Windows Server 2003安全事件ID分析

Windows Server 2003安全事件ID分析

這些都是很老的東西了。只是最近服務器遇到了一些問題，用戶老是自動鎖定。打開“安全策略的審覈記錄”發現有許多***來自一臺電腦。解決問題後。發現有些事件ID還是有幫助的。所以就記錄下來了。

根據下面的ID，可以幫助我們快速識別由 Microsoft Windows Server 2003 操作系統生成的安全事件，究竟意味着什麼事件出現了。

一、帳戶登錄事件

下面顯示了由“審覈帳戶登錄事件”安全模板設置所生成的安全事件。

672：已成功頒發和驗證身份驗證服務 (AS) 票證。
673：授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證，允許用戶對域中的特定服務進行身份驗證。

674：安全主體已更新 AS 票證或 TGS 票證。
675：預身份驗證失敗。用戶鍵入錯誤的密碼時，密鑰發行中心 (KDC) 生成此事件。

676：身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
677：TGS 票證未被授權。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

678：帳戶已成功映射到域帳戶。
681：登錄失敗。嘗試進行域帳戶登錄。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

682：用戶已重新連接至已斷開的終端服務器會話。
683：用戶未註銷就斷開終端服務器會話。

二、帳戶管理事件

下面顯示了由“審覈帳戶管理”安全模板設置所生成的安全事件。

624：用戶帳戶已創建。
627：用戶密碼已更改。

628：用戶密碼已設置。
630：用戶帳戶已刪除。

631：全局組已創建。
632：成員已添加至全局組。

633：成員已從全局組刪除。
634：全局組已刪除。

635：已新建本地組。
636：成員已添加至本地組。

637：成員已從本地組刪除。
638：本地組已刪除。

639：本地組帳戶已更改。
641：全局組帳戶已更改。

642：用戶帳戶已更改。
643：域策略已修改。

644：用戶帳戶被自動鎖定。
645：計算機帳戶已創建。

646：計算機帳戶已更改。
647：計算機帳戶已刪除。

648：禁用安全的本地安全組已創建。
注意：
    從正式名稱上講，SECURITY_DISABLED 意味着該組不能用來授權訪問檢查。

649：禁用安全的本地安全組已更改。
650：成員已添加至禁用安全的本地安全組。

651：成員已從禁用安全的本地安全組刪除。
652：禁用安全的本地組已刪除。

653：禁用安全的全局組已創建。
654：禁用安全的全局組已更改。

655：成員已添加至禁用安全的全局組。
656：成員已從禁用安全的全局組刪除。

657：禁用安全的全局組已刪除。
658：啓用安全的通用組已創建。

659：啓用安全的通用組已更改。
660：成員已添加至啓用安全的通用組。

661：成員已從啓用安全的通用組刪除。
662：啓用安全的通用組已刪除。

663：禁用安全的通用組已創建。
664：禁用安全的通用組已更改。

665：成員已添加至禁用安全的通用組。
666：成員已從禁用安全的通用組刪除。

667：禁用安全的通用組已刪除。
668：組類型已更改。

684：管理組成員的安全描述符已設置。
注意：
    在域控制器上，每隔 60 分鐘，後臺線程就會搜索管理組的所有成員（如域、企業和架構管理員），並對其應用一個固定的安全描述符。該事件已記錄。

685：帳戶名稱已更改。

三、目錄服務訪問事件

下面顯示了由"審覈目錄服務訪問"安全模板設置所生成的安全事件。
566：發生了一般對象操作。

四、登錄事件ID

528：用戶成功登錄到計算機。
529：登錄失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄。

530：登錄失敗。試圖在允許的時間外登錄。
531：登錄失敗。試圖使用禁用的帳戶登錄。

532：登錄失敗。試圖使用已過期的帳戶登錄。
533：登錄失敗。不允許登錄到指定計算機的用戶試圖登錄。

534：登錄失敗。用戶試圖使用不允許的密碼類型登錄。
535：登錄失敗。指定帳戶的密碼已過期。

536：登錄失敗。Net Logon 服務沒有啓動。
537：登錄失敗。由於其他原因登錄嘗試失敗。
注意：
在某些情況下，登錄失敗的原因可能是未知的。

538：用戶的註銷過程已完成。
539：登錄失敗。試圖登錄時，該帳戶已鎖定。

540：用戶成功登錄到網絡。
541：本地計算機與列出的對等客戶端身份（已建立安全關聯）之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成，或者快速模式已建立了數據頻道。

542：數據頻道已終止。
543：主要模式已終止。
注意：
    如果安全關聯的時間限制（默認爲 8 小時）過期、策略更改或對等終止，則會發生此情況。

544：由於對等客戶端沒有提供有效的證書或者簽名無效，造成主要模式身份驗證失敗。
545：由於 Kerberos 失敗或者密碼無效，造成主要模式身份驗證失敗。

546：由於對等客戶端發送的建議無效，造成 IKE 安全關聯建立失敗。接收到的程序包包含無效數據。
547：在 IKE 握手過程中，出現錯誤。

548：登錄失敗。來自信任域的安全標識符 (SID) 與客戶端的帳戶域 SID 不匹配。
549：登錄失敗。在林內進行身份驗證時，所有與不受信任的名稱空間相關的 SID 將被篩選出去。

550：可以用來指示可能的拒絕服務 (DoS) ***的通知消息。
551：用戶已啓動註銷過程。

552：用戶使用明確憑據成功登錄到作爲其他用戶已登錄到的計算機。
682：用戶已重新連接至已斷開的終端服務器會話。
683：用戶還未註銷就斷開終端服務器會話。注意：當用戶通過網絡連接到終端服務器會話時，就會生成此事件。該事件出現在終端服務器上。

五、對象訪問事件

下面顯示了由"審覈對象訪問"安全模板設置所生成的安全事件。
560：訪問權限已授予現有的對象。
562：指向對象的句柄已關閉。

563：試圖打開一個對象並打算將其刪除。
注意：
    當在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標記時，此事件可以用於文件系統。

564：受保護對象已刪除。
565：訪問權限已授予現有的對象類型。

567：使用了與句柄關聯的權限。
注意：
    創建句柄時，已授予其具體權限，如讀取、寫入等。使用句柄時，最多爲每個使用的權限生成一個審覈。
568：試圖創建與正在審覈的文件的硬鏈接。

569：授權管理器中的資源管理器試圖創建客戶端上下文。
570：客戶端試圖訪問對象。
注意：
    在此對象上發生的每個嘗試操作都將生成一個事件。

571：客戶端上下文由授權管理器應用程序刪除。
572：Administrator Manager（管理員管理器）初始化此應用程序。

772：證書管理器已拒絕掛起的證書申請。
773：證書服務已收到重新提交的證書申請。

774：證書服務已吊銷證書。
775：證書服務已收到發行證書吊銷列表 (CRL) 的請求。

776：證書服務已發行 CRL。
777：已制定證書申請擴展。

778：已更改多個證書申請屬性。
779：證書服務已收到關機請求。

780：已開始證書服務備份。
781：已完成證書服務備份。

782：已開始證書服務還原。
783：已完成證書服務還原。

784：證書服務已開始。
785：證書服務已停止。

786：已更改證書服務的安全權限。
787：證書服務已檢索存檔密鑰。

788：證書服務已將證書導入其數據庫中。
789：證書服務審覈篩選已更改。

790：證書服務已收到證書申請。
791：證書服務已批准證書申請並已頒發證書。

792：證書服務已拒絕證書申請。
793：證書服務將證書申請狀態設爲掛起。

794：證書服務的證書管理器設置已更改。
795：證書服務中的配置項已更改。

796：證書服務的屬性已更改。
797：證書服務已將密鑰存檔。

798：證書服務導入密鑰並將其存檔。
799：證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務。

800：已從證書數據庫刪除一行或多行。
801：角色分離已啓用。

六、審覈策略更改事件

下面顯示了由"審覈策略更改"安全模板設置所生成的安全事件。
608：已分配用戶權限。
609：用戶權限已刪除。

610：與其他域的信任關係已創建。
611：與其他域的信任關係已刪除。

612：審覈策略已更改。
613：Internet 協議安全 (IPSec) 策略代理已啓動。

614：IPSec 策略代理已禁用。
615：IPSec 策略代理已更改。

616：IPSec 策略代理遇到一個可能很嚴重的故障。
617：Kerberos v5 策略已更改。

618：加密數據恢復策略已更改。
620：與其他域的信任關係已修改。

621：已授予帳戶系統訪問權限。
622：已刪除帳戶的系統訪問權限。

623：按用戶設置審覈策略。
625：按用戶刷新審覈策略。

768：檢測到兩個林的名稱空間元素之間有衝突。
注意：
    當兩個林的名稱空間元素重疊時，解析屬於其中一個名稱空間元素的名稱時，將發生歧義。這種重疊也稱爲衝突。並非所有的參數對每一項類型都有效。例如，對於類型爲 TopLevelName 的項，有些字段無效，如 DNS 名稱、NetBIOS 名稱和 SID。

769：已添加受信任的林信息。
注意：
    當更新林信任信息並且添加了一個或多個項時，將生成此事件消息。爲每個添加、刪除或修改的項生成一個事件消息。如果在林信任信息的一個更新中添加、刪除或修改了多個項，則爲生成的所有事件消息指派一個唯一標識符，稱爲操作 ID。該標識符可以用來確定生成的多個事件消息是一個操作的結果。並非所有的參數對每一項類型都有效。例如，對於類型爲 TopLevelName 的項，有些參數是無效的，如 DNS 名稱、NetBIOS 名稱和 SID。

770：已刪除受信任的林信息。
注意：
    請參見事件 769 的事件描述。

771：已修改受信任的林信息。
注意：
   請參見事件 769 的事件描述。
805：事件日誌服務讀取會話的安全日誌配置。

七、特權使用事件

下面顯示了由"審覈特權使用"安全模板設置所生成的安全事件。
576：指定的特權已添加到用戶的訪問令牌中。
注意：
    當用戶登錄時生成此事件。

577：用戶試圖執行需要特權的系統服務操作。
578：特權用於已經打開的受保護對象的句柄。

八、詳細的跟蹤事件

下面顯示了由"審覈過程跟蹤"安全模板設置所生成的安全事件。
592：已創建新進程。
593：進程已退出。

594：對象句柄已複製。
595：已獲取對象的間接訪問權。

596：數據保護主密鑰已備份。
注意：
    主密鑰用於 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統 (EFS)。每次新建主密鑰時都進行備份。（默認設置爲 90 天。）通常由域控制器備份主密鑰。

597：數據保護主密鑰已從恢復服務器恢復。
598：審覈過的數據已受保護。

599：審覈過的數據未受保護。
600：已分配給進程主令牌。

601：用戶試圖安裝服務。
602：已創建計劃程序任務。

九、審覈系統事件

下面顯示了由"審覈系統事件"安全模板設置所生成的系統事件。
512：Windows 正在啓動。
513：Windows 正在關機。

514：本地安全機制機構已加載身份驗證數據包。
515：受信任的登錄過程已經在本地安全機構註冊。

516：用來列隊審覈消息的內部資源已經用完，從而導致部分審覈數據丟失。
517：審覈日誌已清除。

518：安全帳戶管理器已加載通知數據包。
519：進程正在使用無效的本地過程調用 (LPC) 端口，試圖僞裝客戶端並向客戶端地址空間答覆、讀取或寫入。

520：系統時間已更改。
注意：
    在正常情況下，該審覈出現兩次。