WindowsServer2003安全事件ID分析(下)

571：客户端上下文由授权管理器应用程序删除。 
572：Administrator Manager（管理员管理器）初始化此应用程序。 
772：证书管理器已拒绝挂起的证书申请。 
773：证书服务已收到重新提交的证书申请。 
774：证书服务已吊销证书。 
775：证书服务已收到发行证书吊销列表 (CRL) 的请求。 
776：证书服务已发行 CRL。 
777：已制定证书申请扩展。 
778：已更改多个证书申请属性。 
779：证书服务已收到关机请求。 
780：已开始证书服务备份。 
781：已完成证书服务备份。 
782：已开始证书服务还原。 
783：已完成证书服务还原。 
784：证书服务已开始。 
785：证书服务已停止。 
786：已更改证书服务的安全权限。 
787：证书服务已检索存档密钥。 
788：证书服务已将证书导入其数据库中。 
789：证书服务审核筛选已更改。 
790：证书服务已收到证书申请。 
791：证书服务已批准证书申请并已颁发证书。 
792：证书服务已拒绝证书申请。 
793：证书服务将证书申请状态设为挂起。 
794：证书服务的证书管理器设置已更改。 
795：证书服务中的配置项已更改。 
796：证书服务的属性已更改。 
797：证书服务已将密钥存档。 
798：证书服务导入密钥并将其存档。 
799：证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。 
800：已从证书数据库删除一行或多行。 
801：角色分离已启用。 
六、审核策略更改事件 
下面显示了由"审核策略更改"安全模板设置所生成的安全事件。 
608：已分配用户权限。 
609：用户权限已删除。 
610：与其他域的信任关系已创建。 
611：与其他域的信任关系已删除。 
612：审核策略已更改。 
613：Internet 协议安全 (IPSec) 策略代理已启动。 
614：IPSec 策略代理已禁用。 
615：IPSec 策略代理已更改。 
616：IPSec 策略代理遇到一个可能很严重的故障。 
617：Kerberos v5 策略已更改。 
618：加密数据恢复策略已更改。 
620：与其他域的信任关系已修改。 
621：已授予帐户系统访问权限。 
622：已删除帐户的系统访问权限。 
623：按用户设置审核策略。 
625：按用户刷新审核策略。 
768：检测到两个林的名称空间元素之间有冲突。 
注意： 
当两个林的名称空间元素重叠时，解析属于其中一个名称空间元素的名称时，将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如，对于类型为 TopLevelName 的项，有些字段无效，如 DNS 名称、NetBIOS 名称和 SID。 
769：已添加受信任的林信息。 
注意： 
当更新林信任信息并且添加了一个或多个项时，将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项，则为生成的所有事件消息指派一个唯一标识符，称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如，对于类型为 TopLevelName 的项，有些参数是无效的，如 DNS 名称、NetBIOS 名称和 SID。 
770：已删除受信任的林信息。 
注意： 
请参见事件 769 的事件描述。 
771：已修改受信任的林信息。 
注意： 
请参见事件 769 的事件描述。 
805：事件日志服务读取会话的安全日志配置。 
七、特权使用事件 
下面显示了由"审核特权使用"安全模板设置所生成的安全事件。 
576：指定的特权已添加到用户的访问令牌中。 
注意： 
当用户登录时生成此事件。 
577：用户试图执行需要特权的系统服务操作。 
578：特权用于已经打开的受保护对象的句柄。 
八、详细的跟踪事件 
下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。 
592：已创建新进程。 
593：进程已退出。 
594：对象句柄已复制。 
595：已获取对象的间接访问权。 
596：数据保护主密钥已备份。 
注意： 
主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。（默认设置为 90 天。）通常由域控制器备份主密钥。 
597：数据保护主密钥已从恢复服务器恢复。 
598：审核过的数据已受保护。 
599：审核过的数据未受保护。 
600：已分配给进程主令牌。 
601：用户试图安装服务。 
602：已创建计划程序任务。 
九、审核系统事件 
下面显示了由"审核系统事件"安全模板设置所生成的系统事件。 
512：Windows 正在启动。 
513：Windows 正在关机。 
514：本地安全机制机构已加载身份验证数据包。 
515：受信任的登录过程已经在本地安全机构注册。 
516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。 
517：审核日志已清除。 
518：安全帐户管理器已加载通知数据包。 
519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。 
520：系统时间已更改。 
注意： 
在正常情况下，该审核出现两次。