Windows Server 2003 安全性事件

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日

本頁內容

目標
適用於
如何使用本單元
帳戶登入事件
帳戶管理事件
目錄服務存取事件
稽核登入事件
物件存取事件
稽核原則變更事件
特殊權限使用事件
詳細的追蹤事件
稽核系統事件

目標

透過本單元即可:

  • 識別由 Microsoft® Windows Server™ 2003 作業系統所產生的安全性事件。

回到頁首

適用於

本單元適用於下列產品及技術:

  • Windows Server 2003

回到頁首

如何使用本單元

本單元隨附於《Windows Server 2003 Security Guide (英文)》。使用此單元中的表格作為快速參考,來協助識別記錄在 Microsoft® Windows 作業系統事件日誌中的安全性相關事件。您還可以使用此單元來協助您設定系統監視軟體,例如 Microsoft 作業管理員 (Microsoft Operations Manager,MOM)。

回到頁首

帳戶登入事件

[表 1] 顯示由稽核帳戶登入事件安全性範本設定所產生的安全性事件。

[表 1]:稽核帳戶登入事件

事件識別碼 事件說明
672 驗證服務 (AS) 票證已成功發出,而且也通過驗證。
673 已授與票證授與服務 (TGS) 的票證。TGS 為由 Kerberos 第 5 版票證授與服務 TGS 所核發的票證,讓使用者能夠向網域中的特定服務驗證。
674 安全性主體已更新 AS 票證或 TGS 票證。
675 預先驗證失敗。此事件是當使用者鍵入不正確的密碼時,在金鑰發佈中心 (KDC) 上產生的。
676 驗證票證要求已失敗。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。
677 未授與 TGS 票證。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。
678 帳戶已成功地對應至網域帳戶。
681 登入失敗。嘗試進行網域帳戶登入。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。
682 使用者已重新連線至中斷連線的終端機伺服器工作階段。
683 使用者未登出就將終端機伺服器工作階段中斷連線。

回到頁首

帳戶管理事件

[表 2] 顯示由稽核帳戶管理安全性範本設定所產生的安全性事件。

[表 2]:稽核帳戶管理事件

事件識別碼 事件說明
624 已建立使用者帳戶。
627 已變更使用者密碼。
628 已設定使用者密碼。
630 已刪除使用者帳戶。
631 已建立通用群組。
632 成員已加入通用群組。
633 已將成員自通用群組中移除。
634 已刪除通用群組。
635 已建立新的本機群組。
636 成員已加入本機群組。
637 已將成員自本機群組中移除。
638 已刪除本機群組。
639 已變更本機群組帳戶。
641 已變更通用群組帳戶。
642 已變更使用者帳戶。
643 已修改網域原則。
644 已自動鎖定使用者帳戶。
645 已建立電腦帳戶。
646 已變更電腦帳戶。
647 已刪除電腦帳戶。
648 已建立停用安全性的本機安全性群組。
注意:正式名稱中的 SECURITY_DISABLED 表示此群組不能在存取檢查中用來授與權限。
649 已變更停用安全性的本機安全性群組。
650 成員已加入停用安全性的本機安全性群組。
651 已將成員自停用安全性的本機安全性群組中移除。
652 已刪除停用安全性的本機群組。
653 已建立停用安全性的通用群組。
654 已變更停用安全性的通用群組。
655 成員已加入停用安全性的通用群組。
656 已將成員自停用安全性的通用群組中移除。
657 已刪除停用安全性的通用群組。
658 已建立啟用安全性的萬用群組。
659 已變更啟用安全性的萬用群組。
660 成員已加入啟用安全性的萬用群組。
661 已將成員自啟用安全性的萬用群組中移除。
662 已刪除啟用安全性的萬用群組。
663 已建立停用安全性的萬用群組。
664 已變更停用安全性的萬用群組。
665 成員已加入停用安全性的萬用群組。
666 已將成員自停用安全性的萬用群組中移除。
667 已刪除停用安全性的萬用群組。
668 已變更群組類型。
684 已設定管理群組成員的安全性描述元。
注意:在網域控制站上每隔 60 分鐘,幕後執行緒會搜尋管理群組的所有成員 (例如,網域、企業,以及架構系統管理員),並在其上套用固定的安全性描述元。此事件會記錄下來。
685 已變更帳戶的名稱。

回到頁首

目錄服務存取事件

[表 3] 顯示由稽核目錄服務存取安全性範本設定所產生的安全性事件。

[表 3]:稽核目錄服務存取事件

事件識別碼 事件說明
566 發生一般物件作業。

回到頁首

稽核登入事件

[表 4] 包含由稽核登入事件安全性範本設定所產生的安全性事件。

[表 4]:稽核登入事件

事件識別碼 稽核登入事件
528 使用者已成功地登入電腦。
529 登入失敗。用未知的使用者名稱或具錯誤密碼的已知使用者名稱,來嘗試進行登入。
530 登入失敗。於允許時限之外嘗試進行登入。
531 登入失敗。嘗試使用已停用的帳戶登入。
532 登入失敗。嘗試使用已過期的帳戶登入。
533 登入失敗。由不允許登入指定電腦的使用者來嘗試進行登入。
534 登入失敗。使用者利用不允許的密碼類型來嘗試進行登入。
535 登入失敗。指定之帳戶的密碼已經過期。
536 登入失敗。Net Logon 服務並未啟動。
537 登入失敗。基於其他的理由,嘗試登入已失敗。
注意:在某些狀況下,可能不知道登入失敗的理由。
538 使用者的登出程序已完成。
539 登入失敗。嘗試登入時,帳戶是鎖定的。
540 使用者已成功地登入網路。
541 主要模式的網際網路金鑰交換 (IKE) 驗證已在本機電腦與列出的對等個體之間完成 (建立安全性關聯),或是快速模式已建立資料通道。
542 資料通道已終止。
543 主要模式已終止。
注意:發生此種情況可能是因為對於安全性關聯過期 (預設為八個小時)、原則變更,或對等個體終止加以時間限制的結果。
544 因為對等個體未提供有效的憑證,或是簽章未經驗證,所以主要模式驗證失敗。
545 因為 Kerberos 驗證失敗或密碼不正確,所以主要模式驗證失敗。
546 因為對等個體送出無效的提議,所以 IKE 安全性關聯的建立失敗。已收到包含無效資料的封包。
547 在 IKE 交握期間發生失敗。
548 登入失敗。得自信任網域的安全性識別元 (SID) 與用戶端的帳戶網域 SID 不相符。
549 登入失敗。對應於不受信任命名空間的所有 SID 已於跨越樹系進行驗證的期間遭過濾掉。
550 通知訊息可以表示可能遭到拒絕服務 (DoS) 攻擊。
551 使用者啟動了登出程序。
552 使用者利用明確憑證來成功地登入電腦,但之前已使用不同的使用者身份登入。
682 使用者已重新連線至中斷連線的終端機伺服器工作階段。
683 使用者沒有登出,就將終端機伺服器工作階段中斷連線。注意:此事件是使用者跨越網路連線至終端機伺服器工作階段時產生的。它會在終端機伺服器上顯示。

回到頁首

物件存取事件

[表 5] 顯示由稽核物件存取安全性範本設定所產生的安全性事件。

[表 5]:稽核物件存取事件

事件識別碼 事件說明
560 已將存取權授與早已存在的物件。
562 已關閉物件的控制碼。
563 為了刪除物件而嘗試加以開啟。
注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 旗標時,這是由檔案系統所使用。
564 已刪除受保護的物件。
565 已將存取權授與早已存在的物件類型。
567 已使用與控制碼有關聯的權限。
注意:建立具某種授與權限 (讀取、寫入等) 的控制碼。在使用控制碼時,針對使用的每一項權限都會產生最多一個稽核。
568 嘗試建立指向正在稽核中之檔案的永久連結。
569 「授權管理員」中的資源管理員嘗試建立用戶端內容。
570 用戶端嘗試存取物件。
注意:對物件嘗試進行的每一項作業都會產生事件。
571 由「授權管理員」應用程式刪除用戶端內容。
572 「系統管理員」已初始化應用程式。
772 「憑證管理員」拒絕了擱置憑證的要求。
773 「憑證服務」收到了重新提交憑證的要求。
774 「憑證服務」撤銷了一個憑證。
775 「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求。
776 「憑證服務」發佈了 CRL。
777 已進行憑證要求延伸。
778 一個以上的憑證要求屬性已變更。
779 「憑證服務」收到了關機的要求。
780 「憑證服務」備份已啟動。
781 「憑證服務」備份已完成。
782 「憑證服務」還原已啟動。
783 「憑證服務」還原已完成。
784 「憑證服務」已啟動。
785 「憑證服務」已停止。
786 「憑證服務」的安全性權限已變更。
787 「憑證服務」抓取了一個備份金鑰。
788 「憑證服務」將憑證匯入其資料庫。
789 「憑證服務」的稽核篩選器已變更。
790 「憑證服務」收到了憑證要求。
791 「憑證服務」已同意憑證要求,而且發行了憑證。
792 「憑證服務」拒絕了憑證要求。
793 「憑證服務」將憑證要求的狀態設定為擱置。
794 「憑證服務」的憑證管理員設定已變更。
795 「憑證服務」的設定項目已變更。
796 「憑證服務」的內容已變更。
797 「憑證服務」備份了一個金鑰。
798 「憑證服務」已匯入、並且備份了一個金鑰。
799 「憑證服務」針對 Microsoft Active Directory® 目錄服務,發佈了憑證授權 (CA) 的憑證。
800 已從憑證資料庫刪除了一行以上的資料行。
801 已啟用角色分隔。

回到頁首

稽核原則變更事件

[表 6] 顯示由稽核原則變更安全性範本設定所產生的安全性事件。

[表 6]:稽核原則變更事件

事件識別碼 事件說明
608 已指派使用者權利。
609 已移除使用者權利。
610 已建立與另一個網域的信任關係。
611 已移除與另一個網域的信任關係。
612 已變更稽核原則。
613 已啟動網際網路通訊協定安全性 (IPSec) 原則代理程式。
614 已停用 IPSec 原則代理程式。
615 已變更 IPSec 原則代理程式。
616 IPSec 原則代理程式遇到潛在性嚴重失敗。
617 Kerberos 第 5 版原則已變更。
618 「加密資料修復」原則已變更。
620 已修改與另一個網域的信任關係。
621 系統存取權已授與帳戶。
622 已將系統存取權自帳戶移除。
623 稽核原則是以每一使用者為基礎來設定的。
625 稽核原則是以每一使用者為基礎來重新整理的。
768 在一個樹系中的命名空間元素與另一樹系中的命名空間元素之間,已偵測到衝突。
注意:若一個樹系中的命名空間元素與另一樹系中的命名空間元素重疊,則在解析屬於其中一個命名空間元素的名稱時,會造成模稜兩可的情況。此重疊也稱為衝突。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等欄位對於「TopLevelName」類型的項目來說都是無效的。
769 已新增受信任的樹系資訊。
注意:此事件訊息是在更新了樹系信任資訊,並新增一或多個項目時所產生的。對於每一個新增、刪除,或修改的項目,都會產生一個事件訊息。在單獨一次更新樹系信任資訊時,如果新增、刪除,或修改了多個項目,則所有產生的事件訊息都會被指派一個獨特的識別元,稱為「作業 ID」。此舉讓您能夠確定產生的多個事件訊息,都來自同一個作業。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等參數對於「TopLevelName」類型的項目來說都是無效的。
770 已刪除受信任的樹系資訊。
注意:有關事件 769 請參閱事件說明。
771 已修改受信任的樹系資訊。
注意:有關事件 769 請參閱事件說明。
805 事件日誌服務會讀取工作階段的安全性記錄設定。

回到頁首

特殊權限使用事件

[表 7] 顯示由稽核特殊權限使用安全性範本設定所產生的安全性事件。

[表 7]:特殊權限使用事件

事件識別碼 事件說明
576 指定的特殊權限已加入使用者的存取權杖。
注意:此事件是在使用者登入時所產生的。
577 使用者嘗試執行需要特殊權限的系統服務作業。
578 特殊權限已使用在受保護物件的已開啟控制碼上。

回到頁首

詳細的追蹤事件

[表 8] 顯示由稽核程序追蹤安全性範本設定所產生的安全性事件。

[表 8]:稽核程序追蹤事件

事件識別碼 事件說明
592 已建立新的程序。
593 程序已結束。
594 已複製物件的控制碼。
595 已取得物件的間接存取權。
596 已備份資料保護主要金鑰。
注意:主要金鑰是由 CryptProtectData 和 CryptUnprotectData 常式,以及加密檔案系統 (EFS) 所使用。每一次建立一個新的主要金鑰時都會加以備份。(預設的設定為 90 天)。該金鑰通常是由網域控制站備份。
597 資料保護主要金鑰已利用復原伺服器復原。
598 已保護可稽核的資料。
599 未保護可稽核的資料。
600 程序已指派主要權杖。
601 使用者嘗試安裝服務。
602 已建立排程器工作。

回到頁首

稽核系統事件

[表 9] 顯示由稽核系統事件安全性範本設定所產生的系統事件。

[表 9]:稽核系統事件

事件識別碼 事件說明
512 Windows 正在啟動。
513 Windows 正在關機。
514 驗證封裝已由「本機安全性授權」載入。
515 受信任的登入程序已經向「本機安全性授權」註冊。
516 配置給安全性事件訊息佇列的內部資源已用盡,造成某些安全性事件訊息遺失。
517 已清除稽核記錄。
518 通知封裝軟體已由「安全性帳戶管理員」載入。
519 處理程序正在使用無效的本機程序呼叫 (Local Procedure Call,LPC) 連接埠,以嘗試模擬用戶端來回應、讀取,或寫入用戶端位址空間。
520 已變更系統時間。
注意:此稽核通常會出現兩次。

回到頁首