WINDOWS安全日志说明

### Windows安全日志详解 Windows安全日志是操作系统中一项重要的功能，主要用于记录与系统安全性相关的事件，如登录尝试、权限更改等。这对于系统管理员来说是至关重要的工具，可以帮助他们监控系统的安全状况，并在出现问题时进行追溯分析。下面将详细介绍Windows安全日志中的常见条目及其含义。 #### 登录类型 在Windows安全日志中，登录类型是一种常见的分类方式，它指出了用户是如何登录系统的。例如： - **2：交互式登录**（INTERACTIVE）：用户直接在计算机前通过用户名和密码登录。 - **3：网络登录**（NETWORK）：当用户通过网络连接到另一台计算机或服务器时发生的登录。 - **4：批处理登录**（BATCH）：用于计划任务的登录。 - **5：服务登录**（SERVICE）：当启动服务时发生的登录。 - **7：解锁**（UNLOCK）：屏幕被解锁时产生的登录。 - **8：网络明文登录**（NETWORKCLEARTEXT）：通过网络使用明文传输的登录。 - **9：新凭据**（NEWCREDENTIALS）：使用新认证信息登录。 - **10：远程交互式登录**（REMOTEINTERACTIVE）：通过远程桌面协议（RDP）等方式进行的登录。 - **11：缓存交互式登录**（CACHEDINTERACTIVE）：使用缓存凭证登录。 #### 认证事件 这些事件通常与用户的登录尝试有关，包括成功和失败的情况： - **672**：成功获得服务票（Service Ticket）。 - **673**：Kerberos V5 票据授予服务（Ticket Granting Service, TGS）票获取成功。 - **674**：从认证服务（Authentication Service, AS）获取到票据授予服务（TGS）票。 - **675**：预认证失败，无法联系到密钥分发中心（Key Distribution Center, KDC）。 - **676**：认证失败，通常发生在Windows XP Professional 和 Windows Server产品中。 - **677**：无法获得TGS票，同样出现在Windows XP Professional 和 Windows Server产品中。 - **681**：登录失败，超过账户锁定阈值。 - **682**：未找到已锁定的账户。 - **683**：未锁定账户。 #### 账户管理事件 这类事件涉及对账户的创建、修改或删除操作： - **624**：创建一个新账户。 - **627**：修改一个账户属性。 - **628**：启用一个账户。 - **630**：禁用一个账户。 - **632**：重置一个账户的密码。 - **633**：删除一个账户的密码历史记录。 - **635**：重命名一个账户。 - **636**：修改一个账户的密码。 - **638**：删除一个账户。 - **641**：修改一个账户的属性。 - **643**：修改一个账户的密码。 - **646**：修改一个账户的密码。 #### 特权提升事件 此类事件记录了用户尝试提升权限的情况： - **650**：用户获得了特定特权。 - **651**：用户删除了一个特定特权。 - **652**：删除了一个特权。 - **653**：用户获得了所有特权。 - **654**：修改了一个特权。 - **655**：用户获得了所有特权。 - **656**：用户删除了一个特定特权。 - **657**：删除了一个特权。 - **658**：用户获得了默认特权。 #### 失败审计事件 这些事件记录了失败的操作，有助于系统管理员追踪潜在的安全问题： - **528**：失败审计记录。 - **529**：未知错误的失败审计记录。 - **530**：与时间配置相关的失败审计记录。 - **531**：与认证相关的失败审计记录。 - **532**：与认证相关的失败审计记录。 - **533**：与认证相关的失败审计记录。 - **534**：与认证相关的失败审计记录。 - **535**：认证失败，可能是因为账户锁定。 - **536**：认证失败，未知原因。 - **537**：认证失败，无法确定具体原因。 - **538**：某账户不存在。 - **539**：认证失败，在特定条件下出现。 - **540**：失败审计记录。 - **541**：互联网密钥交换（IKE）协商失败。 - **542**：IKE协商失败。 - **543**：IKE协商超时。 - **544**：IKE协商失败。 - **545**：Kerberos认证失败。 - **546**：IKE协商失败。 - **547**：IKE会话终止。 - **548**：身份验证失败。 - **549**：SID匹配失败。 - **550**：拒绝DoS攻击通知。 - **551**：未解释的审计记录。 #### 文件系统事件 这部分记录了文件系统级别的操作： - **560**：文件访问权限改变。 - **562**：文件属性修改。 - **563**：文件删除。 - **564**：文件访问权限改变。 - **565**：文件访问权限改变。 - **567**：文件访问权限改变。 - **568**：文件被移动或重命名。 - **569**：文件签名验证失败。 - **570**：文件被远程打开。 - **571**：文件被远程关闭。 - **572**：应用程序启动。 #### 证书服务事件 这类事件涉及到数字证书的管理： - **772**：证书请求。 - **773**：证书续订。 - **774**：证书颁发。 - **775**：证书吊销（Certificate Revocation List, CRL）。 - **776**：证书吊销。 - **777**：证书更新。 - **778**：证书撤销。 - **779**：证书更新。 - **780**：证书服务启动。 - **781**：证书服务停止。 - **782**：证书服务启动。 - **783**：证书服务停止。 - **784**：证书服务已启动。 - **785**：证书服务已停止。 - **786**：证书服务的安全设置变更。 - **787**：证书服务的密钥恢复。 - **788**：证书服务的密钥备份失败。 - **789**：证书服务的密钥选择。 - **790**：证书撤销。 - **791**：证书准备撤销。 - **792**：证书更新。 - **793**：证书状态变化。 - **794**：证书被取消。 - **795**：证书被启用。 - **796**：证书更新。 - **797**：证书密钥恢复。 - **798**：证书使用密钥恢复。 - **799**：证书由CA签发到Active Directory。 - **800**：证书撤销列表删除。 - **801**：证书属性更改。 #### 权限变更事件 这类事件涉及到权限的变更： - **608**：权限更改失败。 - **609**：权限删除失败。 - **610**：权限分配。 - **611**：权限分配删除。 - **612**：权限更改。 - **613**：Internet安全策略，IPSec源。 以上列举了Windows安全日志中的一些关键事件类型。通过对这些事件的理解和分析，可以有效提高系统的安全性，并帮助及时发现并解决安全威胁。