Windows Server 2003 安全性事件

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日


本頁內容

目標
適用於
如何使用本單元
帳戶登入事件
帳戶管理事件
目錄服務存取事件
稽核登入事件
物件存取事件
稽核原則變更事件
特殊權限使用事件
詳細的追蹤事件
稽核系統事件

目標

透過本單元即可:

  • 識別由 Microsoft® Windows Server™ 2003 作業系統所產生的安全性事件。


適用於

本單元適用於下列產品及技術:

  • Windows Server 2003


如何使用本單元

本單元隨附於《Windows Server 2003 Security Guide (英文)》。使用此單元中的表格作為快速參考,來協助識別記錄在 Microsoft® Windows 作業系統事件日誌中的安全性相關事件。您還可以使用此單元來協助您設定系統監視軟體,例如 Microsoft 作業管理員 (Microsoft Operations Manager,MOM)。

帳戶登入事件

[表 1] 顯示由稽核帳戶登入事件安全性範本設定所產生的安全性事件。

[表 1]:稽核帳戶登入事件

事件識別碼

事件說明

672

驗證服務 (AS) 票證已成功發出,而且也通過驗證。

673

已授與票證授與服務 (TGS) 的票證。TGS 為由 Kerberos 第 5 版票證授與服務 TGS 所核發的票證,讓使用者能夠向網域中的特定服務驗證。

674

安全性主體已更新 AS 票證或 TGS 票證。

675

預先驗證失敗。此事件是當使用者鍵入不正確的密碼時,在金鑰發佈中心 (KDC) 上產生的。

676

驗證票證要求已失敗。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。

677

未授與 TGS 票證。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。

678

帳戶已成功地對應至網域帳戶。

681

登入失敗。嘗試進行網域帳戶登入。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。

682

使用者已重新連線至中斷連線的終端機伺服器工作階段。

683

使用者未登出就將終端機伺服器工作階段中斷連線。


帳戶管理事件

[表 2] 顯示由稽核帳戶管理安全性範本設定所產生的安全性事件。

[表 2]:稽核帳戶管理事件

事件識別碼

事件說明

624

已建立使用者帳戶。

627

已變更使用者密碼。

628

已設定使用者密碼。

630

已刪除使用者帳戶。

631

已建立通用群組。

632

成員已加入通用群組。

633

已將成員自通用群組中移除。

634

已刪除通用群組。

635

已建立新的本機群組。

636

成員已加入本機群組。

637

已將成員自本機群組中移除。

638

已刪除本機群組。

639

已變更本機群組帳戶。

641

已變更通用群組帳戶。

642

已變更使用者帳戶。

643

已修改網域原則。

644

已自動鎖定使用者帳戶。

645

已建立電腦帳戶。

646

已變更電腦帳戶。

647

已刪除電腦帳戶。

648

已建立停用安全性的本機安全性群組。
注意:正式名稱中的 SECURITY_DISABLED 表示此群組不能在存取檢查中用來授與權限。

649

已變更停用安全性的本機安全性群組。

650

成員已加入停用安全性的本機安全性群組。

651

已將成員自停用安全性的本機安全性群組中移除。

652

已刪除停用安全性的本機群組。

653

已建立停用安全性的通用群組。

654

已變更停用安全性的通用群組。

655

成員已加入停用安全性的通用群組。

656

已將成員自停用安全性的通用群組中移除。

657

已刪除停用安全性的通用群組。

658

已建立啟用安全性的萬用群組。

659

已變更啟用安全性的萬用群組。

660

成員已加入啟用安全性的萬用群組。

661

已將成員自啟用安全性的萬用群組中移除。

662

已刪除啟用安全性的萬用群組。

663

已建立停用安全性的萬用群組。

664

已變更停用安全性的萬用群組。

665

成員已加入停用安全性的萬用群組。

666

已將成員自停用安全性的萬用群組中移除。

667

已刪除停用安全性的萬用群組。

668

已變更群組類型。

684

已設定管理群組成員的安全性描述元。
注意:在網域控制站上每隔 60 分鐘,幕後執行緒會搜尋管理群組的所有成員 (例如,網域、企業,以及架構系統管理員),並在其上套用固定的安全性描述元。此事件會記錄下來。

685

已變更帳戶的名稱。


目錄服務存取事件

[表 3] 顯示由稽核目錄服務存取安全性範本設定所產生的安全性事件。

[表 3]:稽核目錄服務存取事件

事件識別碼

事件說明

566

發生一般物件作業。


稽核登入事件

[表 4] 包含由稽核登入事件安全性範本設定所產生的安全性事件。

[表 4]:稽核登入事件

事件識別碼

稽核登入事件

528

使用者已成功地登入電腦。

529

登入失敗。用未知的使用者名稱或具錯誤密碼的已知使用者名稱,來嘗試進行登入。

530

登入失敗。於允許時限之外嘗試進行登入。

531

登入失敗。嘗試使用已停用的帳戶登入。

532

登入失敗。嘗試使用已過期的帳戶登入。

533

登入失敗。由不允許登入指定電腦的使用者來嘗試進行登入。

534

登入失敗。使用者利用不允許的密碼類型來嘗試進行登入。

535

登入失敗。指定之帳戶的密碼已經過期。

536

登入失敗。Net Logon 服務並未啟動。

537

登入失敗。基於其他的理由,嘗試登入已失敗。
注意:在某些狀況下,可能不知道登入失敗的理由。

538

使用者的登出程序已完成。

539

登入失敗。嘗試登入時,帳戶是鎖定的。

540

使用者已成功地登入網路。

541

主要模式的網際網路金鑰交換 (IKE) 驗證已在本機電腦與列出的對等個體之間完成 (建立安全性關聯),或是快速模式已建立資料通道。

542

資料通道已終止。

543

主要模式已終止。
注意:發生此種情況可能是因為對於安全性關聯過期 (預設為八個小時)、原則變更,或對等個體終止加以時間限制的結果。

544

因為對等個體未提供有效的憑證,或是簽章未經驗證,所以主要模式驗證失敗。

545

因為 Kerberos 驗證失敗或密碼不正確,所以主要模式驗證失敗。

546

因為對等個體送出無效的提議,所以 IKE 安全性關聯的建立失敗。已收到包含無效資料的封包。

547

在 IKE 交握期間發生失敗。

548

登入失敗。得自信任網域的安全性識別元 (SID) 與用戶端的帳戶網域 SID 不相符。

549

登入失敗。對應於不受信任命名空間的所有 SID 已於跨越樹系進行驗證的期間遭過濾掉。

550

通知訊息可以表示可能遭到拒絕服務 (DoS) 攻擊。

551

使用者啟動了登出程序。

552

使用者利用明確憑證來成功地登入電腦,但之前已使用不同的使用者身份登入。

682

使用者已重新連線至中斷連線的終端機伺服器工作階段。

683

使用者沒有登出,就將終端機伺服器工作階段中斷連線。注意:此事件是使用者跨越網路連線至終端機伺服器工作階段時產生的。它會在終端機伺服器上顯示。


物件存取事件

[表 5] 顯示由稽核物件存取安全性範本設定所產生的安全性事件。

[表 5]:稽核物件存取事件

事件識別碼

事件說明

560

已將存取權授與早已存在的物件。

562

已關閉物件的控制碼。

563

為了刪除物件而嘗試加以開啟。
注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 旗標時,這是由檔案系統所使用。

564

已刪除受保護的物件。

565

已將存取權授與早已存在的物件類型。

567

已使用與控制碼有關聯的權限。
注意:建立具某種授與權限 (讀取、寫入等) 的控制碼。在使用控制碼時,針對使用的每一項權限都會產生最多一個稽核。

568

嘗試建立指向正在稽核中之檔案的永久連結。

569

「授權管理員」中的資源管理員嘗試建立用戶端內容。

570

用戶端嘗試存取物件。
注意:對物件嘗試進行的每一項作業都會產生事件。

571

由「授權管理員」應用程式刪除用戶端內容。

572

「系統管理員」已初始化應用程式。

772

「憑證管理員」拒絕了擱置憑證的要求。

773

「憑證服務」收到了重新提交憑證的要求。

774

「憑證服務」撤銷了一個憑證。

775

「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求。

776

「憑證服務」發佈了 CRL。

777

已進行憑證要求延伸。

778

一個以上的憑證要求屬性已變更。

779

「憑證服務」收到了關機的要求。

780

「憑證服務」備份已啟動。

781

「憑證服務」備份已完成。

782

「憑證服務」還原已啟動。

783

「憑證服務」還原已完成。

784

「憑證服務」已啟動。

785

「憑證服務」已停止。

786

「憑證服務」的安全性權限已變更。

787

「憑證服務」抓取了一個備份金鑰。

788

「憑證服務」將憑證匯入其資料庫。

789

「憑證服務」的稽核篩選器已變更。

790

「憑證服務」收到了憑證要求。

791

「憑證服務」已同意憑證要求,而且發行了憑證。

792

「憑證服務」拒絕了憑證要求。

793

「憑證服務」將憑證要求的狀態設定為擱置。

794

「憑證服務」的憑證管理員設定已變更。

795

「憑證服務」的設定項目已變更。

796

「憑證服務」的內容已變更。

797

「憑證服務」備份了一個金鑰。

798

「憑證服務」已匯入、並且備份了一個金鑰。

799

「憑證服務」針對 Microsoft Active Directory® 目錄服務,發佈了憑證授權 (CA) 的憑證。

800

已從憑證資料庫刪除了一行以上的資料行。

801

已啟用角色分隔。


稽核原則變更事件

[表 6] 顯示由稽核原則變更安全性範本設定所產生的安全性事件。

[表 6]:稽核原則變更事件

事件識別碼

事件說明

608

已指派使用者權利。

609

已移除使用者權利。

610

已建立與另一個網域的信任關係。

611

已移除與另一個網域的信任關係。

612

已變更稽核原則。

613

已啟動網際網路通訊協定安全性 (IPSec) 原則代理程式。

614

已停用 IPSec 原則代理程式。

615

已變更 IPSec 原則代理程式。

616

IPSec 原則代理程式遇到潛在性嚴重失敗。

617

Kerberos 第 5 版原則已變更。

618

「加密資料修復」原則已變更。

620

已修改與另一個網域的信任關係。

621

系統存取權已授與帳戶。

622

已將系統存取權自帳戶移除。

623

稽核原則是以每一使用者為基礎來設定的。

625

稽核原則是以每一使用者為基礎來重新整理的。

768

在一個樹系中的命名空間元素與另一樹系中的命名空間元素之間,已偵測到衝突。
注意:若一個樹系中的命名空間元素與另一樹系中的命名空間元素重疊,則在解析屬於其中一個命名空間元素的名稱時,會造成模稜兩可的情況。此重疊也稱為衝突。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等欄位對於「TopLevelName」類型的項目來說都是無效的。

769

已新增受信任的樹系資訊。
注意:此事件訊息是在更新了樹系信任資訊,並新增一或多個項目時所產生的。對於每一個新增、刪除,或修改的項目,都會產生一個事件訊息。在單獨一次更新樹系信任資訊時,如果新增、刪除,或修改了多個項目,則所有產生的事件訊息都會被指派一個獨特的識別元,稱為「作業 ID」。此舉讓您能夠確定產生的多個事件訊息,都來自同一個作業。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等參數對於「TopLevelName」類型的項目來說都是無效的。

770

已刪除受信任的樹系資訊。
注意:有關事件 769 請參閱事件說明。

771

已修改受信任的樹系資訊。
注意:有關事件 769 請參閱事件說明。

805

事件日誌服務會讀取工作階段的安全性記錄設定。


特殊權限使用事件

[表 7] 顯示由稽核特殊權限使用安全性範本設定所產生的安全性事件。

[表 7]:特殊權限使用事件

事件識別碼

事件說明

576

指定的特殊權限已加入使用者的存取權杖。
注意:此事件是在使用者登入時所產生的。

577

使用者嘗試執行需要特殊權限的系統服務作業。

578

特殊權限已使用在受保護物件的已開啟控制碼上。


詳細的追蹤事件

[表 8] 顯示由稽核程序追蹤安全性範本設定所產生的安全性事件。

[表 8]:稽核程序追蹤事件

事件識別碼

事件說明

592

已建立新的程序。

593

程序已結束。

594

已複製物件的控制碼。

595

已取得物件的間接存取權。

596

已備份資料保護主要金鑰。
注意:主要金鑰是由 CryptProtectData 和 CryptUnprotectData 常式,以及加密檔案系統 (EFS) 所使用。每一次建立一個新的主要金鑰時都會加以備份。(預設的設定為 90 天)。該金鑰通常是由網域控制站備份。

597

資料保護主要金鑰已利用復原伺服器復原。

598

已保護可稽核的資料。

599

未保護可稽核的資料。

600

程序已指派主要權杖。

601

使用者嘗試安裝服務。

602

已建立排程器工作。


稽核系統事件

[表 9] 顯示由稽核系統事件安全性範本設定所產生的系統事件。

[表 9]:稽核系統事件

事件識別碼

事件說明

512

Windows 正在啟動。

513

Windows 正在關機。

514

驗證封裝已由「本機安全性授權」載入。

515

受信任的登入程序已經向「本機安全性授權」註冊。

516

配置給安全性事件訊息佇列的內部資源已用盡,造成某些安全性事件訊息遺失。

517

已清除稽核記錄。

518

通知封裝軟體已由「安全性帳戶管理員」載入。

519

處理程序正在使用無效的本機程序呼叫 (Local Procedure Call,LPC) 連接埠,以嘗試模擬用戶端來回應、讀取,或寫入用戶端位址空間。

520

已變更系統時間。
注意:此稽核通常會出現兩次。


顯示: