審計帳戶登入事件
event id 描述
4776 – 域控制器試圖驗證帳戶憑證資訊
4777 -域控制器未能驗證帳戶憑證資訊
4768 -要求有kerberos驗證票(tgt)
4769 -要求有kerberos驗證票(tgt)
4770 – kerberos服務票被更新
審計帳戶管理
event id 描述
4741 – 計算機帳戶已建立
4742 – 計算機帳戶已更改
4743 – 計算機帳戶已刪除
4739 – 域政策已經更改
4782 – 密碼hash帳戶被訪問
4727 – 安全全域性組已經建立
4728 – 一名使用者被新增到安全全域性組
4729 – 一名使用者從安全全域性組解除
4730 – 安全全域性組已經刪除
4731 – 安全本地組已經建立
4732 -一名使用者被新增到安全本地組
4733 -一名使用者被安全本地組解除
4734 -安全本地組已經刪除
4735 – 安全本地組已經更改
4737 -安全全域性組已經更改
4754 -安全通用組已建立
4755 -安全通用組已建立更改
4756 -一名使用者被新增到安全通用組
4757 -一名使用者被安全通用組解除
4758 -安全本地組已經刪除
4720 – 使用者帳戶已建立
4722 – 使用者帳戶已啟用
4723 – 試圖更改帳戶密碼
4724 – 試圖重置帳戶密碼
4725 – 使用者帳戶被停用
4726 -使用者帳戶已刪除
4738 -使用者帳戶已被改變
4740 -使用者帳戶被鎖定
4765 – sid歷史記錄被新增到乙個帳戶
4766 -嘗試新增sid歷史記錄到帳戶失敗
4767 -使用者帳戶被鎖定
4780 -對管理組成員的帳戶設定了acl
審計目錄服務訪問
4934 – active directory 物件的屬性被複製
4935 -複製失敗開始
4936 -複製失敗結束
5136 -目錄服務物件已修改
5137 -目錄服務物件已建立
5138 -目錄服務物件已刪除
5139 -目錄服務物件已經移動
5141 -目錄服務物件已刪除
4932 -命名上下文的ad的副本同步已經開始
4933 -命名上下文的ad的副本同步已經結束
審計登入事件
4634 – 帳戶被登出
4647 – 使用者發起登出
4624 – 帳戶已成功登入
4625 – 帳戶登入失敗
4648 – 試圖使用明確的憑證登入
4675 – sid被過濾
4649 – 發現重放攻擊
4778 -會話被重新連線到window station
4779 -會話斷開連線到window station
4800 – 工作站被鎖定
4801 – 工作站被解鎖
4802 – 螢幕保護程式啟用
4803 -螢幕保護程式被禁用
5378 所要求的憑證代表是政策所不允許的
5632 要求對無線網路進行驗證
5633 要求對有線網路進行驗證
審計物件訪問
5140 – 網路共享物件被訪問
4664 – 試圖建立乙個硬鏈結
4985 – 交易狀態已經改變
5051 – 檔案已被虛擬化
5031 – windows防火牆服務阻止乙個應用程式接收網路中的入站連線
4698 -計畫任務已建立
4699 -計畫任務已刪除
4700 -計畫任務已啟用
4701 -計畫任務已停用
4702 -計畫任務已更新
4657 -登錄檔值被修改
5039 -登錄檔項被虛擬化
4660 -物件已刪除
4663 -試圖訪問乙個物件
審計政策變化
4715 – 物件上的審計政策(sacl)已經更改
4719 – 系統審計政策已經更改
4902 – per-user審核政策表已經建立
4906 – crashonauditfail值已經變化
4907 – 物件的審計設定已經更改
4706 – 建立到域的新信任
4707 – 到域的信任已經刪除
4713 – kerberos政策已更改
4716 – 信任域資訊已經修改
4717 – 系統安全訪問授予帳戶
4718 – 系統安全訪問從帳戶移除
4864 – 名字空間碰撞被刪除
4865 – 信任森林資訊條目已新增
4866 – 信任森林資訊條目已刪除
4867 – 信任森林資訊條目已取消
4704 – 使用者許可權已分配
4705 – 使用者許可權已移除
4714 – 加密資料復原政策已取消
4944 – 當開啟windows firewall時下列政策啟用
4945 – 當開啟windows firewall時列入乙個規則
4946 – 對windows防火牆例外列表進行了修改,新增規則
4947 – 對windows防火牆例外列表進行了修改,規則已修改
4948 – 對windows防火牆例外列表進行了修改,規則已刪除
4949 – windows防火牆設定已恢復到預設值
4950 – windows防火牆設定已更改
4951 – 因為主要版本號碼不被windows防火牆承認,規則已被忽視
4952 – 因為主要版本號碼不被windows防火牆承認,部分規則已被忽視,將執行規則的其餘部分
4953 – 因為windows防火牆不能解析規則,規則被忽略
4954 – windows防火牆組政策設定已經更改,將使用新設定
4956 – windows防火牆已經更改主動資料
4957 – windows防火牆不適用於以下規則
4958 – 因為該規則涉及的條目沒有被配置,windows防火牆將不適用以下規則:
6144 – 組策略物件中的安全政策已經成功運用
6145 – 當處理組策略物件中的安全政策時發生乙個或者多個錯誤
4670 – 物件的許可權已更改
審計特權使用
4672 – 給新登入分配特權
4673 – 要求特權服務
4674 – 試圖對特權物件嘗試操作
審計系統事件
5024 – windows防火牆服務已成功啟動
5025 – windows防火牆服務已經被停止
5027 – windows防火牆服務無法從本地儲存檢索安全政策,該服務將繼續執行目前的政策
5028 – windows防火牆服務無法解析的新的安全政策,這項服務將繼續執行目前的政策
5029 – windows防火牆服務無法初始化的驅動程式,這項服務將繼續執行目前的政策
5030 – windows防火牆服務無法啟動
5032 – windows防火牆無法通知使用者它阻止了接收入站連線的應用程式
5033 – windows防火牆驅動程式已成功啟動
5034 – windows防火牆驅動程式已經停止
5035 – windows防火牆驅動程式未能啟動
5037 – windows防火牆驅動程式檢測到關鍵執行錯誤,終止。
4608 -windows正在啟動
4609 – windows正在關機
4616 – 系統時間被改變
4621 – 管理員從crashonauditfail**系統,非管理員的使用者現在可以登入,有些審計活動可能沒有被記錄
4697 – 系統中安裝伺服器
4618 – 監測安全事件樣式已經發生
事件id
去除excel工作表保護密碼
sql server 日誌清理 (瞬間日誌變幾m)
Windows2008定時重啟
1 新建乙個文字檔案,將檔案字尾改為bat,然後新增如下 2 建立計畫任務 2.1 單擊開始 任務計畫程式 右鍵我的電腦 管理 任務計畫程式 2.2 單擊任務計畫程式庫 建立基本任務 2.3 輸入名稱及描述 2.4 選擇任務合適開始 2.5 設定具體的開始時間及間隔 2.6 啟動程式 2.7 選擇程...
windows2008伺服器安全初級配置
1 所有磁碟格式轉換為ntfs格式 2 微軟最新補丁 3 所有碟符根目錄只給system和administrator的許可權,其他的刪除 5 刪除系統預設共享。可以使用 net share 命令檢視,並全部刪除預設共享 net share c del net share d del net shar...
WINDOWS 2008 的任務計畫
2008 的任務計畫 跟 2003 有許多不同。首先是位置變了。2003的任務計畫在控制面板,到了2008,卻是在 管理工具。名稱也有改動,叫 任務計畫程式 介面也複雜了,開啟一看,好多標籤,登時就好緊張。不象以前那樣一步一步,嚮導式的,友好得很。但操作也差不多吧,起個名,選執行程式,執行時間,不外...