ID události 560 a 562 kolikrát se v protokolu událostí zabezpečení

Překlady článku Překlady článku
ID článku: 841001 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Po konfiguraci Zásady skupiny nebo místní zásady zabezpečení Auditovat přístup k objektu se zobrazí mnoho události podobné následující události v protokolu událostí zabezpečení:

Zdroj události: Security
Kategorie události: Objekt Access
ID události: 560
Datum: date
Čas: time
Typ: Úspěch
Uživatel: EXAMPLE \ username
computer_name počítač:
POPIS:
Object Open:
Objekt Server: Security
Typ objektu: Object_Type
Název objektu: Object_Type
Nové zpracování ID: 104
ID operace: {0,252360}
Zpracovat ID: 1156
Primární název user: username
Primární doména: EXAMPLE
Primární ID přihlášení: (logon_ID)
Uživatelské jméno klienta:
Doména klienta:
ID přihlášení klienta:
Přístupy
<List of Accesses>
Oprávnění



Zdroj události: Security
Kategorie události: Objekt Access
ID události: 562
Datum: date
Čas: time
Typ: Úspěch
Uživatel: EXAMPLE \ username
computer_name počítač:
POPIS:
Popisovač uzavřeno:
Objekt Server: Security
Zpracovat ID: 104
Zpracovat ID: 1156


Tyto události zobrazit, pokud nebyl konfigurován zabezpečení seznamu řízení přístupu (SACL) objektu jsou auditování. Události se také zobrazí, pokud jste nakonfigurovali SACL, ale ne pro všechny uvedené přístupů. Například tyto události jsou zaznamenány při uživatel nebo program přečte podklíč registru a jste nevybrali Ovládat čtení nebo políčko Hodnota Query v auditu pro daný podklíč registru.

Poznámka: Další informace o konfiguraci auditování naleznete v části "Další informace".

Příčina

Tento problém může nastat, pokud platí jedna z následujících podmínek:
  • Povolte nastavení místních zásad zabezpečení Auditovat přístup globálních systémových objektů. Pokud toto nastavení povolíte, mnoho auditování událostí generována. Tyto události obvykle bude zdroj události zabezpečení s 560 ID událostí, kde typ objektu je událost, mutant, proces, oddíl, semafor, podproces nebo token. Tyto události jsou zajímavé pro vývojáře systému. Obvykle není povoleno nastavení místních zásad zabezpečení Auditovat přístup globálních systémových objektů.
  • Povolíte auditování v řadiči domény. Jestliže povolíte auditování v řadiči domény, auditování událostí bude vygenerován, které obvykle obsahují odkazy na následující typy objektů:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Tyto události označíte objekty Security Accounts Manager (SAM) mají zabezpečení seznamů řízení přístupu (SACL) a že je mnohem SAM výskytu aktivity. Tyto události obvykle dojít pouze v řadiči domény.
  • Pomocí aplikace, které otevře auditované objekty příliš často nebo auditované objekty, které otevře s větší přístup než aplikace vyžaduje. Aplikace může například požadovat přístup Úplné řízení při aplikace vyžaduje přístup pouze pro čtení. Pokud dojde k tomuto chování události mohou být generovány kde je odkazovaný proces vždy stejné aplikace.

Řešení

Chcete-li tento problém vyřešit, použijte jednu z následujících metod:

Metoda 1

Pokud jste dříve povolili toto nastavení, zakažte nastavení místních zásad zabezpečení Auditovat přístup globálních systémových objektů. Postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a potom klepněte na tlačítko OK.
  2. Vyhledejte následující položku:
    Konzoly Root\Local počítač – zásady\Konfigurace počítače\Šablony konfigurace systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti
  3. Poklepejte na zásady Auditovat přístup globálních systémových objektů, klepněte na přepínač Zakázáno ve skupinovém rámečku Místní zásady a klepněte na tlačítko OK.
  4. V nabídce Konzola klepněte na tlačítko Konec a restartujte počítač.

Metoda 2

Pomocí modulu snap-in ADSI odebrat položky auditu v SACL objektu SAM, pokud jste povolili auditování na řadiči domény. Postupujte takto.

Poznámka:Modulu snap-in ADSI je umístěn ve složce Support na instalačním disku CD-ROM Windows 2000.

Upozornění Jestliže používáte modul snap-in ADSI Edit, nástroj LDP nebo jakéhokoli klienta LDAP verze 3 a nesprávně upravíte atributy objektů služby Active Directory, můžete způsobit vážné problémy. Tyto problémy mohou vést k přeinstalaci systému Microsoft Windows 2000 Server či Microsoft Windows Server 2003 nebo serveru Microsoft Exchange 2000 Server či Microsoft Exchange Server 2003. V některých případech může být nutné přeinstalovat systém Windows i server Exchange. Společnost Microsoft nezaručuje, že potíže způsobené nesprávnou úpravou atributů objektů služby Active Directory bude možné vyřešit. Úpravu těchto atributů provádíte na vlastní nebezpečí.
  1. Přihlaste se k řadiči domény pomocí účtu, který má oprávnění správce domény.
  2. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz adsiedit.msc a potom klepněte na tlačítko OK.
  3. V konzole správy ADSI klepněte pravým tlačítkem myši ADSI a potom klepněte na příkaz připojit.
  4. V dialogovém okně připojení zkontrolujte, zda je vybrána možnost Rozlišující jméno a zadejte následující pole Rozlišující název:
    CN = Server, CN = System, DC = Domain_Name, DC = aceholder Domain_Extension v celém takto.
  5. Vyberte možnost výchozí (doménu nebo server přihlášeni) a potom klepněte na tlačítko OK.
  6. V konzole správy ADSI klepněte pravým tlačítkem myši CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension složky a potom klepněte na příkaz Vlastnosti.
  7. V CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension vlastnosti dialogovém okně klepněte na kartu zabezpečení.
  8. Klepněte na tlačítko Upřesnit a potom klepněte na kartu auditování.
  9. Klepnutím zrušte zaškrtnutí políčka Umožnit přenos dědičných auditu z nadřazeného objektu na tento objekt.
  10. Po zobrazení výzvy s následující zprávou klepněte na tlačítko Odebrat.

    Jakékoli zděditelné položky auditu jsou zabraňuje šíření tohoto objektu. Co chcete udělat?
  11. Klepněte dvakrát na tlačítko OK nastavení uložte a zavřete CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension vlastnosti dialogové okno.

Metoda 3

Konfigurovat vlastní aplikace otevřít auditované pouze jako požadované objekty. Například nakonfigurovat vlastní aplikace požadovat pouze minimální přístup, která je požadována. Pokud vlastní aplikace vyžaduje přístup pouze ke čtení pro určitý objekt, přiřaďte pouze přístup pro čtení. V tomto případě není vyžadován přístup Úplné řízení.

Další informace

Systém Windows 2000 implementuje auditování na základě přístup je požadováno uživatelem nebo programem. Pokud uživatel nebo program přistupuje k objektu pomocí účtu, který má které lze auditovat úroveň přístupu k objektu, generuje Windows odpovídající události auditu. Například pokud konfigurace programu přístup pro zápis k objektu a nakonfigurovali auditování událostí zápis, zápis události auditu je generována při programu přistupuje k objektu. K tomuto chování dochází, i když program provést operace zápisu do podklíče registru. V tomto scénáři je tato událost auditu generovány, protože program má potenciální zápis k objektu.

Windows implementuje tento způsob auditování udržovat shodu se standardy společných kritérií certifikační a dříve, standardy certifikační C2. Další informace o požadavcích auditování C2 příručce A k vysvětlení auditovat v důvěryhodné Systems. Příručce, navštivte následující webové stránce:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
"Oddílu 6.1.1 které lze auditovat události" v této příručce obsahuje následující dvě události které lze auditovat:
  • Úvod objekty uživatele adresní prostor
  • Odstranění objektů z prostoru adres uživatele
V systému Windows představuje první událost 560 ID událostí a událostí ID 562 představuje druhou událost.

Další informace o certifikační standardy společných kritérií naleznete na následujícím webu:
http://technet.microsoft.com/en-us/library/cc700818.aspx
Další informace o auditování klíčů registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
315416Jak auditovat klíčů registru v systému Windows 2000 pomocí Zásady skupiny
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
816915Nové schéma přidělování názvů balíčkům aktualizací softwaru pro systém Microsoft Windows (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
824684Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

Vlastnosti

ID článku: 841001 - Poslední aktualizace: 27. března 2007 - Revize: 2.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Klíčová slova: 
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:841001

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com