Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
目標
適用於
如何使用本單元
帳戶登入事件
帳戶管理事件
目錄服務存取事件
稽核登入事件
物件存取事件
稽核原則變更事件
特殊權限使用事件
詳細的追蹤事件
稽核系統事件
目標
透過本單元即可:
- 識別由 Microsoft® Windows Server™ 2003 作業系統所產生的安全性事件。
適用於
本單元適用於下列產品及技術:
- Windows Server 2003
如何使用本單元
本單元隨附於《Windows Server 2003 Security Guide (英文)》。使用此單元中的表格作為快速參考,來協助識別記錄在 Microsoft® Windows 作業系統事件日誌中的安全性相關事件。您還可以使用此單元來協助您設定系統監視軟體,例如 Microsoft 作業管理員 (Microsoft Operations Manager,MOM)。
帳戶登入事件
[表 1] 顯示由稽核帳戶登入事件安全性範本設定所產生的安全性事件。
[表 1]:稽核帳戶登入事件
| 事件識別碼 | 事件說明 |
|---|---|
| 672 | 驗證服務 (AS) 票證已成功發出,而且也通過驗證。 |
| 673 | 已授與票證授與服務 (TGS) 的票證。TGS 為由 Kerberos 第 5 版票證授與服務 TGS 所核發的票證,讓使用者能夠向網域中的特定服務驗證。 |
| 674 | 安全性主體已更新 AS 票證或 TGS 票證。 |
| 675 | 預先驗證失敗。此事件是當使用者鍵入不正確的密碼時,在金鑰發佈中心 (KDC) 上產生的。 |
| 676 | 驗證票證要求已失敗。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
| 677 | 未授與 TGS 票證。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
| 678 | 帳戶已成功地對應至網域帳戶。 |
| 681 | 登入失敗。嘗試進行網域帳戶登入。此事件不是在 Windows XP Professional 或 Windows Server 系列的成員中產生的。 |
| 682 | 使用者已重新連線至中斷連線的終端機伺服器工作階段。 |
| 683 | 使用者未登出就將終端機伺服器工作階段中斷連線。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 624 | 已建立使用者帳戶。 |
| 627 | 已變更使用者密碼。 |
| 628 | 已設定使用者密碼。 |
| 630 | 已刪除使用者帳戶。 |
| 631 | 已建立通用群組。 |
| 632 | 成員已加入通用群組。 |
| 633 | 已將成員自通用群組中移除。 |
| 634 | 已刪除通用群組。 |
| 635 | 已建立新的本機群組。 |
| 636 | 成員已加入本機群組。 |
| 637 | 已將成員自本機群組中移除。 |
| 638 | 已刪除本機群組。 |
| 639 | 已變更本機群組帳戶。 |
| 641 | 已變更通用群組帳戶。 |
| 642 | 已變更使用者帳戶。 |
| 643 | 已修改網域原則。 |
| 644 | 已自動鎖定使用者帳戶。 |
| 645 | 已建立電腦帳戶。 |
| 646 | 已變更電腦帳戶。 |
| 647 | 已刪除電腦帳戶。 |
| 648 | 已建立停用安全性的本機安全性群組。 注意:正式名稱中的 SECURITY_DISABLED 表示此群組不能在存取檢查中用來授與權限。 |
| 649 | 已變更停用安全性的本機安全性群組。 |
| 650 | 成員已加入停用安全性的本機安全性群組。 |
| 651 | 已將成員自停用安全性的本機安全性群組中移除。 |
| 652 | 已刪除停用安全性的本機群組。 |
| 653 | 已建立停用安全性的通用群組。 |
| 654 | 已變更停用安全性的通用群組。 |
| 655 | 成員已加入停用安全性的通用群組。 |
| 656 | 已將成員自停用安全性的通用群組中移除。 |
| 657 | 已刪除停用安全性的通用群組。 |
| 658 | 已建立啟用安全性的萬用群組。 |
| 659 | 已變更啟用安全性的萬用群組。 |
| 660 | 成員已加入啟用安全性的萬用群組。 |
| 661 | 已將成員自啟用安全性的萬用群組中移除。 |
| 662 | 已刪除啟用安全性的萬用群組。 |
| 663 | 已建立停用安全性的萬用群組。 |
| 664 | 已變更停用安全性的萬用群組。 |
| 665 | 成員已加入停用安全性的萬用群組。 |
| 666 | 已將成員自停用安全性的萬用群組中移除。 |
| 667 | 已刪除停用安全性的萬用群組。 |
| 668 | 已變更群組類型。 |
| 684 | 已設定管理群組成員的安全性描述元。 注意:在網域控制站上每隔 60 分鐘,幕後執行緒會搜尋管理群組的所有成員 (例如,網域、企業,以及架構系統管理員),並在其上套用固定的安全性描述元。此事件會記錄下來。 |
| 685 | 已變更帳戶的名稱。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 566 | 發生一般物件作業。 |
| 事件識別碼 | 稽核登入事件 |
|---|---|
| 528 | 使用者已成功地登入電腦。 |
| 529 | 登入失敗。用未知的使用者名稱或具錯誤密碼的已知使用者名稱,來嘗試進行登入。 |
| 530 | 登入失敗。於允許時限之外嘗試進行登入。 |
| 531 | 登入失敗。嘗試使用已停用的帳戶登入。 |
| 532 | 登入失敗。嘗試使用已過期的帳戶登入。 |
| 533 | 登入失敗。由不允許登入指定電腦的使用者來嘗試進行登入。 |
| 534 | 登入失敗。使用者利用不允許的密碼類型來嘗試進行登入。 |
| 535 | 登入失敗。指定之帳戶的密碼已經過期。 |
| 536 | 登入失敗。Net Logon 服務並未啟動。 |
| 537 | 登入失敗。基於其他的理由,嘗試登入已失敗。 注意:在某些狀況下,可能不知道登入失敗的理由。 |
| 538 | 使用者的登出程序已完成。 |
| 539 | 登入失敗。嘗試登入時,帳戶是鎖定的。 |
| 540 | 使用者已成功地登入網路。 |
| 541 | 主要模式的網際網路金鑰交換 (IKE) 驗證已在本機電腦與列出的對等個體之間完成 (建立安全性關聯),或是快速模式已建立資料通道。 |
| 542 | 資料通道已終止。 |
| 543 | 主要模式已終止。 注意:發生此種情況可能是因為對於安全性關聯過期 (預設為八個小時)、原則變更,或對等個體終止加以時間限制的結果。 |
| 544 | 因為對等個體未提供有效的憑證,或是簽章未經驗證,所以主要模式驗證失敗。 |
| 545 | 因為 Kerberos 驗證失敗或密碼不正確,所以主要模式驗證失敗。 |
| 546 | 因為對等個體送出無效的提議,所以 IKE 安全性關聯的建立失敗。已收到包含無效資料的封包。 |
| 547 | 在 IKE 交握期間發生失敗。 |
| 548 | 登入失敗。得自信任網域的安全性識別元 (SID) 與用戶端的帳戶網域 SID 不相符。 |
| 549 | 登入失敗。對應於不受信任命名空間的所有 SID 已於跨越樹系進行驗證的期間遭過濾掉。 |
| 550 | 通知訊息可以表示可能遭到拒絕服務 (DoS) 攻擊。 |
| 551 | 使用者啟動了登出程序。 |
| 552 | 使用者利用明確憑證來成功地登入電腦,但之前已使用不同的使用者身份登入。 |
| 682 | 使用者已重新連線至中斷連線的終端機伺服器工作階段。 |
| 683 | 使用者沒有登出,就將終端機伺服器工作階段中斷連線。注意:此事件是使用者跨越網路連線至終端機伺服器工作階段時產生的。它會在終端機伺服器上顯示。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 560 | 已將存取權授與早已存在的物件。 |
| 562 | 已關閉物件的控制碼。 |
| 563 | 為了刪除物件而嘗試加以開啟。 注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 旗標時,這是由檔案系統所使用。 |
| 564 | 已刪除受保護的物件。 |
| 565 | 已將存取權授與早已存在的物件類型。 |
| 567 | 已使用與控制碼有關聯的權限。 注意:建立具某種授與權限 (讀取、寫入等) 的控制碼。在使用控制碼時,針對使用的每一項權限都會產生最多一個稽核。 |
| 568 | 嘗試建立指向正在稽核中之檔案的永久連結。 |
| 569 | 「授權管理員」中的資源管理員嘗試建立用戶端內容。 |
| 570 | 用戶端嘗試存取物件。 注意:對物件嘗試進行的每一項作業都會產生事件。 |
| 571 | 由「授權管理員」應用程式刪除用戶端內容。 |
| 572 | 「系統管理員」已初始化應用程式。 |
| 772 | 「憑證管理員」拒絕了擱置憑證的要求。 |
| 773 | 「憑證服務」收到了重新提交憑證的要求。 |
| 774 | 「憑證服務」撤銷了一個憑證。 |
| 775 | 「憑證服務」收到了發佈憑證撤銷清單 (CRL) 的要求。 |
| 776 | 「憑證服務」發佈了 CRL。 |
| 777 | 已進行憑證要求延伸。 |
| 778 | 一個以上的憑證要求屬性已變更。 |
| 779 | 「憑證服務」收到了關機的要求。 |
| 780 | 「憑證服務」備份已啟動。 |
| 781 | 「憑證服務」備份已完成。 |
| 782 | 「憑證服務」還原已啟動。 |
| 783 | 「憑證服務」還原已完成。 |
| 784 | 「憑證服務」已啟動。 |
| 785 | 「憑證服務」已停止。 |
| 786 | 「憑證服務」的安全性權限已變更。 |
| 787 | 「憑證服務」抓取了一個備份金鑰。 |
| 788 | 「憑證服務」將憑證匯入其資料庫。 |
| 789 | 「憑證服務」的稽核篩選器已變更。 |
| 790 | 「憑證服務」收到了憑證要求。 |
| 791 | 「憑證服務」已同意憑證要求,而且發行了憑證。 |
| 792 | 「憑證服務」拒絕了憑證要求。 |
| 793 | 「憑證服務」將憑證要求的狀態設定為擱置。 |
| 794 | 「憑證服務」的憑證管理員設定已變更。 |
| 795 | 「憑證服務」的設定項目已變更。 |
| 796 | 「憑證服務」的內容已變更。 |
| 797 | 「憑證服務」備份了一個金鑰。 |
| 798 | 「憑證服務」已匯入、並且備份了一個金鑰。 |
| 799 | 「憑證服務」針對 Microsoft Active Directory® 目錄服務,發佈了憑證授權 (CA) 的憑證。 |
| 800 | 已從憑證資料庫刪除了一行以上的資料行。 |
| 801 | 已啟用角色分隔。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 608 | 已指派使用者權利。 |
| 609 | 已移除使用者權利。 |
| 610 | 已建立與另一個網域的信任關係。 |
| 611 | 已移除與另一個網域的信任關係。 |
| 612 | 已變更稽核原則。 |
| 613 | 已啟動網際網路通訊協定安全性 (IPSec) 原則代理程式。 |
| 614 | 已停用 IPSec 原則代理程式。 |
| 615 | 已變更 IPSec 原則代理程式。 |
| 616 | IPSec 原則代理程式遇到潛在性嚴重失敗。 |
| 617 | Kerberos 第 5 版原則已變更。 |
| 618 | 「加密資料修復」原則已變更。 |
| 620 | 已修改與另一個網域的信任關係。 |
| 621 | 系統存取權已授與帳戶。 |
| 622 | 已將系統存取權自帳戶移除。 |
| 623 | 稽核原則是以每一使用者為基礎來設定的。 |
| 625 | 稽核原則是以每一使用者為基礎來重新整理的。 |
| 768 | 在一個樹系中的命名空間元素與另一樹系中的命名空間元素之間,已偵測到衝突。 注意:若一個樹系中的命名空間元素與另一樹系中的命名空間元素重疊,則在解析屬於其中一個命名空間元素的名稱時,會造成模稜兩可的情況。此重疊也稱為衝突。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等欄位對於「TopLevelName」類型的項目來說都是無效的。 |
| 769 | 已新增受信任的樹系資訊。 注意:此事件訊息是在更新了樹系信任資訊,並新增一或多個項目時所產生的。對於每一個新增、刪除,或修改的項目,都會產生一個事件訊息。在單獨一次更新樹系信任資訊時,如果新增、刪除,或修改了多個項目,則所有產生的事件訊息都會被指派一個獨特的識別元,稱為「作業 ID」。此舉讓您能夠確定產生的多個事件訊息,都來自同一個作業。對於每一種項目類型,並非所有參數都有效。例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等參數對於「TopLevelName」類型的項目來說都是無效的。 |
| 770 | 已刪除受信任的樹系資訊。 注意:有關事件 769 請參閱事件說明。 |
| 771 | 已修改受信任的樹系資訊。 注意:有關事件 769 請參閱事件說明。 |
| 805 | 事件日誌服務會讀取工作階段的安全性記錄設定。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 576 | 指定的特殊權限已加入使用者的存取權杖。 注意:此事件是在使用者登入時所產生的。 |
| 577 | 使用者嘗試執行需要特殊權限的系統服務作業。 |
| 578 | 特殊權限已使用在受保護物件的已開啟控制碼上。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 592 | 已建立新的程序。 |
| 593 | 程序已結束。 |
| 594 | 已複製物件的控制碼。 |
| 595 | 已取得物件的間接存取權。 |
| 596 | 已備份資料保護主要金鑰。 注意:主要金鑰是由 CryptProtectData 和 CryptUnprotectData 常式,以及加密檔案系統 (EFS) 所使用。每一次建立一個新的主要金鑰時都會加以備份。(預設的設定為 90 天)。該金鑰通常是由網域控制站備份。 |
| 597 | 資料保護主要金鑰已利用復原伺服器復原。 |
| 598 | 已保護可稽核的資料。 |
| 599 | 未保護可稽核的資料。 |
| 600 | 程序已指派主要權杖。 |
| 601 | 使用者嘗試安裝服務。 |
| 602 | 已建立排程器工作。 |
| 事件識別碼 | 事件說明 |
|---|---|
| 512 | Windows 正在啟動。 |
| 513 | Windows 正在關機。 |
| 514 | 驗證封裝已由「本機安全性授權」載入。 |
| 515 | 受信任的登入程序已經向「本機安全性授權」註冊。 |
| 516 | 配置給安全性事件訊息佇列的內部資源已用盡,造成某些安全性事件訊息遺失。 |
| 517 | 已清除稽核記錄。 |
| 518 | 通知封裝軟體已由「安全性帳戶管理員」載入。 |
| 519 | 處理程序正在使用無效的本機程序呼叫 (Local Procedure Call,LPC) 連接埠,以嘗試模擬用戶端來回應、讀取,或寫入用戶端位址空間。 |
| 520 | 已變更系統時間。 注意:此稽核通常會出現兩次。 |