應(yīng)急響應(yīng)流程及對(duì)常見的病毒應(yīng)急方法、Windows安全事件查看及安全事件id匯總

2023-09-15 11:43 作者:天氣晴100200 0人讀過 | 我要投稿

1.響應(yīng)、保護(hù)：

查看事件類型、保護(hù)第一現(xiàn)場(chǎng)、了解情況（什么操作系統(tǒng)、之前有沒有類似的狀況）

2.阻斷：

切斷網(wǎng)絡(luò)、阻斷傳播、隔離核心資產(chǎn)

3.分析排查：

(1)痕跡分析：

日志、流量、樣本

(2)行為分析：

試著還原攻擊流程

(3)對(duì)已知漏洞排查

(4)查看系統(tǒng)基本信息：

windows查看補(bǔ)丁信息、linux查看系統(tǒng)arp表uname -a

(5)異常連接排查：

Windows下用netstat -ano|findstr ESTABLISH查看可疑的進(jìn)程；Linux下用lsof -i列出所有的tcp和udp進(jìn)程，列出所有的端口及進(jìn)程用netstat -antlp

(6)異常進(jìn)程排查：

windows：命令tasklist|findstr<key>列出本地或計(jì)算機(jī)上所有進(jìn)程，再用wmic process|findstr “”查看進(jìn)程路徑；linux用ps -aux顯示進(jìn)程相關(guān)信息，用top顯示內(nèi)存和cpu，對(duì)某個(gè)進(jìn)程進(jìn)行查找ps -ef|grep

Linux查看隱藏進(jìn)程 : ps -ef 、top -a、losf -i

(7)異常賬號(hào)排查：

windows下用lusrmgr.msc顯示用戶組和賬戶；linux用w查看utmp日志，last查看歷史登錄記錄，lastlog查看用戶最后登錄時(shí)間，lastb顯示用戶錯(cuò)誤登錄記錄，刪除用戶

usermod -L user

utmp：記錄有關(guān)當(dāng)前登錄進(jìn)入系統(tǒng)的各個(gè)用戶的信息。

w命令用來(lái)查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息；

wtmp：登錄、退出的記錄。

執(zhí)行l(wèi)ast命令可以往回搜索wtmp來(lái)顯示自從文件第一次創(chuàng)建以來(lái)登錄過的用戶

/etc/passwd 存賬戶信息一般不存密碼、包含系統(tǒng)用戶和用戶的主要信息

/etc/shadow 用于儲(chǔ)存系統(tǒng)中用戶的密碼，又稱為影子文件

(8)異常文件分析：

windows：%UserProfile%Recent查看recent相關(guān)文件，分析最近被打開的可疑文件；

linux：stat etc/passwd分析文件日期，find ./ mtime 0 -name “*.php" 查看24小時(shí)內(nèi)的被修改的php文件，ls -alt /tmp/查看敏感目錄文件

(9)啟動(dòng)項(xiàng)排查:

windows:msconfig查看啟動(dòng)項(xiàng)

linux：more /etc/rc.local文件

(10)計(jì)劃任務(wù)

windows：taskschd.msc查看計(jì)算任務(wù)

linux：crontab -l

(11)日志排查

linux下的ssh日志查看/var/log/sshd.log

/var/log/secure — 包含驗(yàn)證和授權(quán)方面信息。例如，sshd會(huì)將所有信息記錄（其中包括失敗登錄）在這里

1. /var/log/messages — 包括整體系統(tǒng)信息，其中也包含系統(tǒng)啟動(dòng)期間的日志。此外，mail，cron，daemon，kern和auth等內(nèi)容也記錄在var/log/messages日志中

2. /var/log/dmesg — 包含內(nèi)核緩沖信息（kernel ring buffer）。在系統(tǒng)啟動(dòng)時(shí)，會(huì)在屏幕上顯示許多與硬件有關(guān)的信息?？梢杂胐mesg查看它們。

4. /var/log/boot.log — 包含系統(tǒng)啟動(dòng)時(shí)的日志

5. /var/log/daemon.log — 包含各種系統(tǒng)后臺(tái)守護(hù)進(jìn)程日志信息。

6. /var/log/dpkg.log – 包括安裝或dpkg命令清除軟件包的日志。

7. /var/log/kern.log – 包含內(nèi)核產(chǎn)生的日志，有助于在定制內(nèi)核時(shí)解決問題。

8. /var/log/lastlog — 記錄所有用戶的最近信息。這不是一個(gè)ASCII文件，因此需要用lastlog命令查看內(nèi)容

9. /var/log/maillog /var/log/mail.log — 包含來(lái)著系統(tǒng)運(yùn)行電子郵件服務(wù)器的日志信息

0. /var/log/user.log — 記錄所有等級(jí)用戶信息的日志。

11. /var/log/Xorg.x.log — 來(lái)自X的日志信息。

12. /var/log/alternatives.log – 更新替代信息都記錄在這個(gè)文件中。

13. /var/log/btmp – 記錄所有失敗登錄信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

14. /var/log/cups — 涉及所有打印信息的日志。

15. /var/log/anaconda.log — 在安裝Linux時(shí)，所有安裝信息都儲(chǔ)存在這個(gè)文件中

16. /var/log/yum.log — 包含使用yum安裝的軟件包信息

17. /var/log/cron — 每當(dāng)cron進(jìn)程開始一個(gè)工作時(shí)，就會(huì)將相關(guān)信息記錄在這個(gè)文件中

18. /var/log/secure — 包含驗(yàn)證和授權(quán)方面信息

19. /var/log/wtmp或/var/log/utmp — 包含登錄信息。使用wtmp可以找出誰(shuí)正在登陸進(jìn)入系統(tǒng)，誰(shuí)使用命令顯示這個(gè)文件或信息等。

20. /var/log/faillog – 包含用戶登錄失敗信息

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 這個(gè)子目錄包含郵件服務(wù)器的額外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon儲(chǔ)存的信息。

/var/log/samba/ – 包含由samba存儲(chǔ)的信息。

/var/log/sa/ — 包含每日由sysstat軟件包收集的sar文件。

/var/log/sssd/ – 用于守護(hù)進(jìn)程安全服務(wù)

4.清除

5.加固

常見病毒的應(yīng)急響應(yīng)

蠕蟲病毒：

定義：一種自包含的程序，每入侵到新的計(jì)算機(jī)就會(huì)進(jìn)行復(fù)制自身并執(zhí)行

特點(diǎn)：服務(wù)器不斷向外網(wǎng)發(fā)起主動(dòng)連接等

應(yīng)急響應(yīng)：

1.將感染病毒的主機(jī)從內(nèi)網(wǎng)隔離

2.使用D盾協(xié)助查殺端口連接情況，通過端口異常跟蹤進(jìn)程ID

3.全盤掃描，定位異常文件

4.使用多引擎在線病毒對(duì)異常文件掃描，查看感染哪種蠕蟲病毒

5.關(guān)閉異常端口、清除文件、使用專用病毒工具對(duì)服務(wù)器進(jìn)行清查

網(wǎng)頁(yè)篡改：

類型：明顯篡改、隱藏式

原理：明顯的網(wǎng)頁(yè)篡改即攻擊者可炫耀自己的技術(shù)技巧，或表明自己的觀點(diǎn)，如之前的某中學(xué)官網(wǎng)被黑事件；隱藏式篡改一般是將被攻擊網(wǎng)站的網(wǎng)頁(yè)植入鏈接色情、詐騙等非法信息的鏈接中，以通過灰黑色產(chǎn)業(yè)牟取非法經(jīng)濟(jì)利益。

應(yīng)急響應(yīng)：

1.查找近段時(shí)間內(nèi)被篡改的文件或者新增的文件，查看被篡改文件或新增文件的最后修改時(shí)間，確定是否為自己修改或新增

2.打開被篡改的文件，檢查里面有無(wú)新增惡意代碼或被篡改了其他內(nèi)容

3.如果被篡改文件沒被修改，就說明可能被篡改的內(nèi)容被注入數(shù)據(jù)庫(kù)中，網(wǎng)站有注入漏洞，先把注入漏洞補(bǔ)上，在把被注入到數(shù)據(jù)庫(kù)的內(nèi)容清除

勒索病毒：

原理：勒索病毒，是一種伴隨數(shù)字貨幣興起的病毒木馬，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，勒索病毒一般利用非對(duì)稱加密算法和對(duì)稱加密算法組合的形式對(duì)受害者文件進(jìn)行加密。

特點(diǎn)：中毒的業(yè)務(wù)系統(tǒng)無(wú)法訪問、文件后綴被篡改、勒索信展示等

應(yīng)急響應(yīng)：

1.隔離被感染的服務(wù)器/主機(jī)

2.排查業(yè)務(wù)系統(tǒng)

3.利用留下的勒索信息，確定勒索病毒的種類，再進(jìn)行溯源分析

4.處置勒索病毒：

1.異常文件檢查并清除

2.補(bǔ)丁檢查，沒補(bǔ)丁打補(bǔ)丁

3.對(duì)賬號(hào)進(jìn)行排查，刪除可疑賬號(hào)

4.異常進(jìn)程、連接排查，殺掉可疑進(jìn)程，斷開異常連接

5.計(jì)劃任務(wù)排查

6.對(duì)網(wǎng)絡(luò)流量進(jìn)行排查

5.清除加固加安全設(shè)備

挖礦病毒：

特點(diǎn)：利用感染主機(jī)與挖礦域名連接進(jìn)行挖礦，感染主機(jī)出現(xiàn)主機(jī)卡頓和CPU占用高等現(xiàn)象

應(yīng)急響應(yīng)：

1.隔離主機(jī)，阻斷傳播

2. top命令查看CPU占用，查看CPU占用較高的進(jìn)程

3. 通過PID獲得對(duì)應(yīng)進(jìn)程目錄和進(jìn)程，定位進(jìn)程目錄或文件

4. 通過沙箱分析文件，確定病毒種類和病毒行為

5.對(duì)異常文件進(jìn)行分析

6. 排查計(jì)劃任務(wù)

7. 排查ssh公鑰

8. 通過/etc/rc.local排查主機(jī)啟動(dòng)項(xiàng)

9.排查賬戶

10. 查看主機(jī)日志

11. 查看定時(shí)任務(wù)

12.清除加固

0day排查并獲取漏洞pork

首先，需要了解0day漏洞的定義和特征。0day漏洞是指尚未公開或被修復(fù)的安全漏洞，因此攻擊者可以利用這些漏洞來(lái)進(jìn)行攻擊。通常情況下，0day攻擊會(huì)產(chǎn)生異常流量。

以下是排查0day流量的步驟：

1. 使用網(wǎng)絡(luò)監(jiān)控工具：使用網(wǎng)絡(luò)監(jiān)控工具（如Wireshark、TCPDump等）來(lái)捕獲網(wǎng)絡(luò)流量，并檢查是否有異常流量或未知協(xié)議。

2. 分析可疑IP地址：分析可疑IP地址并確定其來(lái)源。如果這些IP地址不是您公司的合法用戶或服務(wù)，則可能存在惡意行為。

3. 檢查應(yīng)用程序日志：檢查應(yīng)用程序日志以獲取有關(guān)任何異?；顒?dòng)的信息。例如，是否有大量錯(cuò)誤登錄嘗試、SQL注入嘗試等。

4. 分析系統(tǒng)文件：分析系統(tǒng)文件以確定是否存在任何未知文件、非法訪問等跡象。

5. 升級(jí)補(bǔ)丁和更新軟件版本：定期升級(jí)

釣魚郵件應(yīng)急響應(yīng)

1.發(fā)現(xiàn)為釣魚郵件的話，先對(duì)釣魚郵件進(jìn)行隔離，避免錯(cuò)誤操作或者傳播

2.如果點(diǎn)擊了釣魚郵件里的鏈接的話，將受害主機(jī)進(jìn)行斷網(wǎng)關(guān)機(jī)處理，如果有主機(jī)安全管理設(shè)備，對(duì)所有主機(jī)資產(chǎn)進(jìn)行病毒查殺，對(duì)系統(tǒng)和安全設(shè)備進(jìn)行安全掃描

3.如果有人在釣魚郵件里提交了密碼之類的敏感信息，立刻提醒并修改密碼

4.對(duì)賬號(hào)活動(dòng)進(jìn)行排查，定期監(jiān)控賬號(hào)活動(dòng)，如果有賬號(hào)進(jìn)行異常活動(dòng)，立即對(duì)該賬號(hào)進(jìn)行關(guān)閉或凍住

5.更新安全軟件和系統(tǒng)：確保你的操作系統(tǒng)、防病病毒軟件和防火墻等安全軟件處于最新狀態(tài)，以得到最新的安全完全保護(hù)和漏洞修復(fù)。

6.檢查安全措施：檢查你的組織的安全措施，包括郵件過濾、反釣魚培訓(xùn)和安全策略等。確保它們是有效的并能足夠防范范未來(lái)的釣魚攻擊

windows安全事件查看及安全事件id匯總

常用安全事件ID:

系統(tǒng)：

1074，通過這個(gè)事件ID查看計(jì)算機(jī)的開機(jī)、關(guān)機(jī)、重啟的時(shí)間以及原因和注釋。

6005，表示計(jì)算機(jī)日志服務(wù)已啟動(dòng)，如果出現(xiàn)了事件ID為6005，則表示這天正常啟動(dòng)了系統(tǒng)。

104，這個(gè)時(shí)間ID記錄所有審計(jì)日志清除事件，當(dāng)有日志被清除時(shí)，出現(xiàn)此事件ID。

安全：

4624，這個(gè)事件ID表示成功登陸的用戶，用來(lái)篩選該系統(tǒng)的用戶登陸成功情況。

4625，這個(gè)事件ID表示登陸失敗的用戶。

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示當(dāng)用戶帳號(hào)發(fā)生創(chuàng)建，刪除，改變密碼時(shí)的事件記錄。

4727,4737,4739,4762,事件ID表示當(dāng)用戶組發(fā)生添加、刪除時(shí)或組內(nèi)添加成員時(shí)生成該事件。

安全事件ID匯總備查：

EVENT_ID 安全事件信息

1100 ----- 事件記錄服務(wù)已關(guān)閉

1101 ----- 審計(jì)事件已被運(yùn)輸中斷。

1102 ----- 審核日志已清除

1104 ----- 安全日志現(xiàn)已滿

1105 ----- 事件日志自動(dòng)備份

1108 ----- 事件日志記錄服務(wù)遇到錯(cuò)誤

4608 ----- Windows正在啟動(dòng)

4609 ----- Windows正在關(guān)閉

4610 ----- 本地安全機(jī)構(gòu)已加載身份驗(yàn)證包

4611 ----- 已向本地安全機(jī)構(gòu)注冊(cè)了受信任的登錄進(jìn)程

4612 ----- 為審計(jì)消息排隊(duì)分配的內(nèi)部資源已經(jīng)用盡，導(dǎo)致一些審計(jì)丟失。

4614 ----- 安全帳戶管理器已加載通知包。

4615 ----- LPC端口使用無(wú)效

4616 ----- 系統(tǒng)時(shí)間已更改。

4618 ----- 已發(fā)生受監(jiān)視的安全事件模式

4621 ----- 管理員從CrashOnAuditFail恢復(fù)了系統(tǒng)

4622 ----- 本地安全機(jī)構(gòu)已加載安全包。

4624 ----- 帳戶已成功登錄

4625 ----- 帳戶無(wú)法登錄

4626 ----- 用戶/設(shè)備聲明信息

4627 ----- 集團(tuán)會(huì)員信息。

4634 ----- 帳戶已注銷

4646 ----- IKE DoS防護(hù)模式已啟動(dòng)

4647 ----- 用戶啟動(dòng)了注銷

4648 ----- 使用顯式憑據(jù)嘗試登錄

4649 ----- 檢測(cè)到重播攻擊

4650 ----- 建立了IPsec主模式安全關(guān)聯(lián)

4651 ----- 建立了IPsec主模式安全關(guān)聯(lián)

4652 ----- IPsec主模式協(xié)商失敗

4653 ----- IPsec主模式協(xié)商失敗

4654 ----- IPsec快速模式協(xié)商失敗

4655 ----- IPsec主模式安全關(guān)聯(lián)已結(jié)束

4656 ----- 請(qǐng)求了對(duì)象的句柄

4657 ----- 注冊(cè)表值已修改

4658 ----- 對(duì)象的句柄已關(guān)閉

4659 ----- 請(qǐng)求刪除對(duì)象的句柄

4660 ----- 對(duì)象已刪除

4661 ----- 請(qǐng)求了對(duì)象的句柄

4662 ----- 對(duì)對(duì)象執(zhí)行了操作

4663 ----- 嘗試訪問對(duì)象

4664 ----- 試圖創(chuàng)建一個(gè)硬鏈接

4665 ----- 嘗試創(chuàng)建應(yīng)用程序客戶端上下文。

4666 ----- 應(yīng)用程序嘗試了一個(gè)操作

4667 ----- 應(yīng)用程序客戶端上下文已刪除

4668 ----- 應(yīng)用程序已初始化

4670 ----- 對(duì)象的權(quán)限已更改

4671 ----- 應(yīng)用程序試圖通過TBS訪問被阻止的序號(hào)

4672 ----- 分配給新登錄的特權(quán)

4673 ----- 特權(quán)服務(wù)被召喚

4674 ----- 嘗試對(duì)特權(quán)對(duì)象執(zhí)行操作

4675 ----- SID被過濾掉了

4688 ----- 已經(jīng)創(chuàng)建了一個(gè)新流程

4689 ----- 一個(gè)過程已經(jīng)退出

4690 ----- 嘗試復(fù)制對(duì)象的句柄

4691 ----- 請(qǐng)求間接訪問對(duì)象

4692 ----- 嘗試備份數(shù)據(jù)保護(hù)主密鑰

4693 ----- 嘗試恢復(fù)數(shù)據(jù)保護(hù)主密鑰

4694 ----- 試圖保護(hù)可審計(jì)的受保護(hù)數(shù)據(jù)

4695 ----- 嘗試不受保護(hù)的可審計(jì)受保護(hù)數(shù)據(jù)

4696 ----- 主要令牌已分配給進(jìn)程

4697 ----- 系統(tǒng)中安裝了一項(xiàng)服務(wù)

4698 ----- 已創(chuàng)建計(jì)劃任務(wù)

4699 ----- 計(jì)劃任務(wù)已刪除

4700 ----- 已啟用計(jì)劃任務(wù)

4701 ----- 計(jì)劃任務(wù)已禁用

4702 ----- 計(jì)劃任務(wù)已更新

4703 ----- 令牌權(quán)已經(jīng)調(diào)整

4704 ----- 已分配用戶權(quán)限

4705 ----- 用戶權(quán)限已被刪除

4706 ----- 為域創(chuàng)建了新的信任

4707 ----- 已刪除對(duì)域的信任

4709 ----- IPsec服務(wù)已啟動(dòng)

4710 ----- IPsec服務(wù)已禁用

4711 ----- PAStore引擎（1％）

4712 ----- IPsec服務(wù)遇到了潛在的嚴(yán)重故障

4713 ----- Kerberos策略已更改

4714 ----- 加密數(shù)據(jù)恢復(fù)策略已更改

4715 ----- 對(duì)象的審核策略（SACL）已更改

4716 ----- 可信域信息已被修改

4717 ----- 系統(tǒng)安全訪問權(quán)限已授予帳戶

4718 ----- 系統(tǒng)安全訪問已從帳戶中刪除

4719 ----- 系統(tǒng)審核策略已更改

4720 ----- 已創(chuàng)建用戶帳戶

4722 ----- 用戶帳戶已啟用

4723 ----- 嘗試更改帳戶的密碼

4724 ----- 嘗試重置帳戶密碼

4725 ----- 用戶帳戶已被禁用

4726 ----- 用戶帳戶已刪除

4727 ----- 已創(chuàng)建啟用安全性的全局組

4728 ----- 已將成員添加到啟用安全性的全局組中

4729 ----- 成員已從啟用安全性的全局組中刪除

4730 ----- 已刪除啟用安全性的全局組

4731 ----- 已創(chuàng)建啟用安全性的本地組

4732 ----- 已將成員添加到啟用安全性的本地組

4733 ----- 成員已從啟用安全性的本地組中刪除

4734 ----- 已刪除已啟用安全性的本地組

4735 ----- 已啟用安全性的本地組已更改

4737 ----- 啟用安全性的全局組已更改

4738 ----- 用戶帳戶已更改

4739 ----- 域策略已更改

4740 ----- 用戶帳戶已被鎖定

4741 ----- 已創(chuàng)建計(jì)算機(jī)帳戶

4742 ----- 計(jì)算機(jī)帳戶已更改

4743 ----- 計(jì)算機(jī)帳戶已刪除

4744 ----- 已創(chuàng)建禁用安全性的本地組

4745 ----- 已禁用安全性的本地組已更改

4746 ----- 已將成員添加到已禁用安全性的本地組

4747 ----- 已從安全性已禁用的本地組中刪除成員

4748 ----- 已刪除安全性已禁用的本地組

4749 ----- 已創(chuàng)建一個(gè)禁用安全性的全局組

4750 ----- 已禁用安全性的全局組已更改

4751 ----- 已將成員添加到已禁用安全性的全局組中

4752 ----- 成員已從禁用安全性的全局組中刪除

4753 ----- 已刪除安全性已禁用的全局組

4754 ----- 已創(chuàng)建啟用安全性的通用組

4755 ----- 啟用安全性的通用組已更改

4756 ----- 已將成員添加到啟用安全性的通用組中

4757 ----- 成員已從啟用安全性的通用組中刪除

4758 ----- 已刪除啟用安全性的通用組

4759 ----- 創(chuàng)建了一個(gè)安全禁用的通用組

4760 ----- 安全性已禁用的通用組已更改

4761 ----- 已將成員添加到已禁用安全性的通用組中

4762 ----- 成員已從禁用安全性的通用組中刪除

4763 ----- 已刪除安全性已禁用的通用組

4764 ----- 組類型已更改

4765 ----- SID歷史記錄已添加到帳戶中

4766 ----- 嘗試將SID歷史記錄添加到帳戶失敗

4767 ----- 用戶帳戶已解鎖

4768 ----- 請(qǐng)求了Kerberos身份驗(yàn)證票證（TGT）

4769 ----- 請(qǐng)求了Kerberos服務(wù)票證

4770 ----- 更新了Kerberos服務(wù)票證

4771 ----- Kerberos預(yù)身份驗(yàn)證失敗

4772 ----- Kerberos身份驗(yàn)證票證請(qǐng)求失敗

4773 ----- Kerberos服務(wù)票證請(qǐng)求失敗

4774 ----- 已映射帳戶以進(jìn)行登錄

4775 ----- 無(wú)法映射帳戶以進(jìn)行登錄

4776 ----- 域控制器嘗試驗(yàn)證帳戶的憑據(jù)

4777 ----- 域控制器無(wú)法驗(yàn)證帳戶的憑據(jù)

4778 ----- 會(huì)話重新連接到Window Station

4779 ----- 會(huì)話已與Window Station斷開連接

4780 ----- ACL是在作為管理員組成員的帳戶上設(shè)置的

4781 ----- 帳戶名稱已更改

4782 ----- 密碼哈希帳戶被訪問

4783 ----- 創(chuàng)建了一個(gè)基本應(yīng)用程序組

4784 ----- 基本應(yīng)用程序組已更改

4785 ----- 成員已添加到基本應(yīng)用程序組

4786 ----- 成員已從基本應(yīng)用程序組中刪除

4787 ----- 非成員已添加到基本應(yīng)用程序組

4788 ----- 從基本應(yīng)用程序組中刪除了非成員。

4789 ----- 基本應(yīng)用程序組已刪除

4790 ----- 已創(chuàng)建LDAP查詢組

4791 ----- 基本應(yīng)用程序組已更改

4792 ----- LDAP查詢組已刪除

4793 ----- 密碼策略檢查API已被調(diào)用

4794 ----- 嘗試設(shè)置目錄服務(wù)還原模式管理員密碼

4797 ----- 試圖查詢帳戶是否存在空白密碼

4798 ----- 枚舉了用戶的本地組成員身份。

4799 ----- 已枚舉啟用安全性的本地組成員身份

4800 ----- 工作站已鎖定

4801 ----- 工作站已解鎖

4802 ----- 屏幕保護(hù)程序被調(diào)用

4803 ----- 屏幕保護(hù)程序被解雇了

4816 ----- RPC在解密傳入消息時(shí)檢測(cè)到完整性違規(guī)

4817 ----- 對(duì)象的審核設(shè)置已更改。

4818 ----- 建議的中央訪問策略不授予與當(dāng)前中央訪問策略相同的訪問權(quán)限

4819 ----- 計(jì)算機(jī)上的中央訪問策略已更改

4820 ----- Kerberos票證授予票證（TGT）被拒絕，因?yàn)樵撛O(shè)備不符合訪問控制限制

4821 ----- Kerberos服務(wù)票證被拒絕，因?yàn)橛脩?，設(shè)備或兩者都不符合訪問控制限制

4822 ----- NTLM身份驗(yàn)證失敗，因?yàn)樵搸羰鞘鼙Ｗo(hù)用戶組的成員

4823 ----- NTLM身份驗(yàn)證失敗，因?yàn)樾枰L問控制限制

4824 ----- 使用DES或RC4進(jìn)行Kerberos預(yù)身份驗(yàn)證失敗，因?yàn)樵搸羰鞘鼙Ｗo(hù)用戶組的成員

4825 ----- 用戶被拒絕訪問遠(yuǎn)程桌面。默認(rèn)情況下，僅當(dāng)用戶是RemoteDesktop Users組或Administrators組的成員時(shí)才允許用戶進(jìn)行連接

4826 ----- 加載引導(dǎo)配置數(shù)據(jù)

4830 ----- SID歷史記錄已從帳戶中刪除

4864 ----- 檢測(cè)到名稱空間沖突

4865 ----- 添加了受信任的林信息條目

4866 ----- 已刪除受信任的林信息條目

4867 ----- 已修改受信任的林信息條目

4868 ----- 證書管理器拒絕了掛起的證書請(qǐng)求

4869 ----- 證書服務(wù)收到重新提交的證書請(qǐng)求

4870 ----- 證書服務(wù)撤銷了證書

4871 ----- 證書服務(wù)收到發(fā)布證書吊銷列表（CRL）的請(qǐng)求

4872 ----- 證書服務(wù)發(fā)布證書吊銷列表（CRL）

4873 ----- 證書申請(qǐng)延期已更改

4874 ----- 一個(gè)或多個(gè)證書請(qǐng)求屬性已更改。

4875 ----- 證書服務(wù)收到關(guān)閉請(qǐng)求

4876 ----- 證書服務(wù)備份已啟動(dòng)

4877 ----- 證書服務(wù)備份已完成

4878 ----- 證書服務(wù)還原已開始

4879 ----- 證書服務(wù)恢復(fù)已完成

4880 ----- 證書服務(wù)已啟動(dòng)

4881 ----- 證書服務(wù)已停止

4882 ----- 證書服務(wù)的安全權(quán)限已更改

4883 ----- 證書服務(wù)檢索到存檔密鑰

4884 ----- 證書服務(wù)將證書導(dǎo)入其數(shù)據(jù)庫(kù)

4885 ----- 證書服務(wù)的審核篩選器已更改

4886 ----- 證書服務(wù)收到證書請(qǐng)求

4887 ----- 證書服務(wù)批準(zhǔn)了證書請(qǐng)求并頒發(fā)了證書

4888 ----- 證書服務(wù)拒絕了證書請(qǐng)求

4889 ----- 證書服務(wù)將證書請(qǐng)求的狀態(tài)設(shè)置為掛起

4890 ----- 證書服務(wù)的證書管理器設(shè)置已更改。

4891 ----- 證書服務(wù)中的配置條目已更改

4892 ----- 證書服務(wù)的屬性已更改

4893 ----- 證書服務(wù)存檔密鑰

4894 ----- 證書服務(wù)導(dǎo)入并存檔了一個(gè)密鑰

4895 ----- 證書服務(wù)將CA證書發(fā)布到Active Directory域服務(wù)

4896 ----- 已從證書數(shù)據(jù)庫(kù)中刪除一行或多行

4897 ----- 啟用角色分離

4898 ----- 證書服務(wù)加載了一個(gè)模板

4899 ----- 證書服務(wù)模板已更新

4900 ----- 證書服務(wù)模板安全性已更新

4902 ----- 已創(chuàng)建每用戶審核策略表

4904 ----- 嘗試注冊(cè)安全事件源

4905 ----- 嘗試取消注冊(cè)安全事件源

4906 ----- CrashOnAuditFail值已更改

4907 ----- 對(duì)象的審核設(shè)置已更改

4908 ----- 特殊組登錄表已修改

4909 ----- TBS的本地策略設(shè)置已更改

4910 ----- TBS的組策略設(shè)置已更改

4911 ----- 對(duì)象的資源屬性已更改

4912 ----- 每用戶審核策略已更改

4913 ----- 對(duì)象的中央訪問策略已更改

4928 ----- 建立了Active Directory副本源命名上下文

4929 ----- 已刪除Active Directory副本源命名上下文

4930 ----- 已修改Active Directory副本源命名上下文

4931 ----- 已修改Active Directory副本目標(biāo)命名上下文

4932 ----- 已開始同步Active Directory命名上下文的副本

4933 ----- Active Directory命名上下文的副本的同步已結(jié)束

4934 ----- 已復(fù)制Active Directory對(duì)象的屬性

4935 ----- 復(fù)制失敗開始

4936 ----- 復(fù)制失敗結(jié)束

4937 ----- 從副本中刪除了一個(gè)延遲對(duì)象

4944 ----- Windows防火墻啟動(dòng)時(shí)，以下策略處于活動(dòng)狀態(tài)

4945 ----- Windows防火墻啟動(dòng)時(shí)列出了規(guī)則

4946 ----- 已對(duì)Windows防火墻例外列表進(jìn)行了更改。增加了一條規(guī)則

4947 ----- 已對(duì)Windows防火墻例外列表進(jìn)行了更改。規(guī)則被修改了

4948 ----- 已對(duì)Windows防火墻例外列表進(jìn)行了更改。規(guī)則已刪除

4949 ----- Windows防火墻設(shè)置已恢復(fù)為默認(rèn)值

4950 ----- Windows防火墻設(shè)置已更改

4951 ----- 規(guī)則已被忽略，因?yàn)閃indows防火墻無(wú)法識(shí)別其主要版本號(hào)

4952 ----- 已忽略規(guī)則的某些部分，因?yàn)閃indows防火墻無(wú)法識(shí)別其次要版本號(hào)

4953 ----- Windows防火墻已忽略規(guī)則，因?yàn)樗鼰o(wú)法解析規(guī)則

4954 ----- Windows防火墻組策略設(shè)置已更改。已應(yīng)用新設(shè)置

4956 ----- Windows防火墻已更改活動(dòng)配置文件

4957 ----- Windows防火墻未應(yīng)用以下規(guī)則

4958 ----- Windows防火墻未應(yīng)用以下規(guī)則，因?yàn)樵撘?guī)則引用了此計(jì)算機(jī)上未配置的項(xiàng)目

4960 ----- IPsec丟棄了未通過完整性檢查的入站數(shù)據(jù)包

4961 ----- IPsec丟棄了重放檢查失敗的入站數(shù)據(jù)包

4962 ----- IPsec丟棄了重放檢查失敗的入站數(shù)據(jù)包

4963 ----- IPsec丟棄了應(yīng)該受到保護(hù)的入站明文數(shù)據(jù)包

4964 ----- 特殊組已分配給新登錄

4965 ----- IPsec從遠(yuǎn)程計(jì)算機(jī)收到一個(gè)包含不正確的安全參數(shù)索引（SPI）的數(shù)據(jù)包。

4976 ----- 在主模式協(xié)商期間，IPsec收到無(wú)效的協(xié)商數(shù)據(jù)包。

4977 ----- 在快速模式協(xié)商期間，IPsec收到無(wú)效的協(xié)商數(shù)據(jù)包。

4978 ----- 在擴(kuò)展模式協(xié)商期間，IPsec收到無(wú)效的協(xié)商數(shù)據(jù)包。

4979 ----- 建立了IPsec主模式和擴(kuò)展模式安全關(guān)聯(lián)。

4980 ----- 建立了IPsec主模式和擴(kuò)展模式安全關(guān)聯(lián)

4981 ----- 建立了IPsec主模式和擴(kuò)展模式安全關(guān)聯(lián)

4982 ----- 建立了IPsec主模式和擴(kuò)展模式安全關(guān)聯(lián)

4983 ----- IPsec擴(kuò)展模式協(xié)商失敗

4984 ----- IPsec擴(kuò)展模式協(xié)商失敗

4985 ----- 交易狀態(tài)已發(fā)生變化

5024 ----- Windows防火墻服務(wù)已成功啟動(dòng)

5025 ----- Windows防火墻服務(wù)已停止

5027 ----- Windows防火墻服務(wù)無(wú)法從本地存儲(chǔ)中檢索安全策略

5028 ----- Windows防火墻服務(wù)無(wú)法解析新的安全策略。

5029 ----- Windows防火墻服務(wù)無(wú)法初始化驅(qū)動(dòng)程序

5030 ----- Windows防火墻服務(wù)無(wú)法啟動(dòng)

5031 ----- Windows防火墻服務(wù)阻止應(yīng)用程序接受網(wǎng)絡(luò)上的傳入連接。

5032 ----- Windows防火墻無(wú)法通知用戶它阻止應(yīng)用程序接受網(wǎng)絡(luò)上的傳入連接

5033 ----- Windows防火墻驅(qū)動(dòng)程序已成功啟動(dòng)

5034 ----- Windows防火墻驅(qū)動(dòng)程序已停止

5035 ----- Windows防火墻驅(qū)動(dòng)程序無(wú)法啟動(dòng)

5037 ----- Windows防火墻驅(qū)動(dòng)程序檢測(cè)到嚴(yán)重的運(yùn)行時(shí)錯(cuò) 終止

5038 ----- 代碼完整性確定文件的圖像哈希無(wú)效

5039 ----- 注冊(cè)表項(xiàng)已虛擬化。

5040 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。添加了身份驗(yàn)證集。

5041 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。身份驗(yàn)證集已修改

5042 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。身份驗(yàn)證集已刪除

5043 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。添加了連接安全規(guī)則

5044 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。連接安全規(guī)則已修改

5045 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。連接安全規(guī)則已刪除

5046 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。添加了加密集

5047 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。加密集已被修改

5048 ----- 已對(duì)IPsec設(shè)置進(jìn)行了更改。加密集已刪除

5049 ----- IPsec安全關(guān)聯(lián)已刪除

5050 ----- 嘗試使用對(duì)INetFwProfile.FirewallEnabled的調(diào)用以編程方式禁用Windows防火墻（FALSE

5051 ----- 文件已虛擬化

5056 ----- 進(jìn)行了密碼自檢

5057 ----- 加密原語(yǔ)操作失敗

5058 ----- 密鑰文件操作

5059 ----- 密鑰遷移操作

5060 ----- 驗(yàn)證操作失敗

5061 ----- 加密操作

5062 ----- 進(jìn)行了內(nèi)核模式加密自檢

5063 ----- 嘗試了加密提供程序操作

5064 ----- 嘗試了加密上下文操作

5065 ----- 嘗試了加密上下文修改

5066 ----- 嘗試了加密功能操作

5067 ----- 嘗試了加密功能修改

5068 ----- 嘗試了加密函數(shù)提供程序操作

5069 ----- 嘗試了加密函數(shù)屬性操作

5070 ----- 嘗試了加密函數(shù)屬性操作

5071 ----- Microsoft密鑰分發(fā)服務(wù)拒絕密鑰訪問

5120 ----- OCSP響應(yīng)程序服務(wù)已啟動(dòng)

5121 ----- OCSP響應(yīng)程序服務(wù)已停止

5122 ----- OCSP響應(yīng)程序服務(wù)中的配置條目已更改

5123 ----- OCSP響應(yīng)程序服務(wù)中的配置條目已更改

5124 ----- 在OCSP Responder Service上更新了安全設(shè)置

5125 ----- 請(qǐng)求已提交給OCSP Responder Service

5126 ----- 簽名證書由OCSP Responder Service自動(dòng)更新

5127 ----- OCSP吊銷提供商成功更新了吊銷信息

5136 ----- 目錄服務(wù)對(duì)象已修改

5137 ----- 已創(chuàng)建目錄服務(wù)對(duì)象

5138 ----- 目錄服務(wù)對(duì)象已取消刪除

5139 ----- 已移動(dòng)目錄服務(wù)對(duì)象

5140 ----- 訪問了網(wǎng)絡(luò)共享對(duì)象

5141 ----- 目錄服務(wù)對(duì)象已刪除

5142 ----- 添加了網(wǎng)絡(luò)共享對(duì)象。

5143 ----- 網(wǎng)絡(luò)共享對(duì)象已被修改

5144 ----- 網(wǎng)絡(luò)共享對(duì)象已刪除。

5145 ----- 檢查網(wǎng)絡(luò)共享對(duì)象以查看是否可以向客戶端授予所需的訪問權(quán)限

5146 ----- Windows篩選平臺(tái)已阻止數(shù)據(jù)包

5147 ----- 限制性更強(qiáng)的Windows篩選平臺(tái)篩選器阻止了數(shù)據(jù)包

5148 ----- Windows過濾平臺(tái)檢測(cè)到DoS攻擊并進(jìn)入防御模式; 與此攻擊相關(guān)的數(shù)據(jù)包將被丟棄。

5149 ----- DoS攻擊已經(jīng)消退，正常處理正在恢復(fù)。

5150 ----- Windows篩選平臺(tái)已阻止數(shù)據(jù)包。

5151 ----- 限制性更強(qiáng)的Windows篩選平臺(tái)篩選器阻止了數(shù)據(jù)包。

5152 ----- Windows篩選平臺(tái)阻止了數(shù)據(jù)包

5153 ----- 限制性更強(qiáng)的Windows篩選平臺(tái)篩選器阻止了數(shù)據(jù)包

5154 ----- Windows過濾平臺(tái)允許應(yīng)用程序或服務(wù)在端口上偵聽傳入連接

5155 ----- Windows篩選平臺(tái)已阻止應(yīng)用程序或服務(wù)偵聽端口上的傳入連接

5156 ----- Windows篩選平臺(tái)允許連接

5157 ----- Windows篩選平臺(tái)已阻止連接

5158 ----- Windows篩選平臺(tái)允許綁定到本地端口

5159 ----- Windows篩選平臺(tái)已阻止綁定到本地端口

5168 ----- SMB / SMB2的Spn檢查失敗。

5169 ----- 目錄服務(wù)對(duì)象已修改

5170 ----- 在后臺(tái)清理任務(wù)期間修改了目錄服務(wù)對(duì)象

5376 ----- 已備份憑據(jù)管理器憑據(jù)

5377 ----- Credential Manager憑據(jù)已從備份還原

5378 ----- 策略不允許請(qǐng)求的憑據(jù)委派

5440 ----- Windows篩選平臺(tái)基本篩選引擎啟動(dòng)時(shí)出現(xiàn)以下callout

5441 ----- Windows篩選平臺(tái)基本篩選引擎啟動(dòng)時(shí)存在以下篩選器

5442 ----- Windows篩選平臺(tái)基本篩選引擎啟動(dòng)時(shí)，存在以下提供程序

5443 ----- Windows篩選平臺(tái)基本篩選引擎啟動(dòng)時(shí)，存在以下提供程序上下文

5444 ----- Windows篩選平臺(tái)基本篩選引擎啟動(dòng)時(shí)，存在以下子層

5446 ----- Windows篩選平臺(tái)標(biāo)注已更改

5447 ----- Windows篩選平臺(tái)篩選器已更改

5448 ----- Windows篩選平臺(tái)提供程序已更改

5449 ----- Windows篩選平臺(tái)提供程序上下文已更改

5450 ----- Windows篩選平臺(tái)子層已更改

5451 ----- 建立了IPsec快速模式安全關(guān)聯(lián)

5452 ----- IPsec快速模式安全關(guān)聯(lián)已結(jié)束

5453 ----- 與遠(yuǎn)程計(jì)算機(jī)的IPsec協(xié)商失敗，因?yàn)槲磫?dòng)IKE和AuthIP IPsec密鑰模塊（IKEEXT）服務(wù)

5456 ----- PAStore引擎在計(jì)算機(jī)上應(yīng)用了Active Directory存儲(chǔ)IPsec策略

5457 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上應(yīng)用Active Directory存儲(chǔ)IPsec策略

5458 ----- PAStore引擎在計(jì)算機(jī)上應(yīng)用了Active Directory存儲(chǔ)IPsec策略的本地緩存副本

5459 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上應(yīng)用Active Directory存儲(chǔ)IPsec策略的本地緩存副本

5460 ----- PAStore引擎在計(jì)算機(jī)上應(yīng)用了本地注冊(cè)表存儲(chǔ)IPsec策略

5461 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上應(yīng)用本地注冊(cè)表存儲(chǔ)IPsec策略

5462 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上應(yīng)用某些活動(dòng)IPsec策略規(guī)則

5463 ----- PAStore引擎輪詢活動(dòng)IPsec策略的更改并檢測(cè)不到任何更改

5464 ----- PAStore引擎輪詢活動(dòng)IPsec策略的更改，檢測(cè)到更改并將其應(yīng)用于IPsec服務(wù)

5465 ----- PAStore Engine收到強(qiáng)制重新加載IPsec策略的控件并成功處理控件

5466 ----- PAStore引擎輪詢Active Directory IPsec策略的更改，確定無(wú)法訪問Active Directory，并將使用Active Directory

IPsec策略的緩存副本

5467 ----- PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，并且未找到對(duì)策略的更改

5468 ----- PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，找到策略更改并應(yīng)用這些更改

5471 ----- PAStore引擎在計(jì)算機(jī)上加載了本地存儲(chǔ)IPsec策略

5472 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上加載本地存儲(chǔ)IPsec策略

5473 ----- PAStore引擎在計(jì)算機(jī)上加載了目錄存儲(chǔ)IPsec策略

5474 ----- PAStore引擎無(wú)法在計(jì)算機(jī)上加載目錄存儲(chǔ)IPsec策略

5477 ----- PAStore引擎無(wú)法添加快速模式過濾器

5478 ----- IPsec服務(wù)已成功啟動(dòng)

5479 ----- IPsec服務(wù)已成功關(guān)閉

5480 ----- IPsec服務(wù)無(wú)法獲取計(jì)算機(jī)上的完整網(wǎng)絡(luò)接口列表

5483 ----- IPsec服務(wù)無(wú)法初始化RPC服務(wù)器。無(wú)法啟動(dòng)IPsec服務(wù)

5484 ----- IPsec服務(wù)遇到嚴(yán)重故障并已關(guān)閉

5485 ----- IPsec服務(wù)無(wú)法在網(wǎng)絡(luò)接口的即插即用事件上處理某些IPsec篩選器

5632 ----- 已請(qǐng)求對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證

5633 ----- 已請(qǐng)求對(duì)有線網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證

5712 ----- 嘗試了遠(yuǎn)程過程調(diào)用（RPC）

5888 ----- COM +目錄中的對(duì)象已被修改

5889 ----- 從COM +目錄中刪除了一個(gè)對(duì)象

5890 ----- 一個(gè)對(duì)象已添加到COM +目錄中

6144 ----- 組策略對(duì)象中的安全策略已成功應(yīng)用

6145 ----- 處理組策略對(duì)象中的安全策略時(shí)發(fā)生一個(gè)或多個(gè)錯(cuò)誤

6272 ----- 網(wǎng)絡(luò)策略服務(wù)器授予用戶訪問權(quán)限

6273 ----- 網(wǎng)絡(luò)策略服務(wù)器拒絕訪問用戶

6274 ----- 網(wǎng)絡(luò)策略服務(wù)器放棄了對(duì)用戶的請(qǐng)求

6275 ----- 網(wǎng)絡(luò)策略服務(wù)器放棄了用戶的記帳請(qǐng)求

6276 ----- 網(wǎng)絡(luò)策略服務(wù)器隔離了用戶

6277 ----- 網(wǎng)絡(luò)策略服務(wù)器授予用戶訪問權(quán)限，但由于主機(jī)未滿足定義的健康策略而將其置于試用期

6278 ----- 網(wǎng)絡(luò)策略服務(wù)器授予用戶完全訪問權(quán)限，因?yàn)橹鳈C(jī)符合定義的健康策略

6279 ----- 由于重復(fù)失敗的身份驗(yàn)證嘗試，網(wǎng)絡(luò)策略服務(wù)器鎖定了用戶帳戶

6280 ----- 網(wǎng)絡(luò)策略服務(wù)器解鎖了用戶帳戶

6281 ----- 代碼完整性確定圖像文件的頁(yè)面哈希值無(wú)效…

6400 ----- BranchCache：在發(fā)現(xiàn)內(nèi)容可用性時(shí)收到格式錯(cuò)誤的響應(yīng)。

6401 ----- BranchCache：從對(duì)等方收到無(wú)效數(shù)據(jù)。數(shù)據(jù)被丟棄。

6402 ----- BranchCache：提供數(shù)據(jù)的托管緩存的消息格式不正確。

6403 ----- BranchCache：托管緩存發(fā)送了對(duì)客戶端消息的錯(cuò)誤格式化響應(yīng)以提供數(shù)據(jù)。

6404 ----- BranchCache：無(wú)法使用配置的SSL證書對(duì)托管緩存進(jìn)行身份驗(yàn)證。

6405 ----- BranchCache：發(fā)生了事件ID％1的％2個(gè)實(shí)例。

6406 ----- ％1注冊(cè)到Windows防火墻以控制以下過濾：

6408 ----- 已注冊(cè)的產(chǎn)品％1失敗，Windows防火墻現(xiàn)在正在控制％2的過濾。

6409 ----- BranchCache：無(wú)法解析服務(wù)連接點(diǎn)對(duì)象

6410 ----- 代碼完整性確定文件不滿足加載到進(jìn)程中的安全性要求。這可能是由于使用共享部分或其他問題

6416 ----- 系統(tǒng)識(shí)別出新的外部設(shè)備。

6417 ----- FIPS模式加密自檢成功

6418 ----- FIPS模式加密自檢失敗

6419 ----- 發(fā)出了禁用設(shè)備的請(qǐng)求

6420 ----- 設(shè)備已禁用

6421 ----- 已發(fā)出請(qǐng)求以啟用設(shè)備

6422 ----- 設(shè)備已啟用

6423 ----- 系統(tǒng)策略禁止安裝此設(shè)備

6424 ----- 在事先被政策禁止之后，允許安裝此設(shè)備

8191 ----- 最高系統(tǒng)定義的審計(jì)消息值

標(biāo)簽：

最美情侣中文字幕电影,在线麻豆精品传媒,在线网站高清黄,久久黄色视频