根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。
一、帐户登录事件
下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
672:已成功颁发和验证身份验证服务 (AS) 票证。
673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
674:安全主体已更新 AS 票证或 TGS 票证。
675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。
676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
678:帐户已成功映射到域帐户。
681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
682:用户已重新连接至已断开的终端服务器会话。
683:用户未注销就断开终端服务器会话。
二、帐户管理事件
下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。
624:用户帐户已创建。
627:用户密码已更改。
628:用户密码已设置。
630:用户帐户已删除。
631:全局组已创建。
632:成员已添加至全局组。
633:成员已从全局组删除。
634:全局组已删除。
635:已新建本地组。
636:成员已添加至本地组。
637:成员已从本地组删除。
638:本地组已删除。
639:本地组帐户已更改。
641:全局组帐户已更改。
642:用户帐户已更改。
643:域策略已修改。
644:用户帐户被自动锁定。
645:计算机帐户已创建。
646:计算机帐户已更改。
647:计算机帐户已删除。
648:禁用安全的本地安全组已创建。
注意:
从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
649:禁用安全的本地安全组已更改。
650:成员已添加至禁用安全的本地安全组。
651:成员已从禁用安全的本地安全组删除。
652:禁用安全的本地组已删除。
653:禁用安全的全局组已创建。
654:禁用安全的全局组已更改。
655:成员已添加至禁用安全的全局组。
656:成员已从禁用安全的全局组删除。
657:禁用安全的全局组已删除。
658:启用安全的通用组已创建。
659:启用安全的通用组已更改。
660:成员已添加至启用安全的通用组。
661:成员已从启用安全的通用组删除。
662:启用安全的通用组已删除。
663:禁用安全的通用组已创建。
664:禁用安全的通用组已更改。
665:成员已添加至禁用安全的通用组。
666:成员已从禁用安全的通用组删除。
667:禁用安全的通用组已删除。
668:组类型已更改。
684:管理组成员的安全描述符已设置。
注意:
在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。
685:帐户名称已更改。
六、审核策略更改事件
下面显示了由"审核策略更改"安全模板设置所生成的安全事件。
608:已分配用户权限。
609:用户权限已删除。
610:与其他域的信任关系已创建。
611:与其他域的信任关系已删除。
612:审核策略已更改。
613:Internet 协议安全 (IPSec) 策略代理已启动。
614:IPSec 策略代理已禁用。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一个可能很严重的故障。
617:Kerberos v5 策略已更改。
618:加密数据恢复策略已更改。
620:与其他域的信任关系已修改。
621:已授予帐户系统访问权限。
622:已删除帐户的系统访问权限。
623:按用户设置审核策略。
625:按用户刷新审核策略。
768:检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。
769:已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。
770:已删除受信任的林信息。
注意:
请参见事件 769 的事件描述。
771:已修改受信任的林信息。
注意:
请参见事件 769 的事件描述。
805:事件日志服务读取会话的安全日志配置。
七、特权使用事件
下面显示了由"审核特权使用"安全模板设置所生成的安全事件。
576:指定的特权已添加到用户的访问令牌中。
注意:
当用户登录时生成此事件。
577:用户试图执行需要特权的系统服务操作。
578:特权用于已经打开的受保护对象的句柄。
八、详细的跟踪事件
下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。
592:已创建新进程。
593:进程已退出。
594:对象句柄已复制。
595:已获取对象的间接访问权。
596:数据保护主密钥已备份。
注意:
主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。
597:数据保护主密钥已从恢复服务器恢复。
598:审核过的数据已受保护。
599:审核过的数据未受保护。
600:已分配给进程主令牌。
601:用户试图安装服务。
602:已创建计划程序任务。
九、审核系统事件
下面显示了由"审核系统事件"安全模板设置所生成的系统事件。
512:Windows 正在启动。
513:Windows 正在关机。
514:本地安全机制机构已加载身份验证数据包。
515:受信任的登录过程已经在本地安全机构注册。
516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517:审核日志已清除。
518:安全帐户管理器已加载通知数据包。
519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。
520:系统时间已更改。
注意:
在正常情况下,该审核出现两次。
返回列表
