科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道WindowsServer2003安全事件ID分析(下)

WindowsServer2003安全事件ID分析(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

作者:论坛整理 来源:zdnet网络安全 2008年2月17日

关键字: 安全配置 系统安全 Windows

  • 评论
  • 分享微博
  • 分享邮件

571:客户端上下文由授权管理器应用程序删除。 
572:Administrator Manager(管理员管理器)初始化此应用程序。 
772:证书管理器已拒绝挂起的证书申请。 
773:证书服务已收到重新提交的证书申请。 
774:证书服务已吊销证书。 
775:证书服务已收到发行证书吊销列表 (CRL) 的请求。 
776:证书服务已发行 CRL。 
777:已制定证书申请扩展。 
778:已更改多个证书申请属性。 
779:证书服务已收到关机请求。 
780:已开始证书服务备份。 
781:已完成证书服务备份。 
782:已开始证书服务还原。 
783:已完成证书服务还原。 
784:证书服务已开始。 
785:证书服务已停止。 
786:已更改证书服务的安全权限。 
787:证书服务已检索存档密钥。 
788:证书服务已将证书导入其数据库中。 
789:证书服务审核筛选已更改。 
790:证书服务已收到证书申请。 
791:证书服务已批准证书申请并已颁发证书。 
792:证书服务已拒绝证书申请。 
793:证书服务将证书申请状态设为挂起。 
794:证书服务的证书管理器设置已更改。 
795:证书服务中的配置项已更改。 
796:证书服务的属性已更改。 
797:证书服务已将密钥存档。 
798:证书服务导入密钥并将其存档。 
799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。 
800:已从证书数据库删除一行或多行。 
801:角色分离已启用。 
六、审核策略更改事件 
下面显示了由"审核策略更改"安全模板设置所生成的安全事件。 
608:已分配用户权限。 
609:用户权限已删除。 
610:与其他域的信任关系已创建。 
611:与其他域的信任关系已删除。 
612:审核策略已更改。 
613:Internet 协议安全 (IPSec) 策略代理已启动。 
614:IPSec 策略代理已禁用。 
615:IPSec 策略代理已更改。 
616:IPSec 策略代理遇到一个可能很严重的故障。 
617:Kerberos v5 策略已更改。 
618:加密数据恢复策略已更改。 
620:与其他域的信任关系已修改。 
621:已授予帐户系统访问权限。 
622:已删除帐户的系统访问权限。 
623:按用户设置审核策略。 
625:按用户刷新审核策略。 
768:检测到两个林的名称空间元素之间有冲突。 
注意: 
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。 
769:已添加受信任的林信息。 
注意: 
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。 
770:已删除受信任的林信息。 
注意: 
请参见事件 769 的事件描述。 
771:已修改受信任的林信息。 
注意: 
请参见事件 769 的事件描述。 
805:事件日志服务读取会话的安全日志配置。 
七、特权使用事件 
下面显示了由"审核特权使用"安全模板设置所生成的安全事件。 
576:指定的特权已添加到用户的访问令牌中。 
注意: 
当用户登录时生成此事件。 
577:用户试图执行需要特权的系统服务操作。 
578:特权用于已经打开的受保护对象的句柄。 
八、详细的跟踪事件 
下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。 
592:已创建新进程。 
593:进程已退出。 
594:对象句柄已复制。 
595:已获取对象的间接访问权。 
596:数据保护主密钥已备份。 
注意: 
主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。 
597:数据保护主密钥已从恢复服务器恢复。 
598:审核过的数据已受保护。 
599:审核过的数据未受保护。 
600:已分配给进程主令牌。 
601:用户试图安装服务。 
602:已创建计划程序任务。 
九、审核系统事件 
下面显示了由"审核系统事件"安全模板设置所生成的系统事件。 
512:Windows 正在启动。 
513:Windows 正在关机。 
514:本地安全机制机构已加载身份验证数据包。 
515:受信任的登录过程已经在本地安全机构注册。 
516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。 
517:审核日志已清除。 
518:安全帐户管理器已加载通知数据包。 
519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。 
520:系统时间已更改。 
注意: 
在正常情况下,该审核出现两次。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章