Win2003“安全事件ID”分析(1)

2020-03-01 06:53:08

字體：大中小

供稿：網(wǎng)友

根據(jù)下面的ID，可以幫助我們快速識別由Windows Server 2003操作系統(tǒng)生成的安全事件，究竟意味著什么事件出現(xiàn)了。
一、帳戶登錄事件
下面顯示了由“審核帳戶登錄事件”安全模板設(shè)置所生成的安全事件。
672：已成功頒發(fā)和驗證身份驗證服務(wù) (AS) 票證。
673：授權(quán)票證服務(wù) (TGS) 票證已授權(quán)。TGS 是由 Kerberos v5 票證授權(quán)服務(wù) (TGS) 頒發(fā)的票證，允許用戶對域中的特定服務(wù)進行身份驗證。
674：安全主體已更新 AS 票證或 TGS 票證。
675：預(yù)身份驗證失敗。用戶鍵入錯誤的密碼時，密鑰發(fā)行中心 (KDC) 生成此事件。
676：身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
677：TGS 票證未被授權(quán)。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
678：帳戶已成功映射到域帳戶。
681：登錄失敗。嘗試進行域帳戶登錄。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
682：用戶已重新連接至已斷開的終端服務(wù)器會話。
683：用戶未注銷就斷開終端服務(wù)器會話。
二、帳戶管理事件
下面顯示了由“審核帳戶管理”安全模板設(shè)置所生成的安全事件。
624：用戶帳戶已創(chuàng)建。
627：用戶密碼已更改。
628：用戶密碼已設(shè)置。
630：用戶帳戶已刪除。
631：全局組已創(chuàng)建。
632：成員已添加至全局組。
633：成員已從全局組刪除。
634：全局組已刪除。
635：已新建本地組。
636：成員已添加至本地組。
637：成員已從本地組刪除。
638：本地組已刪除。
639：本地組帳戶已更改。
641：全局組帳戶已更改。
642：用戶帳戶已更改。
643：域策略已修改。
644：用戶帳戶被自動鎖定。
645：計算機帳戶已創(chuàng)建。
646：計算機帳戶已更改。
647：計算機帳戶已刪除。
648：禁用安全的本地安全組已創(chuàng)建。
注意：
從正式名稱上講，SECURITY_DISABLED 意味著該組不能用來授權(quán)訪問檢查。
649：禁用安全的本地安全組已更改。
650：成員已添加至禁用安全的本地安全組。
651：成員已從禁用安全的本地安全組刪除。
652：禁用安全的本地組已刪除。
653：禁用安全的全局組已創(chuàng)建。
654：禁用安全的全局組已更改。
655：成員已添加至禁用安全的全局組。
656：成員已從禁用安全的全局組刪除。
657：禁用安全的全局組已刪除。
658：啟用安全的通用組已創(chuàng)建。
659：啟用安全的通用組已更改。
660：成員已添加至啟用安全的通用組。
661：成員已從啟用安全的通用組刪除。
662：啟用安全的通用組已刪除。
663：禁用安全的通用組已創(chuàng)建。
664：禁用安全的通用組已更改。
665：成員已添加至禁用安全的通用組。
666：成員已從禁用安全的通用組刪除。
667：禁用安全的通用組已刪除。
668：組類型已更改。
684：管理組成員的安全描述符已設(shè)置。
注意：
在域控制器上，每隔 60 分鐘，后臺線程就會搜索管理組的所有成員（如域、企業(yè)和架構(gòu)管理員），并對其應(yīng)用一個固定的安全描述符。該事件已記錄。
685：帳戶名稱已更改。
三、目錄服務(wù)訪問事件
下面顯示了由`審核目錄服務(wù)訪問`安全模板設(shè)置所生成的安全事件。
566：發(fā)生了一般對象操作。
四、登錄事件ID
528：用戶成功登錄到計算機。
529：登錄失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄。
530：登錄失敗。試圖在允許的時間外登錄。
531：登錄失敗。試圖使用禁用的帳戶登錄。
532：登錄失敗。試圖使用已過期的帳戶登錄。
533：登錄失敗。不允許登錄到指定計算機的用戶試圖登錄。
534：登錄失敗。用戶試圖使用不允許的密碼類型登錄。
535：登錄失敗。指定帳戶的密碼已過期。
536：登錄失敗。Net Logon 服務(wù)沒有啟動。
537：登錄失敗。由于其他原因登錄嘗試失敗。
注意：
在某些情況下，登錄失敗的原因可能是未知的。
538：用戶的注銷過程已完成。
539：登錄失敗。試圖登錄時，該帳戶已鎖定。
540：用戶成功登錄到網(wǎng)絡(luò)。
541：本地計算機與列出的對等客戶端身份（已建立安全關(guān)聯(lián)）之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成，或者快速模式已建立了數(shù)據(jù)頻道。
542：數(shù)據(jù)頻道已終止。
543：主要模式已終止。
注意：
如果安全關(guān)聯(lián)的時間限制（默認(rèn)為 8 小時）過期、策略更改或?qū)Φ冉K止，則會發(fā)生此情況。
544：由于對等客戶端沒有提供有效的證書或者簽名無效，造成主要模式身份驗證失敗。
545：由于 Kerberos 失敗或者密碼無效，造成主要模式身份驗證失敗。
546：由于對等客戶端發(fā)送的建議無效，造成 IKE 安全關(guān)聯(lián)建立失敗。接收到的程序包包含無效數(shù)據(jù)。
547：在 IKE 握手過程中，出現(xiàn)錯誤。
548：登錄失敗。來自信任域的安全標(biāo)識符 (SID) 與客戶端的帳戶域 SID 不匹配。
549：登錄失敗。在林內(nèi)進行身份驗證時，所有與不受信任的名稱空間相關(guān)的 SID 將被篩選出去。
550：可以用來指示可能的拒絕服務(wù) (DoS) 攻擊的通知消息。
551：用戶已啟動注銷過程。
552：用戶使用明確憑據(jù)成功登錄到作為其他用戶已登錄到的計算機。
682：用戶已重新連接至已斷開的終端服務(wù)器會話。
683：用戶還未注銷就斷開終端服務(wù)器會話。注意：當(dāng)用戶通過網(wǎng)絡(luò)連接到終端服務(wù)器會話時，就會生成此事件。該事件出現(xiàn)在終端服務(wù)器上。

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。

上一篇：裝機員U盤啟動盤制作工具5.0(UEFI+UD)自動安裝原版系統(tǒng)

下一篇：快速預(yù)覽Win版QuickLook 0.3.6.1特別版