根據下面的ID,可以幫助我們快速識別由Windows Server 2003操作系統生成的安全事件,究竟意味著什麼事件出現了。 一、帳戶登錄事件 下面顯示了由“審核帳戶登錄事件”安全模板設置所生成的安全事件。 672:已成功頒發和驗證身份驗證服務 (AS) 票證。 673:授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證,允許用戶對域中的特定服務進行身份驗證。 674:安全主體已更新 AS 票證或 TGS 票證。 675:預身份驗證失敗。用戶鍵入錯誤的密碼時,密鑰發行中心 (KDC) 生成此事件。 676:身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。 677:TGS 票證未被授權。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。 678:帳戶已成功映射到域帳戶。 681:登錄失敗。嘗試進行域帳戶登錄。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。 682:用戶已重新連接至已斷開的終端服務器會話。 683:用戶未注銷就斷開終端服務器會話。 二、帳戶管理事件 下面顯示了由“審核帳戶管理”安全模板設置所生成的安全事件。 624:用戶帳戶已創建。 627:用戶密碼已更改。 628:用戶密碼已設置。 630:用戶帳戶已刪除。 631:全局組已創建。 632:成員已添加至全局組。 633:成員已從全局組刪除。 634:全局組已刪除。 635:已新建本地組。 636:成員已添加至本地組。 637:成員已從本地組刪除。 638:本地組已刪除。 639:本地組帳戶已更改。 641:全局組帳戶已更改。 642:用戶帳戶已更改。 643:域策略已修改。 644:用戶帳戶被自動鎖定。 645:計算機帳戶已創建。 646:計算機帳戶已更改。 647:計算機帳戶已刪除。 648:禁用安全的本地安全組已創建。 注意: 從正式名稱上講,SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。 649:禁用安全的本地安全組已更改。 650:成員已添加至禁用安全的本地安全組。 651:成員已從禁用安全的本地安全組刪除。 652:禁用安全的本地組已刪除。 653:禁用安全的全局組已創建。 654:禁用安全的全局組已更改。 655:成員已添加至禁用安全的全局組。 656:成員已從禁用安全的全局組刪除。 657:禁用安全的全局組已刪除。 658:啟用安全的通用組已創建。 659:啟用安全的通用組已更改。 660:成員已添加至啟用安全的通用組。 661:成員已從啟用安全的通用組刪除。 662:啟用安全的通用組已刪除。 663:禁用安全的通用組已創建。 664:禁用安全的通用組已更改。 665:成員已添加至禁用安全的通用組。 666:成員已從禁用安全的通用組刪除。 667:禁用安全的通用組已刪除。 668:組類型已更改。 684:管理組成員的安全描述符已設置。 注意: 在域控制器上,每隔 60 分鐘,後台線程就會搜索管理組的所有成員(如域、企業和架構管理員),並對其應用一個固定的安全描述符。該事件已記錄。 685:帳戶名稱已更改。 三、目錄服務訪問事件 下面顯示了由`審核目錄服務訪問`安全模板設置所生成的安全事件。 566:發生了一般對象操作。 四、登錄事件ID 528:用戶成功登錄到計算機。 529:登錄失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄。 530:登錄失敗。試圖在允許的時間外登錄。 531:登錄失敗。試圖使用禁用的帳戶登錄。 532:登錄失敗。試圖使用已過期的帳戶登錄。 533:登錄失敗。不允許登錄到指定計算機的用戶試圖登錄。 534:登錄失敗。用戶試圖使用不允許的密碼類型登錄。 535:登錄失敗。指定帳戶的密碼已過期。 536:登錄失敗。Net Logon 服務沒有啟動。 537:登錄失敗。由於其他原因登錄嘗試失敗。 注意: 在某些情況下,登錄失敗的原因可能是未知的。 538:用戶的注銷過程已完成。 539:登錄失敗。試圖登錄時,該帳戶已鎖定。 540:用戶成功登錄到網絡。 541:本地計算機與列出的對等客戶端身份(已建立安全關聯)之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成,或者快速模式已建立了數據頻道。 542:數據頻道已終止。 543:主要模式已終止。 注意: 如果安全關聯的時間限制(默認為 8 小時)過期、策略更改或對等終止,則會發生此情況。 544:由於對等客戶端沒有提供有效的證書或者簽名無效,造成主要模式身份驗證失敗。 545:由於 Kerberos 失敗或者密碼無效,造成主要模式身份驗證失敗。 546:由於對等客戶端發送的建議無效,造成 IKE 安全關聯建立失敗。接收到的程序包包含無效數據。 547:在 IKE 握手過程中,出現錯誤。 548:登錄失敗。來自信任域的安全標識符 (SID) 與客戶端的帳戶域 SID 不匹配。 549:登錄失敗。在林內進行身份驗證時,所有與不受信任的名稱空間相關的 SID 將被篩選出去。 550:可以用來指示可能的拒絕服務 (DoS) 攻擊的通知消息。 551:用戶已啟動注銷過程。 552:用戶使用明確憑據成功登錄到作為其他用戶已登錄到的計算機。 682:用戶已重新連接至已斷開的終端服務器會話。
683:用戶還未注銷就斷開終端服務器會話。注意:當用戶通過網絡連接到終端服務器會話時,就會生成此事件。該事件出現在終端服務器上。五、對象訪問事件 下面顯示了由`審核對象訪問`安全模板設置所生成的安全事件。 560:訪問權限已授予現有的對象。 562:指向對象的句柄已關閉。 563:試圖打開一個對象並打算將其刪除。 注意: 當在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標記時,此事件可以用於文件系統。 564:受保護對象已刪除。 565:訪問權限已授予現有的對象類型。 567:使用了與句柄關聯的權限。 注意: 創建句柄時,已授予其具體權限,如讀取、寫入等。使用句柄時,最多為每個使用的權限生成一個審核。 568:試圖創建與正在審核的文件的硬鏈接。 569:授權管理器中的資源管理器試圖創建客戶端上下文。 570:客戶端試圖訪問對象。 注意: 在此對象上發生的每個嘗試操作都將生成一個事件。 571:客戶端上下文由授權管理器應用程序刪除。 572:Administrator Manager(管理員管理器)初始化此應用程序。 772:證書管理器已拒絕掛起的證書申請。 773:證書服務已收到重新提交的證書申請。 774:證書服務已吊銷證書。 775:證書服務已收到發行證書吊銷列表 (CRL) 的請求。 776:證書服務已發行 CRL。 777:已制定證書申請擴展。 778:已更改多個證書申請屬性。 779:證書服務已收到關機請求。 780:已開始證書服務備份。 781:已完成證書服務備份。 782:已開始證書服務還原。 783:已完成證書服務還原。 784:證書服務已開始。 785:證書服務已停止。 786:已更改證書服務的安全權限。 787:證書服務已檢索存檔密鑰。 788:證書服務已將證書導入其數據庫中。 789:證書服務審核篩選已更改。 790:證書服務已收到證書申請。 791:證書服務已批准證書申請並已頒發證書。 792:證書服務已拒絕證書申請。 793:證書服務將證書申請狀態設為掛起。 794:證書服務的證書管理器設置已更改。 795:證書服務中的配置項已更改。 796:證書服務的屬性已更改。 797:證書服務已將密鑰存檔。 798:證書服務導入密鑰並將其存檔。 799:證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務。 800:已從證書數據庫刪除一行或多行。 801:角色分離已啟用。 六、審核策略更改事件 下面顯示了由`審核策略更改`安全模板設置所生成的安全事件。 608:已分配用戶權限。 609:用戶權限已刪除。 610:與其他域的信任關系已創建。 611:與其他域的信任關系已刪除。 612:審核策略已更改。 613:Internet 協議安全 (IPSec) 策略代理已啟動。 614:IPSec 策略代理已禁用。 615:IPSec 策略代理已更改。 616:IPSec 策略代理遇到一個可能很嚴重的故障。 617:Kerberos v5 策略已更改。 618:加密數據恢復策略已更改。 620:與其他域的信任關系已修改。 621:已授予帳戶系統訪問權限。 622:已刪除帳戶的系統訪問權限。 623:按用戶設置審核策略。 625:按用戶刷新審核策略。 768:檢測到兩個林的名稱空間元素之間有沖突。 注意: 當兩個林的名稱空間元素重疊時,解析屬於其中一個名稱空間元素的名稱時,將發生歧義。這種重疊也稱為沖突。並非所有的參數對每一項類型都有效。例如,對於類型為 TopLevelName 的項,,有些字段無效,如 DNS 名稱、NetBIOS 名稱和 SID。 769:已添加受信任的林信息。 注意: 當更新林信任信息並且添加了一個或多個項時,將生成此事件消息。為每個添加、刪除或修改的項生成一個事件消息。如果在林信任信息的一個更新中添加、刪除或修改了多個項,則為生成的所有事件消息指派一個唯一標識符,稱為操作 ID。該標識符可以用來確定生成的多個事件消息是一個操作的結果。並非所有的參數對每一項類型都有效。例如,對於類型為 TopLevelName 的項,有些參數是無效的,如 DNS 名稱、NetBIOS 名稱和 SID。 770:已刪除受信任的林信息。 注意: 請參見事件 769 的事件描述。 771:已修改受信任的林信息。 注意: 請參見事件 769 的事件描述。 805:事件日志服務讀取會話的安全日志配置。七、特權使用事件 下面顯示了由`審核特權使用`安全模板設置所生成的安全事件。 576:指定的特權已添加到用戶的訪問令牌中。 注意: 當用戶登錄時生成此事件。 577:用戶試圖執行需要特權的系統服務操作。 578:特權用於已經打開的受保護對象的句柄。 八、詳細的跟蹤事件 下面顯示了由`審核過程跟蹤`安全模板設置所生成的安全事件。 592:已創建新進程。 593:進程已退出。 594:對象句柄已復制。 595:已獲取對象的間接訪問權。 596:數據保護主密鑰已備份。 注意: 主密鑰用於 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統 (EFS)。每次新建主密鑰時都進行備份。(默認設置為 90 天。)通常由域控制器備份主密鑰。 597:數據保護主密鑰已從恢復服務器恢復。 598:審核過的數據已受保護。 599:審核過的數據未受保護。
600:
