Windows Server 2003 安全性事件
Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
目標
適用於
如何使用本單元
帳戶登入事件
帳戶管理事件
目錄服務存取事件
稽核登入事件
物件存取事件
稽核原則變更事件
特殊權限使用事件
詳細的追蹤事件
稽核系統事件
目標
透過本單元即可:
- 識別由 Microsoft® Windows Server™ 2003 作業系統所產生的安全性事件。
適用於
本單元適用於下列產品及技術:
- Windows Server 2003
如何使用本單元
本單元隨附於《Windows Server 2003 Security Guide (英文)》。使用此單元中的表格作為快速參考,來協助識別記錄在 Microsoft® Windows 作業系統事件日誌中的安全性相關事件。您還可以使用此單元來協助您設定系統監視軟體,例如 Microsoft 作業管理員 (Microsoft Operations Manager,MOM)。
帳戶登入事件
[表 1] 顯示由稽核帳戶登入事件安全性範本設定所產生的安全性事件。
[表 1]:稽核帳戶登入事件
事件識別碼 | 事件說明 |
---|---|
672 | 驗證服務 (AS) 票證已成功發出,而且也通過驗證。 |
673 | 已授與票證授與服務 (TGS) 的票證。TGS 為由 Kerberos 第 5 版票證授與服務 TGS 所核發的票證,讓使用者能夠向網域中的特定服務驗證。 |
674 | 安全性主體已更新 AS 票證或 TGS 票證。 |
675 | 預先驗證失敗。此事件是當使用者鍵入不正確的密碼時,在金鑰發佈中心 (KDC) 上產生的。 |
676 | 驗證票證要求已失敗。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
677 | 未授與 TGS 票證。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
678 | 帳戶已成功地對應至網域帳戶。 |
681 | 登入失敗。嘗試進行網域帳戶登入。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
682 | 使用者已重新連線至中斷連線的終端機伺服器工作階段。 |
683 | 使用者未登出就將終端機伺服器工作階段中斷連線。 |
事件識別碼 | 事件說明 |
---|---|
624 | 已建立使用者帳戶。 |
627 | 已變更使用者密碼。 |
628 | 已設定使用者密碼。 |
630 | 已刪除使用者帳戶。 |
631 | 已建立通用群組。 |
632 | 成員已加入通用群組。 |
633 | 已將成員自通用群組中移除。 |
634 | 已刪除通用群組。 |
635 | 已建立新的本機群組。 |
636 | 成員已加入本機群組。 |
637 | 已將成員自本機群組中移除。 |
638 | 已刪除本機群組。 |
639 | 已變更本機群組帳戶。 |
641 | 已變更通用群組帳戶。 |
642 | 已變更使用者帳戶。 |
643 | 已修改網域原則。 |
644 | 已自動鎖定使用者帳戶。 |
645 | 已建立電腦帳戶。 |
646 | 已變更電腦帳戶。 |
647 | 已刪除電腦帳戶。 |
648 | 已建立停用安全性的本機安全性群組。 注意:正式名稱中的 SECURITY_DISABLED 表示此群組不能在存取檢查中用來授與權限。 |
649 | 已變更停用安全性的本機安全性群組。 |
650 | 成員已加入停用安全性的本機安全性群組。 |
651 | 已將成員自停用安全性的本機安全性群組中移除。 |
652 | 已刪除停用安全性的本機群組。 |
653 | 已建立停用安全性的通用群組。 |
654 | 已變更停用安全性的通用群組。 |
655 | 成員已加入停用安全性的通用群組。 |
656 | 已將成員自停用安全性的通用群組中移除。 |
657 | 已刪除停用安全性的通用群組。 |
658 | 已建立啟用安全性的萬用群組。 |
659 | 已變更啟用安全性的萬用群組。 |
660 | 成員已加入啟用安全性的萬用群組。 |
661 | 已將成員自啟用安全性的萬用群組中移除。 |
662 | 已刪除啟用安全性的萬用群組。 |
663 | 已建立停用安全性的萬用群組。 |
664 | 已變更停用安全性的萬用群組。 |
665 | 成員已加入停用安全性的萬用群組。 |
666 | 已將成員自停用安全性的萬用群組中移除。 |
667 | 已刪除停用安全性的萬用群組。 |
668 | 已變更群組類型。 |
684 | 已設定管理群組成員的安全性描述元。 注意:在網域控制站上每隔 60 分鐘,幕後執行緒會搜尋管理群組的所有成員 (例如,網域、企業,以及架構系統管理員),並在其上套用固定的安全性描述元。此事件會記錄下來。 |
685 | 已變更帳戶的名稱。 |
事件識別碼 | 事件說明 |
---|---|
566 | 發生一般物件作業。 |
事件識別碼 | 稽核登入事件 |
---|---|
528 | 使用者已成功地登入電腦。 |
529 | 登入失敗。用未知的使用者名稱或具錯誤密碼的已知使用者名稱,來嘗試進行登入。 |
530 | 登入失敗。於允許時限之外嘗試進行登入。 |
531 | 登入失敗。嘗試使用已停用的帳戶登入。 |
532 | 登入失敗。嘗試使用已過期的帳戶登入。 |
533 | 登入失敗。由不允許登入指定電腦的使用者來嘗試進行登入。 |
534 | 登入失敗。使用者利用不允許的密碼類型來嘗試進行登入。 |
535 | 登入失敗。指定之帳戶的密碼已經過期。 |
536 | 登入失敗。Net Logon 服務並未啟動。 |
537 | 登入失敗。基於其他的理由,嘗試登入已失敗。 注意:在某些狀況下,可能不知道登入失敗的理由。 |
538 | 使用者的登出程序已完成。 |
539 | 登入失敗。嘗試登入時,帳戶是鎖定的。 |
540 | 使用者已成功地登入網路。 |
541 | 主要模式的網際網路金鑰交換 (IKE) 驗證已在本機電腦與列出的對等個體之間完成 (建立安全性關聯),或是快速模式已建立資料通道。 |
542 | 資料通道已終止。 |
543 | 主要模式已終止。 注意:發生此種情況可能是因為對於安全性關聯過期 (預設為八個小時)、原則變更,或對等個體終止加以時間限制的結果。 |
544 | 因為對等個體未提供有效的憑證,或是簽章未經驗證,所以主要模式驗證失敗。 |
545 | 因為 Kerberos 驗證失敗或密碼不正確,所以主要模式驗證失敗。 |
546 | 因為對等個體送出無效的提議,所以 IKE 安全性關聯的建立失敗。已收到包含無效資料的封包。 |
547 | 在 IKE 交握期間發生失敗。 |
548 | 登入失敗。得自信任網域的安全性識別元 (SID) 與用戶端的帳戶網域 SID 不相符。 |
549 | 登入失敗。對應於不受信任命名空間的所有 SID 已於跨越樹系進行驗證的期間遭過濾掉。 |
550 | 通知訊息可以表示可能遭到拒絕服務 (DoS) 攻擊。 |
551 | 使用者啟動了登出程序。 |
552 | 使用者利用明確憑證來成功地登入電腦,但之前已使用不同的使用者身份登入。 |
682 | 使用者已重新連線至中斷連線的終端機伺服器工作階段。 |
683 | 使用者沒有登出,就將終端機伺服器工作階段中斷連線。注意:此事件是使用者跨越網路連線至終端機伺服器工作階段時產生的。它會在終端機伺服器上顯示。 |
事件識別碼 | 事件說明 |
---|---|
560 | 已將存取權授與早已存在的物件。 |
562 | 已關閉物件的控制碼。 |
563 | 為了刪除物件而嘗試加以開啟。 注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 旗標時,這是由檔案系統所使用。 |
564 | 已刪除受保護的物件。 |
565 | 已將存取權授與早已存在的物件類型。 |
567 | 已使用與控制碼有關聯的權限。 注意:建立具某種授與權限 (讀取、寫入等) 的控制碼。在使用控制碼時,針對使用的每一項權限都會產生最多一個稽核。 |
568 | 嘗試建立指向正在稽核中之檔案的永久連結。 |
569 | 「授權管理員」中的資源管理員嘗試建立用戶端內容。 |
570 | 用戶端嘗試存取物件。 注意:對物件嘗試進行的每一項作業都會產生事件。 |
571 | 由「授權管理員」應用程式刪除用戶端內容。 |
572 | 「系統管理員」已初始化應用程式。 |
772 | 「憑證管理員」拒絕了擱置憑證的要求。 |
773 | 「憑證服務」收到了重新提交憑證的要求。 |
774 | 「憑證服務」撤銷了一個憑證。 |
775 | 「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求。 |
776 | 「憑證服務」發佈了 CRL。 |
777 | 已進行憑證要求延伸。 |
778 | 一個以上的憑證要求屬性已變更。 |
779 | 「憑證服務」收到了關機的要求。 |
780 | 「憑證服務」備份已啟動。 |
781 | 「憑證服務」備份已完成。 |
782 | 「憑證服務」還原已啟動。 |
783 | 「憑證服務」還原已完成。 |
784 | 「憑證服務」已啟動。 |
785 | 「憑證服務」已停止。 |
786 | 「憑證服務」的安全性權限已變更。 |
787 | 「憑證服務」抓取了一個備份金鑰。 |
788 | 「憑證服務」將憑證匯入其資料庫。 |
789 | 「憑證服務」的稽核篩選器已變更。 |
790 | 「憑證服務」收到了憑證要求。 |
791 | 「憑證服務」已同意憑證要求,而且發行了憑證。 |
792 | 「憑證服務」拒絕了憑證要求。 |
793 | 「憑證服務」將憑證要求的狀態設定為擱置。 |
794 | 「憑證服務」的憑證管理員設定已變更。 |
795 | 「憑證服務」的設定項目已變更。 |
796 | 「憑證服務」的內容已變更。 |
797 | 「憑證服務」備份了一個金鑰。 |
798 | 「憑證服務」已匯入、並且備份了一個金鑰。 |
799 | 「憑證服務」針對 Microsoft Active Directory® 目錄服務,發佈了憑證授權 (CA) 的憑證。 |
800 | 已從憑證資料庫刪除了一行以上的資料行。 |
801 | 已啟用角色分隔。 |
事件識別碼 | 事件說明 |
---|---|
608 | 已指派使用者權利。 |
609 | 已移除使用者權利。 |
610 | 已建立與另一個網域的信任關係。 |
611 | 已移除與另一個網域的信任關係。 |
612 | 已變更稽核原則。 |
613 | 已啟動網際網路通訊協定安全性 (IPSec) 原則代理程式。 |
614 | 已停用 IPSec 原則代理程式。 |
615 | 已變更 IPSec 原則代理程式。 |
616 | IPSec 原則代理程式遇到潛在性嚴重失敗。 |
617 | Kerberos 第 5 版原則已變更。 |
618 | 「加密資料修復」原則已變更。 |
620 | 已修改與另一個網域的信任關係。 |
621 | 系統存取權已授與帳戶。 |
622 | 已將系統存取權自帳戶移除。 |
623 | 稽核原則是以每一使用者為基礎來設定的。 |
625 | 稽核原則是以每一使用者為基礎來重新整理的。 |
768 | 在一個樹系中的命名空間元素與另一樹系中的命名空間元素之間,已偵測到衝突。 注意:若一個樹系中的命名空間元素與另一樹系中的命名空間元素重疊,則在解析屬於其中一個命名空間元素的名稱時,會造成模稜兩可的情況。此重疊也稱為衝突。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等欄位對於「TopLevelName」類型的項目來說都是無效的。 |
769 | 已新增受信任的樹系資訊。 注意:此事件訊息是在更新了樹系信任資訊,並新增一或多個項目時所產生的。對於每一個新增、刪除,或修改的項目,都會產生一個事件訊息。在單獨一次更新樹系信任資訊時,如果新增、刪除,或修改了多個項目,則所有產生的事件訊息都會被指派一個獨特的識別元,稱為「作業 ID」。此舉讓您能夠確定產生的多個事件訊息,都來自同一個作業。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等參數對於「TopLevelName」類型的項目來說都是無效的。 |
770 | 已刪除受信任的樹系資訊。 注意:有關事件 769 請參閱事件說明。 |
771 | 已修改受信任的樹系資訊。 注意:有關事件 769 請參閱事件說明。 |
805 | 事件日誌服務會讀取工作階段的安全性記錄設定。 |
事件識別碼 | 事件說明 |
---|---|
576 | 指定的特殊權限已加入使用者的存取權杖。 注意:此事件是在使用者登入時所產生的。 |
577 | 使用者嘗試執行需要特殊權限的系統服務作業。 |
578 | 特殊權限已使用在受保護物件的已開啟控制碼上。 |
事件識別碼 | 事件說明 |
---|---|
592 | 已建立新的程序。 |
593 | 程序已結束。 |
594 | 已複製物件的控制碼。 |
595 | 已取得物件的間接存取權。 |
596 | 已備份資料保護主要金鑰。 注意:主要金鑰是由 CryptProtectData 和 CryptUnprotectData 常式,以及加密檔案系統 (EFS) 所使用。每一次建立一個新的主要金鑰時都會加以備份。(預設的設定為 90 天)。該金鑰通常是由網域控制站備份。 |
597 | 資料保護主要金鑰已利用復原伺服器復原。 |
598 | 已保護可稽核的資料。 |
599 | 未保護可稽核的資料。 |
600 | 程序已指派主要權杖。 |
601 | 使用者嘗試安裝服務。 |
602 | 已建立排程器工作。 |
事件識別碼 | 事件說明 |
---|---|
512 | Windows 正在啟動。 |
513 | Windows 正在關機。 |
514 | 驗證封裝已由「本機安全性授權」載入。 |
515 | 受信任的登入程序已經向「本機安全性授權」註冊。 |
516 | 配置給安全性事件訊息佇列的內部資源已用盡,造成某些安全性事件訊息遺失。 |
517 | 已清除稽核記錄。 |
518 | 通知封裝軟體已由「安全性帳戶管理員」載入。 |
519 | 處理程序正在使用無效的本機程序呼叫 (Local Procedure Call,LPC) 連接埠,以嘗試模擬用戶端來回應、讀取,或寫入用戶端位址空間。 |
520 | 已變更系統時間。 注意:此稽核通常會出現兩次。 |