[轉載]Win2003“安全事件ID”分析

根據下面的ID，可以幫助我們快速識别由Windows Server 2003作業系統生成的安全事件，究竟意味着什麼事件出現了。

　　一、帳戶登入事件

　　下面顯示了由“稽核帳戶登入事件”安全模闆設定所生成的安全事件。

　　672：已成功頒發和驗證身份驗證服務 (AS) 票證。

　　673：授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證，允許使用者對域中的特定服務進行身份驗證。

　　674：安全主體已更新 AS 票證或 TGS 票證。

　　675：預身份驗證失敗。使用者鍵入錯誤的密碼時，密鑰發行中心 (KDC) 生成此事件。

　　676：身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

　　677：TGS 票證未被授權。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

　　678：帳戶已成功映射到域帳戶。

　　681：登入失敗。嘗試進行域帳戶登入。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

　　682：使用者已重新連接配接至已斷開的終端伺服器會話。

　　683：使用者未登出就斷開終端伺服器會話。

　　二、帳戶管理事件

　　下面顯示了由“稽核帳戶管理”安全模闆設定所生成的安全事件。

　　624：使用者帳戶已建立。

　　627：使用者密碼已更改。

　　628：使用者密碼已設定。

　　630：使用者帳戶已删除。

　　631：全局組已建立。

　　632：成員已添加至全局組。

　　633：成員已從全局組删除。

　　634：全局組已删除。

　　635：已建立本地組。

　　636：成員已添加至本地組。

　　637：成員已從本地組删除。

　　638：本地組已删除。

　　639：本地組帳戶已更改。

　　641：全局組帳戶已更改。

　　642：使用者帳戶已更改。

　　643：域政策已修改。

　　644：使用者帳戶被自動鎖定。

　　645：計算機帳戶已建立。

　　646：計算機帳戶已更改。

　　647：計算機帳戶已删除。

　　648：禁用安全的本地安全組已建立。

　　注意：

　　從正式名稱上講，SECURITY_DISABLED 意味着該組不能用來授權通路檢查。

　　649：禁用安全的本地安全組已更改。

　　650：成員已添加至禁用安全的本地安全組。

　　651：成員已從禁用安全的本地安全組删除。

　　652：禁用安全的本地組已删除。

　　653：禁用安全的全局組已建立。

　　654：禁用安全的全局組已更改。

　　655：成員已添加至禁用安全的全局組。

　　656：成員已從禁用安全的全局組删除。

　　657：禁用安全的全局組已删除。

　　658：啟用安全的通用組已建立。

　　659：啟用安全的通用組已更改。

　　660：成員已添加至啟用安全的通用組。

　　661：成員已從啟用安全的通用組删除。

　　662：啟用安全的通用組已删除。

　　663：禁用安全的通用組已建立。

　　664：禁用安全的通用組已更改。

　　665：成員已添加至禁用安全的通用組。

　　666：成員已從禁用安全的通用組删除。

　　667：禁用安全的通用組已删除。

　　668：組類型已更改。

　　684：管理組成員的安全描述符已設定。

　　在域控制器上，每隔 60 分鐘，背景線程就會搜尋管理組的所有成員（如域、企業和架構管理者），并對其應用一個固定的安全描述符。該事件已記錄。

　　685：帳戶名稱已更改。

　　三、目錄服務通路事件

　　下面顯示了由`稽核目錄服務通路`安全模闆設定所生成的安全事件。

　　566：發生了一般對象操作。

　　四、登入事件ID

　　528：使用者成功登入到計算機。

　　529：登入失敗。試圖使用未知的使用者名或已知使用者名但錯誤密碼進行登入。

　　530：登入失敗。試圖在允許的時間外登入。

　　531：登入失敗。試圖使用禁用的帳戶登入。

　　532：登入失敗。試圖使用已過期的帳戶登入。

　　533：登入失敗。不允許登入到指定計算機的使用者試圖登入。

　　534：登入失敗。使用者試圖使用不允許的密碼類型登入。

　　535：登入失敗。指定帳戶的密碼已過期。

　　536：登入失敗。Net Logon 服務沒有啟動。

　　537：登入失敗。由于其他原因登入嘗試失敗。

　　在某些情況下，登入失敗的原因可能是未知的。

　　538：使用者的登出過程已完成。

　　539：登入失敗。試圖登入時，該帳戶已鎖定。

　　540：使用者成功登入到網絡。

　　541：本地計算機與列出的對等用戶端身份（已建立安全關聯）之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成，或者快速模式已建立了資料頻道。

　　542：資料頻道已終止。

　　543：主要模式已終止。

　　如果安全關聯的時間限制（預設為 8 小時）過期、政策更改或對等終止，則會發生此情況。

　　544：由于對等用戶端沒有提供有效的證書或者簽名無效，造成主要模式身份驗證失敗。

　　545：由于 Kerberos 失敗或者密碼無效，造成主要模式身份驗證失敗。

　　546：由于對等用戶端發送的建議無效，造成 IKE 安全關聯建立失敗。接收到的程式包包含無效資料。

　　547：在 IKE 握手過程中，出現錯誤。

　　548：登入失敗。來自信任域的安全辨別符 (SID) 與用戶端的帳戶域 SID 不比對。

　　549：登入失敗。在林内進行身份驗證時，所有與不受信任的名稱空間相關的 SID 将被篩選出去。

　　550：可以用來訓示可能的拒絕服務 (DoS) 攻擊的通知消息。

　　551：使用者已啟動登出過程。

　　552：使用者使用明确憑據成功登入到作為其他使用者已登入到的計算機。

　　683：使用者還未登出就斷開終端伺服器會話。注意：當使用者通過網絡連接配接到終端伺服器會話時，就會生成此事件。該事件出現在終端伺服器上。

　　五、對象通路事件

　　下面顯示了由`稽核對象通路`安全模闆設定所生成的安全事件。

　　560：通路權限已授予現有的對象。

　　562：指向對象的句柄已關閉。

　　563：試圖打開一個對象并打算将其删除。

　　當在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标記時，此事件可以用于檔案系統。

　　564：受保護對象已删除。

　　565：通路權限已授予現有的對象類型。

　　567：使用了與句柄關聯的權限。

　　建立句柄時，已授予其具體權限，如讀取、寫入等。使用句柄時，最多為每個使用的權限生成一個稽核。

　　568：試圖建立與正在稽核的檔案的硬連結。

　　569：授權管理器中的資料總管試圖建立用戶端上下文。

　　570：用戶端試圖通路對象。

　　在此對象上發生的每個嘗試操作都将生成一個事件。

　　571：用戶端上下文由授權管理器應用程式删除。

　　572：Administrator Manager（管理者管理器）初始化此應用程式。

　　772：證書管理器已拒絕挂起的證書申請。

　　773：證書服務已收到重新送出的證書申請。

　　774：證書服務已吊銷證書。

　　775：證書服務已收到發行證書吊銷清單 (CRL) 的請求。

　　776：證書服務已發行 CRL。

　　777：已制定證書申請擴充。

　　778：已更改多個證書申請屬性。

　　779：證書服務已收到關機請求。

　　780：已開始證書服務備份。

　　781：已完成證書服務備份。

　　782：已開始證書服務還原。

　　783：已完成證書服務還原。

　　784：證書服務已開始。

　　785：證書服務已停止。

　　786：已更改證書服務的安全權限。

　　787：證書服務已檢索存檔密鑰。

　　788：證書服務已将證書導入其資料庫中。

　　789：證書服務稽核篩選已更改。

　　790：證書服務已收到證書申請。

　　791：證書服務已準許證書申請并已頒發證書。

　　792：證書服務已拒絕證書申請。

　　793：證書服務将證書申請狀态設為挂起。

　　794：證書服務的證書管理器設定已更改。

　　795：證書服務中的配置項已更改。

　　796：證書服務的屬性已更改。

　　797：證書服務已将密鑰存檔。

　　798：證書服務導入密鑰并将其存檔。

　　799：證書服務已将證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務。

　　800：已從證書資料庫删除一行或多行。

　　801：角色分離已啟用。

　　六、稽核政策更改事件

　　下面顯示了由`稽核政策更改`安全模闆設定所生成的安全事件。

　　608：已配置設定使用者權限。

　　609：使用者權限已删除。

　　610：與其他域的信任關系已建立。

　　611：與其他域的信任關系已删除。

　　612：稽核政策已更改。

　　613：Internet 協定安全 (IPSec) 政策代理已啟動。

　　614：IPSec 政策代理已禁用。

　　615：IPSec 政策代理已更改。

　　616：IPSec 政策代理遇到一個可能很嚴重的故障。

　　617：Kerberos v5 政策已更改。

　　618：加密資料恢複政策已更改。

　　620：與其他域的信任關系已修改。

　　621：已授予帳戶系統通路權限。

　　622：已删除帳戶的系統通路權限。

　　623：按使用者設定稽核政策。

　　625：按使用者重新整理稽核政策。

　　768：檢測到兩個林的名稱空間元素之間有沖突。

　　當兩個林的名稱空間元素重疊時，解析屬于其中一個名稱空間元素的名稱時，将發生歧義。這種重疊也稱為沖突。并非所有的參數對每一項類型都有效。例如，對于類型為 TopLevelName 的項，有些字段無效，如 DNS 名稱、NetBIOS 名稱和 SID。

　　769：已添加受信任的林資訊。

　　當更新林信任資訊并且添加了一個或多個項時，将生成此事件消息。為每個添加、删除或修改的項生成一個事件消息。如果在林信任資訊的一個更新中添加、删除或修改了多個項，則為生成的所有事件消息指派一個唯一辨別符，稱為操作 ID。該辨別符可以用來确定生成的多個事件消息是一個操作的結果。并非所有的參數對每一項類型都有效。例如，對于類型為 TopLevelName 的項，有些參數是無效的，如 DNS 名稱、NetBIOS 名稱和 SID。

　　770：已删除受信任的林資訊。

　　請參見事件 769 的事件描述。

　　771：已修改受信任的林資訊。

　　805：事件日志服務讀取會話的安全日志配置。

　　七、特權使用事件

　　下面顯示了由`稽核特權使用`安全模闆設定所生成的安全事件。

　　576：指定的特權已添加到使用者的通路令牌中。

　　當使用者登入時生成此事件。

　　577：使用者試圖執行需要特權的系統服務操作。

　　578：特權用于已經打開的受保護對象的句柄。

　　八、詳細的跟蹤事件

　　下面顯示了由`稽核過程跟蹤`安全模闆設定所生成的安全事件。

　　592：已建立新程序。

　　593：程序已退出。

　　594：對象句柄已複制。

　　595：已擷取對象的間接通路權。

　　596：資料保護主密鑰已備份。

　　主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密檔案系統 (EFS)。每次建立主密鑰時都進行備份。（預設設定為 90 天。）通常由域控制器備份主密鑰。

　　597：資料保護主密鑰已從恢複伺服器恢複。

　　598：稽核過的資料已受保護。

　　599：稽核過的資料未受保護。

　　600：已配置設定給程序主令牌。

　　601：使用者試圖安裝服務。

　　602：已建立計劃程式任務。

　　九、稽核系統事件

　　下面顯示了由`稽核系統事件`安全模闆設定所生成的系統事件。

　　512：Windows 正在啟動。

　　513：Windows 正在關機。

　　514：本地安全機制機構已加載身份驗證資料包。

　　515：受信任的登入過程已經在本地安全機構注冊。

　　516：用來列隊稽核消息的内部資源已經用完，進而導緻部分稽核資料丢失。

　　517：稽核日志已清除。

　　518：安全性帳戶管理員已加載通知資料包。

　　519：程序正在使用無效的本地過程調用 (LPC) 端口，試圖僞裝用戶端并向用戶端位址空間答複、讀取或寫入。

　　520：系統時間已更改。

　　在正常情況下，該稽核出現兩次。