WindowsServer安全事件ID分析电脑资料.docx
《WindowsServer安全事件ID分析电脑资料.docx》由会员分享,可在线阅读,更多相关《WindowsServer安全事件ID分析电脑资料.docx(11页珍藏版)》请在冰豆网上搜索。
![WindowsServer安全事件ID分析电脑资料.docx](https://file1.bdocx.com/fileroot1/2023-2/8/c5441f08-f06c-40e0-ad89-25bfb4ffa402/c5441f08-f06c-40e0-ad89-25bfb4ffa4021.gif)
WindowsServer安全事件ID分析电脑资料
WindowsServer2003“安全事件ID”分析-电脑资料
根据下面的ID,可以帮助我们快速识别由WindowsServer2003操作系统生成的安全事件,究竟意味着什么事件出现了,
WindowsServer2003“安全事件ID”分析
。
一、帐户登录事件
下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
672:
已成功颁发和验证身份验证服务(AS)票证。
673:
授权票证服务(TGS)票证已授权。
TGS是由Kerberosv5票证授权服务(TGS)颁发的票证,允许用户对域中的特定服务进行身份验证。
674:
安全主体已更新AS票证或TGS票证。
675:
预身份验证失败。
用户键入错误的密码时,密钥发行中心(KDC)生成此事件。
676:
身份验证票证请求失败。
在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
677:
TGS票证未被授权。
在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
678:
帐户已成功映射到域帐户。
681:
登录失败。
尝试进行域帐户登录。
在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
682:
用户已重新连接至已断开的终端服务器会话。
683:
用户未注销就断开终端服务器会话。
二、帐户管理事件
下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。
624:
用户帐户已创建。
627:
用户密码已更改。
628:
用户密码已设置。
630:
用户帐户已删除。
631:
全局组已创建。
632:
成员已添加至全局组。
633:
成员已从全局组删除。
634:
全局组已删除。
635:
已新建本地组。
636:
成员已添加至本地组。
637:
成员已从本地组删除。
638:
本地组已删除。
639:
本地组帐户已更改。
641:
全局组帐户已更改。
642:
用户帐户已更改。
643:
域策略已修改。
644:
用户帐户被自动锁定。
645:
计算机帐户已创建。
646:
计算机帐户已更改。
647:
计算机帐户已删除。
648:
禁用安全的本地安全组已创建。
注意:
从正式名称上讲,SECURITY_DISABLED意味着该组不能用来授权访问检查。
649:
禁用安全的本地安全组已更改。
650:
成员已添加至禁用安全的本地安全组。
651:
成员已从禁用安全的本地安全组删除。
652:
禁用安全的本地组已删除。
653:
禁用安全的全局组已创建。
654:
禁用安全的全局组已更改。
655:
成员已添加至禁用安全的全局组。
656:
成员已从禁用安全的全局组删除。
657:
禁用安全的全局组已删除。
658:
启用安全的通用组已创建。
659:
启用安全的通用组已更改。
660:
成员已添加至启用安全的通用组。
661:
成员已从启用安全的通用组删除。
662:
启用安全的通用组已删除。
663:
禁用安全的通用组已创建。
664:
禁用安全的通用组已更改。
665:
成员已添加至禁用安全的通用组。
666:
成员已从禁用安全的通用组删除。
667:
禁用安全的通用组已删除。
668:
组类型已更改。
684:
管理组成员的安全描述符已设置。
注意:
在域控制器上,每隔60分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。
该事件已记录。
685:
帐户名称已更改。
三、目录服务访问事件
下面显示了由`审核目录服务访问`安全模板设置所生成的安全事件。
566:
发生了一般对象操作。
四、登录事件ID
528:
用户成功登录到计算机。
529:
登录失败。
试图使用未知的用户名或已知用户名但错误密码进行登录。
530:
登录失败。
试图在允许的时间外登录。
531:
登录失败。
试图使用禁用的帐户登录。
532:
登录失败。
试图使用已过期的帐户登录。
533:
登录失败。
不允许登录到指定计算机的用户试图登录。
534:
登录失败。
用户试图使用不允许的密码类型登录。
535:
登录失败。
指定帐户的密码已过期。
536:
登录失败。
NetLogon服务没有启动。
537:
登录失败。
由于其他原因登录尝试失败。
注意:
在某些情况下,登录失败的原因可能是未知的。
538:
用户的注销过程已完成。
539:
登录失败。
试图登录时,该帐户已锁定。
540:
用户成功登录到网络。
541:
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet密钥交换(IKE)身份验证已完成,或者快速模式已建立了数据频道。
542:
数据频道已终止。
543:
主要模式已终止。
注意:
如果安全关联的时间限制(默认为8小时)过期、策略更改或对等终止,则会发生此情况。
544:
由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545:
由于Kerberos失败或者密码无效,造成主要模式身份验证失败。
546:
由于对等客户端发送的建议无效,造成IKE安全关联建立失败。
接收到的程序包包含无效数据。
547:
在IKE握手过程中,出现错误。
548:
登录失败。
来自信任域的安全标识符(SID)与客户端的帐户域SID不匹配。
549:
登录失败。
在林内进行身份验证时,所有与不受信任的名称空间相关的SID将被筛选出去。
550:
可以用来指示可能的拒绝服务(DoS)攻击的通知消息。
551:
用户已启动注销过程。
552:
用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682:
用户已重新连接至已断开的终端服务器会话。
683:
用户还未注销就断开终端服务器会话。
注意:
当用户通过网络连接到终端服务器会话时,就会生成此事件。
该事件出现在终端服务器上。
五、对象访问事件
下面显示了由`审核对象访问`安全模板设置所生成的安全事件。
560:
访问权限已授予现有的对象,
电脑资料
《WindowsServer2003“安全事件ID”分析》。
562:
指向对象的句柄已关闭。
563:
试图打开一个对象并打算将其删除。
注意:
当在Createfile中指定了FILE_DELETE_ON_CLOSE标记时,此事件可以用于文件系统。
564:
受保护对象已删除。
565:
访问权限已授予现有的对象类型。
567:
使用了与句柄关联的权限。
注意:
创建句柄时,已授予其具体权限,如读取、写入等。
使用句柄时,最多为每个使用的权限生成一个审核。
568:
试图创建与正在审核的文件的硬链接。
569:
授权管理器中的资源管理器试图创建客户端上下文。
570:
客户端试图访问对象。
注意:
在此对象上发生的每个尝试操作都将生成一个事件。
571:
客户端上下文由授权管理器应用程序删除。
572:
AdministratorManager(管理员管理器)初始化此应用程序。
772:
证书管理器已拒绝挂起的证书申请。
773:
证书服务已收到重新提交的证书申请。
774:
证书服务已吊销证书。
775:
证书服务已收到发行证书吊销列表(CRL)的请求。
776:
证书服务已发行CRL。
777:
已制定证书申请扩展。
778:
已更改多个证书申请属性。
779:
证书服务已收到关机请求。
780:
已开始证书服务备份。
781:
已完成证书服务备份。
782:
已开始证书服务还原。
783:
已完成证书服务还原。
784:
证书服务已开始。
785:
证书服务已停止。
786:
已更改证书服务的安全权限。
787:
证书服务已检索存档密钥。
788:
证书服务已将证书导入其数据库中。
789:
证书服务审核筛选已更改。
790:
证书服务已收到证书申请。
791:
证书服务已批准证书申请并已颁发证书。
792:
证书服务已拒绝证书申请。
793:
证书服务将证书申请状态设为挂起。
794:
证书服务的证书管理器设置已更改。
795:
证书服务中的配置项已更改。
796:
证书服务的属性已更改。
797:
证书服务已将密钥存档。
798:
证书服务导入密钥并将其存档。
799:
证书服务已将证书颁发机构(CA)证书发行到MicrosoftActiveDirectory?
目录服务。
800:
已从证书数据库删除一行或多行。
801:
角色分离已启用。
六、审核策略更改事件
下面显示了由`审核策略更改`安全模板设置所生成的安全事件。
608:
已分配用户权限。
609:
用户权限已删除。
610:
与其他域的信任关系已创建。
611:
与其他域的信任关系已删除。
612:
审核策略已更改。
613:
Internet协议安全(IPSec)策略代理已启动。
614:
IPSec策略代理已禁用。
615:
IPSec策略代理已更改。
616:
IPSec策略代理遇到一个可能很严重的故障。
617:
Kerberosv5策略已更改。
618:
加密数据恢复策略已更改。
620:
与其他域的信任关系已修改。
621:
已授予帐户系统访问权限。
622:
已删除帐户的系统访问权限。
623:
按用户设置审核策略。
625:
按用户刷新审核策略。
768:
检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。
这种重叠也称为冲突。
并非所有的参数对每一项类型都有效。
例如,对于类型为TopLevelName的项,有些字段无效,如DNS名称、NetBIOS名称和SID。
769:
已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。
为每个添加、删除或修改的项生成一个事件消息。
如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作ID。
该标识符可以用来确定生成的多个事件消息是一个操作的结果。
并非所有的参数对每一项类型都有效。
例如,对于类型为TopLevelName的项,有些参数是无效的,如DNS名称、NetBIOS名称和SID。
770:
已删除受信任的林信息。
注意:
请参见事件769的事件描述。
771:
已修改受信任的林信息。
注意:
请参见事件769的事件描述。
805:
事件日志服务读取会话的安全日志配置。
七、特权使用事件
下面显示了由`审核特权使用`安全模板设置所生成的安全事件。
576:
指定的特权已添加到用户的访问令牌中。
注意:
当用户登录时生成此事件。
577:
用户试图执行需要特权的系统服务操作。
578:
特权用于已经打开的受保护对象的句柄。
八、详细的跟踪事件
下面显示了由`审核过程跟踪`安全模板设置所生成的安全事件。
592:
已创建新进程。
593:
进程已退出。
594:
对象句柄已复制。
595:
已获取对象的间接访问权。
596:
数据保护主密钥已备份。
注意:
主密钥用于CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)。
每次新建主密钥时都进行备份。
(默认设置为90天。
)通常由域控制器备份主密钥。
597:
数据保护主密钥已从恢复服务器恢复。
598:
审核过的数据已受保护。
599:
审核过的数据未受保护。
600:
已分配给进程主令牌。
601:
用户试图安装服务。
602:
已创建计划程序任务。
九、审核系统事件
下面显示了由`审核系统事件`安全模板设置所生成的系统事件。
512:
Windows正在启动。
513:
Windows正在关机。
514:
本地安全机制机构已加载身份验证数据包。
515:
受信任的登录过程已经在本地安全机构注册。
516:
用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517:
审核日志已清除。
518:
安全帐户管理器已加载通知数据包。
519:
进程正在使用无效的本地过程调用(LPC)端口,试图伪装客户端并向客户端地址空间答复、读取或写入。
520:
系统时间已更改。
注意:
在正常情况下,该审核出现两次。