专业虚拟主机提供商! 正规合法诚信公司、拥有ICP/ISP双经营许可证
域名空间实时开通立即使用,几分钟即可完成
安全方便的网上支付,超强的域名空间管理程序
我要购买空间,请点这里
我要注册域名,请点这里
我要建设网站,请点这里
我要续费域名,请点这里
我要续费空间,请点这里
我要在线支付,请点这里
首 页 特惠套餐 域名注册 虚拟主机 托管租用 FTP空间 数据库 企业邮局 网站建设 联系我们 付款方式
 | 网站首页 | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 | 
您现在的位置: IDC资讯网 >> 系统安全 >> 正文
最新推荐  更多内容
最新热门  更多内容
  • 没有热点文章
  • Windows 2003安全事件ID分析           ★★★
    Windows 2003安全事件ID分析
    点击数: 更新时间:2009-8-6 21:07:06

       根据下面的ID,可以帮助我们快速识别由Windows Server 2003操作系统生成的安全事件,究竟意味着什么事件出现了。 

      一、帐户登录事件 

      下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 

      672:已成功颁发和验证身份验证服务 (AS) 票证。 

      673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 

      674:安全主体已更新 AS 票证或 TGS 票证。 

      675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。 

      676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 

      677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 

      678:帐户已成功映射到域帐户。 

      681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 

      682:用户已重新连接至已断开的终端服务器会话。 

      683:用户未注销就断开终端服务器会话。 

      二、帐户管理事件 

      下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。 

      624:用户帐户已创建。 

      627:用户密码已更改。 

      628:用户密码已设置。 

      630:用户帐户已删除。 

      631:全局组已创建。 

      632:成员已添加至全局组。 

      633:成员已从全局组删除。 

      634:全局组已删除。 

      635:已新建本地组。 

      636:成员已添加至本地组。 

      637:成员已从本地组删除。 

      638:本地组已删除。 

      639:本地组帐户已更改。 

      641:全局组帐户已更改。 

      642:用户帐户已更改。 

      643:域策略已修改。 

      644:用户帐户被自动锁定。 

      645:计算机帐户已创建。 

      646:计算机帐户已更改。 

      647:计算机帐户已删除。 

      648:禁用安全的本地安全组已创建。 

      注意: 

      从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。 

      649:禁用安全的本地安全组已更改。 

      650:成员已添加至禁用安全的本地安全组。 

      651:成员已从禁用安全的本地安全组删除。 

      652:禁用安全的本地组已删除。 

      653:禁用安全的全局组已创建。 

      654:禁用安全的全局组已更改。 

      655:成员已添加至禁用安全的全局组。 

      656:成员已从禁用安全的全局组删除。 

      657:禁用安全的全局组已删除。 

      658:启用安全的通用组已创建。 

      659:启用安全的通用组已更改。 

      660:成员已添加至启用安全的通用组。 

      661:成员已从启用安全的通用组删除。 

      662:启用安全的通用组已删除。 

      663:禁用安全的通用组已创建。 

      664:禁用安全的通用组已更改。 

      665:成员已添加至禁用安全的通用组。 

      666:成员已从禁用安全的通用组删除。 

      667:禁用安全的通用组已删除。 

      668:组类型已更改。 

      684:管理组成员的安全描述符已设置。 

      注意: 

      在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。 

      685:帐户名称已更改。 

      三、目录服务访问事件 

      下面显示了由`审核目录服务访问`安全模板设置所生成的安全事件。 

      566:发生了一般对象操作。 

      四、登录事件ID 

      528:用户成功登录到计算机。 

      529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 

      530:登录失败。试图在允许的时间外登录。 

      531:登录失败。试图使用禁用的帐户登录。 

      532:登录失败。试图使用已过期的帐户登录。 

      533:登录失败。不允许登录到指定计算机的用户试图登录。 

      534:登录失败。用户试图使用不允许的密码类型登录。 

      535:登录失败。指定帐户的密码已过期。 

      536:登录失败。Net Logon 服务没有启动。 

      537:登录失败。由于其他原因登录尝试失败。 

      注意: 

      在某些情况下,登录失败的原因可能是未知的。 

      538:用户的注销过程已完成。 

      539:登录失败。试图登录时,该帐户已锁定。 

      540:用户成功登录到网络。 

      541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 

      542:数据频道已终止。 

      543:主要模式已终止。 

      注意: 

      如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。 

      544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 

      545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 

      546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 

      547:在 IKE 握手过程中,出现错误。 

      548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 

      549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 

      550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 

      551:用户已启动注销过程。 

      552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 

      682:用户已重新连接至已断开的终端服务器会话。 

      683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 

      五、对象访问事件 

      下面显示了由`审核对象访问`安全模板设置所生成的安全事件。 

      560:访问权限已授予现有的对象。 

      562:指向对象的句柄已关闭。 

      563:试图打开一个对象并打算将其删除。 

      注意: 

      当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。 

      564:受保护对象已删除。 

      565:访问权限已授予现有的对象类型。 

      567:使用了与句柄关联的权限。 

      注意: 

      创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。 

      568:试图创建与正在审核的文件的硬链接。 

      569:授权管理器中的资源管理器试图创建客户端上下文。 

      570:客户端试图访问对象。 

      注意: 

      在此对象上发生的每个尝试操作都将生成一个事件。 

      571:客户端上下文由授权管理器应用程序删除。 

      572:Administrator Manager(管理员管理器)初始化此应用程序。 

      772:证书管理器已拒绝挂起的证书申请。 

      773:证书服务已收到重新提交的证书申请。 

      774:证书服务已吊销证书。 

      775:证书服务已收到发行证书吊销列表 (CRL) 的请求。 

      776:证书服务已发行 CRL。 

      777:已制定证书申请扩展。 

      778:已更改多个证书申请属性。 

      779:证书服务已收到关机请求。 

      780:已开始证书服务备份。 

      781:已完成证书服务备份。 

      782:已开始证书服务还原。 

      783:已完成证书服务还原。 

      784:证书服务已开始。 

      785:证书服务已停止。 

      786:已更改证书服务的安全权限。 

      787:证书服务已检索存档密钥。 

      788:证书服务已将证书导入其数据库中。 

      789:证书服务审核筛选已更改。 

      790:证书服务已收到证书申请。 

      791:证书服务已批准证书申请并已颁发证书。 

      792:证书服务已拒绝证书申请。 

      793:证书服务将证书申请状态设为挂起。 

      794:证书服务的证书管理器设置已更改。 

      795:证书服务中的配置项已更改。 

      796:证书服务的属性已更改。 

      797:证书服务已将密钥存档。 

      798:证书服务导入密钥并将其存档。 

      799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。 

      800:已从证书数据库删除一行或多行。 

      801:角色分离已启用。 

      六、审核策略更改事件 

      下面显示了由`审核策略更改`安全模板设置所生成的安全事件。 

      608:已分配用户权限。 

      609:用户权限已删除。 

      610:与其他域的信任关系已创建。 

      611:与其他域的信任关系已删除。 

      612:审核策略已更改。 

      613:Internet 协议安全 (IPSec) 策略代理已启动。 

      614:IPSec 策略代理已禁用。 

      615:IPSec 策略代理已更改。 

      616:IPSec 策略代理遇到一个可能很严重的故障。 

      617:Kerberos v5 策略已更改。 

      618:加密数据恢复策略已更改。 

      620:与其他域的信任关系已修改。 

      621:已授予帐户系统访问权限。 

      622:已删除帐户的系统访问权限。 

      623:按用户设置审核策略。 

      625:按用户刷新审核策略。 

      768:检测到两个林的名称空间元素之间有冲突。 

      注意: 

      当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。 

      769:已添加受信任的林信息。 

      注意: 

      当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。 

      770:已删除受信任的林信息。 

      注意: 

      请参见事件 769 的事件描述。 

      771:已修改受信任的林信息。 

      注意: 

      请参见事件 769 的事件描述。 

      805:事件日志服务读取会话的安全日志配置。 

      七、特权使用事件 

      下面显示了由`审核特权使用`安全模板设置所生成的安全事件。 

      576:指定的特权已添加到用户的访问令牌中。 

      注意: 

      当用户登录时生成此事件。 

      577:用户试图执行需要特权的系统服务操作。 

      578:特权用于已经打开的受保护对象的句柄。 

      八、详细的跟踪事件 

      下面显示了由`审核过程跟踪`安全模板设置所生成的安全事件。 

      592:已创建新进程。 

      593:进程已退出。 

      594:对象句柄已复制。 

      595:已获取对象的间接访问权。 

      596:数据保护主密钥已备份。 

      注意: 

      主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。 

      597:数据保护主密钥已从恢复服务器恢复。 

      598:审核过的数据已受保护。 

      599:审核过的数据未受保护。 

      600:已分配给进程主令牌。 

      601:用户试图安装服务。 

      602:已创建计划程序任务。 

      九、审核系统事件 

      下面显示了由`审核系统事件`安全模板设置所生成的系统事件。 

      512:Windows 正在启动。 

      513:Windows 正在关机。 

      514:本地安全机制机构已加载身份验证数据包。 

      515:受信任的登录过程已经在本地安全机构注册。 

      516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。 

      517:审核日志已清除。 

      518:安全帐户管理器已加载通知数据包。 

      519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。 

      520:系统时间已更改。 

      注意: 

      在正常情况下,该审核出现两次。


    以上内容均来自网络,由 稳速网络 搜集整理,如有侵权请联系我们立即删除,如转载请注明原文出处,并保留以下内容。
        [稳速网络] http://www.765.com.cnhttp://www.wsu.cn 是深圳市稳速网络科技有限公司的网络服务品牌,专业经营域名注册虚拟主机网站建设服务器租用托管等业务。经过多年的高速发展,“稳速网络”已经成为我国一家知名的互联网服务提供商。
    文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    资讯中心首页
    | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 |
    关于我们 | 联系我们 | 产品价格 | 代理加盟 | 咨询反馈 | 诚聘英才 | 在线对话系统 | ASP技术网 | 帮助中心 | 网站地图
    ICP/ISP证B2-20050322
    ICP/ISP经营许可证编号:粤ICP证B2-20050322 网站备案号:粤B2-20050322号
    客服热线:0755-26499456 0755-26499435 [共8线] 24小时值班:0755-21852765 [更多]
    客服QQ:
    [ 63103 ]
    [ 959260 ]
    代理咨询:
    [ 519065 ]
    [更多]
    客户服务中心:深圳市南山区桃园路前海金岸金丰阁706  邮编:518052
    本站推广词:动态空间 | 网站空间 | 虚拟主机 | 深圳网站建设 | 空间购买 | 域名空间 | ASP空间申请购买
    服务范围:广州·深圳·东莞·珠海·汕头·惠州·中山·佛山·上海·重庆等全国其它地区
    广东省深圳市稳速网络科技有限公司版权所有 严禁以任何形式进行复制、抄袭