Windows Server 2003安全事件ID分析

2009年10月25日 | 分类: 学习笔记 | 标签:

根据下面的ID,可以帮助我们快速识别由 Microsoft?Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了
一、帐户登录事件
下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件
672:已成功颁发和验证身份验证服务 (AS) 票证
673:授权票证服务 (TGS) 票证已授权TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证
674:安全主体已更新 AS 票证或 TGS 票证
675:预身份验证失败用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件
676:身份验证票证请求失败在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件
677:TGS 票证未被授权在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件
678:帐户已成功映射到域帐户
681:登录失败尝试进行域帐户登录在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件
682:用户已重新连接至已断开的终端服务器会话
683:用户未注销就断开终端服务器会话
二、帐户管理事件
下面显示了由“审核帐户管理”安全模板设置所生成的安全事件
624:用户帐户已创建
627:用户密码已更改
628:用户密码已设置
630:用户帐户已删除
631:全局组已创建
632:成员已添加至全局组
633:成员已从全局组删除
634:全局组已删除
635:已新建本地组
636:成员已添加至本地组
637:成员已从本地组删除
638:本地组已删除
639:本地组帐户已更改
641:全局组帐户已更改
642:用户帐户已更改
643:域策略已修改
644:用户帐户被自动锁定
645:计算机帐户已创建
646:计算机帐户已更改
647:计算机帐户已删除
648:禁用安全的本地安全组已创建
注意:从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查
649:禁用安全的本地安全组已更改
650:成员已添加至禁用安全的本地安全组
651:成员已从禁用安全的本地安全组删除
652:禁用安全的本地组已删除
653:禁用安全的全局组已创建
654:禁用安全的全局组已更改
655:成员已添加至禁用安全的全局组
656:成员已从禁用安全的全局组删除
657:禁用安全的全局组已删除
658:启用安全的通用组已创建
659:启用安全的通用组已更改
660:成员已添加至启用安全的通用组
661:成员已从启用安全的通用组删除
662:启用安全的通用组已删除
663:禁用安全的通用组已创建
664:禁用安全的通用组已更改
665:成员已添加至禁用安全的通用组
666:成员已从禁用安全的通用组删除
667:禁用安全的通用组已删除
668:组类型已更改
684:管理组成员的安全描述符已设置
注意:在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符该事件已记录
685:帐户名称已更改
三、目录服务访问事件
下面显示了由”审核目录服务访问”安全模板设置所生成的安全事件
566:发生了一般对象操作
四、登录事件ID
528:用户成功登录到计算机
529:登录失败试图使用未知的用户名或已知用户名但错误密码进行登录
530:登录失败试图在允许的时间外登录
531:登录失败试图使用禁用的帐户登录
532:登录失败试图使用已过期的帐户登录
533:登录失败不允许登录到指定计算机的用户试图登录
534:登录失败用户试图使用不允许的密码类型登录
535:登录失败指定帐户的密码已过期
536:登录失败Net Logon 服务没有启动
537:登录失败由于其他原因登录尝试失败
注意:在某些情况下,登录失败的原因可能是未知的
538:用户的注销过程已完成
539:登录失败试图登录时,该帐户已锁定
540:用户成功登录到网络
541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道
542:数据频道已终止
543:主要模式已终止
注意:如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况
544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败
545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败
546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败接收到的程序包包含无效数据
547:在 IKE 握手过程中,出现错误
548:登录失败来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配
549:登录失败在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去
550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息
551:用户已启动注销过程
552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机
682:用户已重新连接至已断开的终端服务器会话
683:用户还未注销就断开终端服务器会话注意:当用户通过网络连接到终端服务器会话时,就会生成此事件该事件出现在终端服务器上
五、对象访问事件
下面显示了由”审核对象访问”安全模板设置所生成的安全事件
560:访问权限已授予现有的对象
562:指向对象的句柄已关闭
563:试图打开一个对象并打算将其删除
注意:当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统
564:受保护对象已删除
565:访问权限已授予现有的对象类型
567:使用了与句柄关联的权限
注意:创建句柄时,已授予其具体权限,如读取、写入等使用句柄时,最多为每个使用的权限生成一个审核
568:试图创建与正在审核的文件的硬链接
569:授权管理器中的资源管理器试图创建客户端上下文
570:客户端试图访问对象
注意:在此对象上发生的每个尝试操作都将生成一个事件
571:客户端上下文由授权管理器应用程序删除
572:Administrator Manager(管理员管理器)初始化此应用程序
772:证书管理器已拒绝挂起的证书申请
773:证书服务已收到重新提交的证书申请
774:证书服务已吊销证书
775:证书服务已收到发行证书吊销列表 (CRL) 的请求
776:证书服务已发行 CRL
777:已制定证书申请扩展
778:已更改多个证书申请属性
779:证书服务已收到关机请求
780:已开始证书服务备份
781:已完成证书服务备份
782:已开始证书服务还原
783:已完成证书服务还原
784:证书服务已开始
785:证书服务已停止
786:已更改证书服务的安全权限
787:证书服务已检索存档密钥
788:证书服务已将证书导入其数据库中
789:证书服务审核筛选已更改
790:证书服务已收到证书申请
791:证书服务已批准证书申请并已颁发证书
792:证书服务已拒绝证书申请
793:证书服务将证书申请状态设为挂起
794:证书服务的证书管理器设置已更改
795:证书服务中的配置项已更改
796:证书服务的属性已更改
797:证书服务已将密钥存档
798:证书服务导入密钥并将其存档
799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory?目录服务
800:已从证书数据库删除一行或

目前还没有任何评论.