电脑技术学习

Windows Server 2003安全事件ID分析

dn001

六、审核策略更改事件

  下面显示了由"审核策略更改"安全模板设置所生成的安全事件。

  608:已分配用户权限。

  609:用户权限已删除。

  610:与其他域的信任关系已创建。

  611:与其他域的信任关系已删除。

  612:审核策略已更改。

  613:Internet 协议安全 (IPSec) 策略代理已启动。

  614:IPSec 策略代理已禁用。

  615:IPSec 策略代理已更改。

  616:IPSec 策略代理遇到一个可能很严重的故障。

  617:Kerberos v5 策略已更改。

  618:加密数据恢复策略已更改。

  620:与其他域的信任关系已修改。

  621:已授予帐户系统访问权限。

  622:已删除帐户的系统访问权限。

  623:按用户设置审核策略。

  625:按用户刷新审核策略。

  768:检测到两个林的名称空间元素之间有冲突。

  注意:

  当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。

  769:已添加受信任的林信息。

  注意:

  当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。

  770:已删除受信任的林信息。

  注意:

  请参见事件 769 的事件描述。

  771:已修改受信任的林信息。

  注意:

  请参见事件 769 的事件描述。

  805:事件日志服务读取会话的安全日志配置。

  七、特权使用事件

  下面显示了由"审核特权使用"安全模板设置所生成的安全事件。

  576:指定的特权已添加到用户的访问令牌中。

  注意:

  当用户登录时生成此事件。

  577:用户试图执行需要特权的系统服务操作。

  578:特权用于已经打开的受保护对象的句柄。

  八、详细的跟踪事件

  下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。

  592:已创建新进程。

  593:进程已退出。

  594:对象句柄已复制。

  595:已获取对象的间接访问权。

  596:数据保护主密钥已备份。

  注意:

  主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

  597:数据保护主密钥已从恢复服务器恢复。

  598:审核过的数据已受保护。

  599:审核过的数据未受保护。

  600:已分配给进程主令牌。

  601:用户试图安装服务。

  602:已创建计划程序任务。

  九、审核系统事件

  下面显示了由"审核系统事件"安全模板设置所生成的系统事件。

  512:Windows 正在启动。

  513:Windows 正在关机。

  514:本地安全机制机构已加载身份验证数据包。

  515:受信任的登录过程已经在本地安全机构注册。

  516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

  517:审核日志已清除。

  518:安全帐户管理器已加载通知数据包。

  519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。

  520:系统时间已更改。

  注意:

  在正常情况下,该审核出现两次。

标签: