633:成員已從全局組刪除�����。
634:全局組已刪除��。
635:已新建本地組����。
636:成員已添加至本地組��。
637:成員已從本地組刪除��。
638:本地組已刪除����。
639:本地組帳戶已更改���。
641:全局組帳戶已更改���。
642:用戶帳戶已更改�����。
643:域策略已修改���。
644:用戶帳戶被自動鎖定���。
645:計算機帳戶已創建����。
646:計算機帳戶已更改����。
647:計算機帳戶已刪除����。
648:禁用安全的本地安全組已創建�。
注意:
從正式名稱上講����,SECURITY_DISABLED 意味著該組不能用來授權訪問檢查�。
649:禁用安全的本地安全組已更改����。
650:成員已添加至禁用安全的本地安全組����。
651:成員已從禁用安全的本地安全組刪除�����。
652:禁用安全的本地組已刪除�����。
653:禁用安全的全局組已創建����。
654:禁用安全的全局組已更改����。
655:成員已添加至禁用安全的全局組�。
656:成員已從禁用安全的全局組刪除��。
657:禁用安全的全局組已刪除��。
658:啟用安全的通用組已創建���。
659:啟用安全的通用組已更改��。
660:成員已添加至啟用安全的通用組�。
661:成員已從啟用安全的通用組刪除����。
662:啟用安全的通用組已刪除��。
663:禁用安全的通用組已創建�。
664:禁用安全的通用組已更改�����。
665:成員已添加至禁用安全的通用組�。
666:成員已從禁用安全的通用組刪除�����。
667:禁用安全的通用組已刪除�。
668:組類型已更改�。
684:管理組成員的安全描述符已設置�。
注意:
在域控制器上�,每隔 60 分鐘��,后臺線程就會搜索管理組的所有成員(如域��、企業和架構管理員)��,并對其應用一個固定的安全描述符����。該事件已記錄����。
685:帳戶名稱已更改�����。
三����、目錄服務訪問事件
下面顯示了由"審核目錄服務訪問"安全模板設置所生成的安全事件���。
566:發生了一般對象操作����。
四���、登錄事件ID
528:用戶成功登錄到計算機��。
529:登錄失敗����。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄�����。
530:登錄失敗�����。試圖在允許的時間外登錄�。
531:登錄失敗���。試圖使用禁用的帳戶登錄�����。
532:登錄失敗��。試圖使用已過期的帳戶登錄���。
533:登錄失敗�����。不允許登錄到指定計算機的用戶試圖登錄�。
534:登錄失敗����。用戶試圖使用不允許的密碼類型登錄�����。
535:登錄失敗���。指定帳戶的密碼已過期��。
536:登錄失敗��。Net Logon 服務沒有啟動����。
537:登錄失敗����。由于其他原因登錄嘗試失敗��。
注意:
在某些情況下��,登錄失敗的原因可能是未知的��。
538:用戶的注銷過程已完成����。
539:登錄失敗�����。試圖登錄時�,該帳戶已鎖定��。
540:用戶成功登錄到網絡�����。
541:本地計算機與列出的對等客戶端身份(已建立安全關聯)之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成���,或者快速模式已建立了數據頻道��。
542:數據頻道已終止���。
543:主要模式已終止�����。
注意:
如果安全關聯的時間**(默認為 8 小時)過期�����、策略更改或對等終止�����,則會發生此情況���。
544:由于對等客戶端沒有提供有效的證書或者簽名無效�����,造成主要模式身份驗證失敗���。
545:由于 Kerberos 失敗或者密碼無效�����,造成主要模式身份驗證失敗�。
546:由于對等客戶端發送的建議無效����,造成 IKE 安全關聯建立失敗�。接收到的程序包包含無效數據����。
547:在 IKE 握手過程中���,出現錯誤����。
548:登錄失敗�����。來自信任域的安全標識符 (SID) 與客戶端的帳戶域 SID 不匹配����。
549:登錄失敗����。在林內進行身份驗證時���,所有與不受信任的名稱空間相關的 SID 將被篩選出去�。
550:可以用來指示可能的拒絕服務 (DoS) 攻擊的通知消息��。
551:用戶已啟動注銷過程���。
552:用戶使用明確憑據成功登錄到作為其他用戶已登錄到的計算機�。
682:用戶已重新連接至已斷開的終端服務器會話��。
683:用戶還未注銷就斷開終端服務器會話���。注意:當用戶通過網絡連接到終端服務器會話時��,就會生成此事件����。該事件出現在終端服務器上�����。
五�、對象訪問事件
下面顯示了由"審核對象訪問"安全模板設置所生成的安全事件�����。
560:訪問權限已授予現有的對象�。
562:指向對象的句柄已關閉���。
563:試圖打開一個對象并打算將其刪除��。
注意:
當在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標記時����,此事件可以用于文件系統�。
564:受保護對象已刪除��。
565:訪問權限已授予現有的對象類型��。
567:使用了與句柄關聯的權限��。
注意:
創建句柄時�,已授予其具體權限����,如讀取�、寫入等�。使用句柄時����,最多為每個使用的權限生成一個審核����。
568:試圖創建與正在審核的文件的硬鏈接����。
569:授權管理器中的資源管理器試圖創建客戶端上下文����。
570:客戶端試圖訪問對象�。
注意:
在此對象上發生的每個嘗試操作都將生成一個事件���。
571:客戶端上下文由授權管理器應用程序刪除��。
572:Administrator Manager(管理員管理器)初始化此應用程序��。
772:證書管理器已拒絕掛起的證書申請�。
773:證書服務已收到重新提交的證書申請��。
774:證書服務已吊銷證書�。
775:證書服務已收到發行證書吊銷列表 (CRL) 的請求��。
776:證書服務已發行 CRL����。
777:已制定證書申請擴展�����。
778:已更改多個證書申請屬性���。
779:證書服務已收到關機請求��。
780:已開始證書服務備份�。
781:已完成證書服務備份���。
782:已開始證書服務還原���。
783:已完成證書服務還原���。
784:證書服務已開始�。
785:證書服務已停止�����。
786:已更改證書服務的安全權限�����。
787:證書服務已檢索存檔密鑰�����。
788:證書服務已將證書導入其數據庫中�。
789:證書服務審核篩選已更改�。
790:證書服務已收到證書申請����。
791:證書服務已批準證書申請并已頒發證書���。
792:證書服務已拒絕證書申請�����。
793:證書服務將證書申請狀態設為掛起�����。
794:證書服務的證書管理器設置已更改�。
795:證書服務中的配置項已更改�。
796:證書服務的屬性已更改�����。
797:證書服務已將密鑰存檔�。
798:證書服務導入密鑰并將其存檔����。
799:證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務����。
800:已從證書數據庫刪除一行或多行���。
801:角色分離已啟用�。
六��、審核策略更改事件
下面顯示了由"審核策略更改"安全模板設置所生成的安全事件��。
608:已分配用戶權限���。
609:用戶權限已刪除���。
610:與其他域的信任關系已創建�����。
611:與其他域的信任關系已刪除��。
612:審核策略已更改���。
613:Internet 協議安全 (IPSec) 策略代理已啟動�����。
614:IPSec 策略代理已禁用��。
615:IPSec 策略代理已更改����。
616:IPSec 策略代理遇到一個可能很嚴重的故障�����。
617:Kerberos v5 策略已更改���。
618:加密數據恢復策略已更改�。
620:與其他域的信任關系已修改����。
621:已授予帳戶系統訪問權限�����。
622:已刪除帳戶的系統訪問權限�。
623:按用戶設置審核策略��。
625:按用戶刷新審核策略�。
768:檢測到兩個林的名稱空間元素之間有沖突��。
注意:
當兩個林的名稱空間元素重疊時�,解析屬于其中一個名稱空間元素的名稱時��,將發生歧義����。這種重疊也稱為沖突�。并非所有的參數對每一項類型都有效���。例如�����,對于類型為 TopLevelName 的項�,有些字段無效�,如 DNS 名稱�����、NetBIOS 名稱和 SID�����。
769:已添加受信任的林信息��。
注意:
當更新林信任信息并且添加了一個或多個項時���,將生成此事件消息��。為每個添加�、刪除或修改的項生成一個事件消息�����。如果在林信任信息的一個更新中添加��、刪除或修改了多個項����,則為生成的所有事件消息指派一個唯一標識符��,稱為操作 ID����。該標識符可以用來確定生成的多個事件消息是一個操作的結果���。并非所有的參數對每一項類型都有效����。例如�����,對于類型為 TopLevelName 的項�����,有些參數是無效的��,如 DNS 名稱���、NetBIOS 名稱和 SID���。
770:已刪除受信任的林信息���。
注意:
請參見事件 769 的事件描述���。
771:已修改受信任的林信息���。
注意:
請參見事件 769 的事件描述�����。
805:事件日志服務讀取會話的安全日志配置��。
七��、特權使用事件
下面顯示了由"審核特權使用"安全模板設置所生成的安全事件���。
576:指定的特權已添加到用戶的訪問令牌中����。
注意:
當用戶登錄時生成此事件��。
577:用戶試圖執行需要特權的系統服務操作�。
578:特權用于已經打開的受保護對象的句柄����。
八�、詳細的跟蹤事件
下面顯示了由"審核過程跟蹤"安全模板設置所生成的安全事件���。
592:已創建新進程���。
593:進程已退出��。
594:對象句柄已復制��。
595:已獲取對象的間接訪問權��。
596:數據保護主密鑰已備份����。
注意:
主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統 (EFS)���。每次新建主密鑰時都進行備份�。(默認設置為 90 天���。)通常由域控制器備份主密鑰�����。
597:數據保護主密鑰已從恢復服務器恢復�����。
598:審核過的數據已受保護��。
599:審核過的數據未受保護��。
600:已分配給進程主令牌����。
601:用戶試圖安裝服務��。
602:已創建計劃程序任務���。
九�����、審核系統事件
下面顯示了由"審核系統事件"安全模板設置所生成的系統事件�。
512:Windows 正在啟動����。
513:Windows 正在關機���。
514:本地安全機制機構已加載身份驗證數據包��。
515:受信任的登錄過程已經在本地安全機構注冊����。
516:用來列隊審核消息的內部資源已經用完����,從而導致部分審核數據丟失�。
517:審核日志已清除��。
518:安全帳戶管理器已加載通知數據包����。
519:進程正在使用無效的本地過程調用 (LPC) 端口��,試圖偽裝客戶端并向客戶端
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商����!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
