Windows Server 2003安全事件ID分析

核心提示： 七、特权使用事件 下面显示了由"审核特权使用"安全模板设置所生成的安全事件， 576：指定的特权已添加到用户的访问令牌中，Windows Server 2003安全事件ID分析(7)， 注意： 当用户登录时生成此事件， 577：用户试图执行需要特权的系统服务操作， 52

七、特权使用事件

下面显示了由"审核特权使用"安全模板设置所生成的安全事件。

576：指定的特权已添加到用户的访问令牌中。

注意：

当用户登录时生成此事件。

577：用户试图执行需要特权的系统服务操作。

578：特权用于已经打开的受保护对象的句柄。

八、详细的跟踪事件

下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。

592：已创建新进程。

593：进程已退出。

594：对象句柄已复制。

595：已获取对象的间接访问权。

596：数据保护主密钥已备份。

注意：

主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。（默认设置为 90 天。）通常由域控制器备份主密钥。

597：数据保护主密钥已从恢复服务器恢复。

598：审核过的数据已受保护。

599：审核过的数据未受保护。

600：已分配给进程主令牌。

601：用户试图安装服务。

602：已创建计划程序任务。

九、审核系统事件

下面显示了由"审核系统事件"安全模板设置所生成的系统事件。

512：Windows 正在启动。

513：Windows 正在关机。

514：本地安全机制机构已加载身份验证数据包。

515：受信任的登录过程已经在本地安全机构注册。

516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。

517：审核日志已清除。

518：安全帐户管理器已加载通知数据包。

519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。

520：系统时间已更改。

注意：

在正常情况下，该审核出现两次。