电脑技术学习

Windows Server 2003安全事件ID分析

dn001

  根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

  一、帐户登录事件

  下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

  672:已成功颁发和验证身份验证服务 (AS) 票证。

  673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

  674:安全主体已更新 AS 票证或 TGS 票证。

  675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

  676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  678:帐户已成功映射到域帐户。

  681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  682:用户已重新连接至已断开的终端服务器会话。

  683:用户未注销就断开终端服务器会话。

  二、帐户管理事件

  下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

  624:用户帐户已创建。

  627:用户密码已更改。

  628:用户密码已设置。

  630:用户帐户已删除。

  631:全局组已创建。

  632:成员已添加至全局组。

  633:成员已从全局组删除。

  634:全局组已删除。

  635:已新建本地组。

  636:成员已添加至本地组。

  637:成员已从本地组删除。

  638:本地组已删除。

  639:本地组帐户已更改。

  641:全局组帐户已更改。

  642:用户帐户已更改。

  643:域策略已修改。

  644:用户帐户被自动锁定。

  645:计算机帐户已创建。

  646:计算机帐户已更改。

  647:计算机帐户已删除。

  648:禁用安全的本地安全组已创建。

  注意:

  从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

  649:禁用安全的本地安全组已更改。

  650:成员已添加至禁用安全的本地安全组。

  651:成员已从禁用安全的本地安全组删除。

  652:禁用安全的本地组已删除。

  653:禁用安全的全局组已创建。

  654:禁用安全的全局组已更改。

  655:成员已添加至禁用安全的全局组。

  656:成员已从禁用安全的全局组删除。

  657:禁用安全的全局组已删除。

  658:启用安全的通用组已创建。

  659:启用安全的通用组已更改。

  660:成员已添加至启用安全的通用组。

  661:成员已从启用安全的通用组删除。

  662:启用安全的通用组已删除。

  663:禁用安全的通用组已创建。

  664:禁用安全的通用组已更改。

  665:成员已添加至禁用安全的通用组。

  666:成员已从禁用安全的通用组删除。

  667:禁用安全的通用组已删除。

  668:组类型已更改。

  684:管理组成员的安全描述符已设置。

  注意:

  在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

  685:帐户名称已更改。

标签: