Os IDs de evento 560 e 562 aparecem muitas vezes no registo de eventos de segurança

Traduções de Artigos Traduções de Artigos
Artigo: 841001 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Depois de configurar política de grupo ou política de segurança local para auditar o acesso a um objecto, são apresentados vários eventos semelhantes aos seguintes eventos no registo de eventos de segurança:

Origem do evento: segurança
Categoria do evento: O acesso a objectos
ID do evento: 560
Data: date
Hora: time
Tipo: com êxito
Utilizador: EXAMPLE \ username
Computador: computer_name
Descrição:
Abertura de objecto:
Servidor de objetos: segurança
Tipo de objecto: Object_Type
Nome do objecto: Object_Type
Novo ID de identificador: 104
ID de operação: {0,252360}
Processar ID: 1156
Nome principal de utilizador: username
Domínio principal: EXAMPLE
ID de início de sessão principal: (logon_ID)
Nome de utilizador de cliente:
Domínio cliente:
ID de início de sessão de cliente:
Acessos
<List of Accesses>
Privilégios



Origem do evento: segurança
Categoria do evento: O acesso a objectos
ID do evento: 562
Data: date
Hora: time
Tipo: com êxito
Utilizador: EXAMPLE \ username
Computador: computer_name
Descrição:
Alça de fecho:
Servidor de objetos: segurança
Processar ID: 104
Processar ID: 1156


Estes eventos aparecem se não tiver configurado segurança lista de controlo de acesso (SACL, System Access Control List) no objecto que estiver a auditar. Os eventos também aparecem se tiver configurado o SACL, System Access Control List mas não para todos os acessos listados. Por exemplo, estes eventos são registados quando um utilizador ou um programa lê uma subchave de registo e não tiver seleccionado o Controlo de leitura ou a caixa de verificação Valor de consulta na entrada de auditoria para essa subchave de registo.

Nota Para obter informações adicionais sobre como configurar a auditoria, consulte a secção "Mais informação".

Causa

Este problema poderá ocorrer se uma das seguintes condições for verdadeira:
  • Activar a definição de política de segurança Local Auditar o acesso de objectos de sistema globais . Se activar esta definição, serão gerados muitos eventos de auditoria. Estes eventos ficará origem eventos de segurança com eventos ID 560, onde o tipo de objecto for eventos, mutant, processo, secção, semáforo, thread ou token. Estes eventos são do interesse apenas para um programador de sistema. Normalmente, a definição de política de segurança Local Auditar o acesso de objectos de sistema globais não está activada.
  • Activar a auditoria num controlador de domínio. Quando activar a auditoria num controlador de domínio, os eventos de auditoria serão gerados que normalmente contêm referências aos seguintes tipos de objectos:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Estes eventos indicar que os objectos do Gestor de contas de segurança (SAM, Security Accounts Manager) têm listas de controlo de acesso de segurança (SACL, System Access Control List) e que existe muito SAM, Security Accounts Manager ocorra actividade. Normalmente, estes eventos ocorrem apenas num controlador de domínio.
  • Utilizar uma aplicação que abre submetidos a auditoria de objectos com muita frequência ou que abre submetidos a auditoria de objectos com acesso maior do que a aplicação necessita. Por exemplo, a aplicação pode pedir acesso controlo total quando a aplicação requer acesso de leitura. Quando este comportamento ocorre, poderão ser gerados eventos em que o processo referido é sempre a mesma aplicação.

Resolução

Para resolver este problema, utilize um dos seguintes métodos:

Método 1

Desactive a definição de política de segurança Local Auditar o acesso de objectos de sistema globais se anteriormente tiver activado esta definição. Para o fazer, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva gpedit.msc e, em seguida, clique em OK .
  2. Localize a seguinte entrada:
    Consola Root\Local Computer Policy\Configuração configuração do computador\Definições do Windows\Definições de segurança\Políticas Locais\opções
  3. Clique duas vezes a política Auditar o acesso de objectos de sistema globais , clique em desactivado em Política Local e, em seguida, clique em OK .
  4. No menu consola , clique em Sair e, em seguida, reinicie o computador.

Método 2

Utilizar o snap-in ADSI Edit para remover as entradas de auditoria em SACL para um objecto de SAM, Security Accounts Manager se tiver activado a auditoria num controlador de domínio. Para o fazer, siga estes passos.

Nota O snap-in ADSI Edit está localizado na pasta Support na instalação do Windows 2000 CD-ROM.

aviso Se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar incorrectamente os atributos de objectos do Active Directory, poderá provocar problemas graves. Estes problemas poderão requerer a reinstalação do Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Exchange Server 2003, ou o Windows e Exchange. Microsoft não garante que problemas que ocorrem se modificar incorrectamente os atributos de objecto do Active Directory podem ser resolvidos. Modificar estes atributos da responsabilidade do utilizador.
  1. Inicie sessão no controlador de domínio utilizando uma conta com permissões de administrador do domínio.
  2. Clique em Iniciar , clique em Executar , escreva adsiedit.msc e clique em OK .
  3. Na consola de gestão ADSI Edit, clique com o botão direito do rato em ADSI Edit e, em seguida, clique em ligar para .
  4. Na caixa de diálogo ligações , certifique-se de que a opção de Nome distinto está seleccionada e, em seguida, escreva o seguinte no campo Nome distinto :
    CN = servidor, CN = System, DC = Domain_Name, DC = Domain_Extension aceholder durante estes passos.
  5. Seleccione a opção predefinida (domínio ou servidor que iniciou sessão) e, em seguida, clique em OK .
  6. Na consola de gestão de ADSI Edit, clique com o botão direito do rato a CN = servidor, CN = System, DC = Domain_Name, DC = Domain_Extension pasta e, em seguida, clique em Propriedades .
  7. No CN = servidor, CN = System, DC = Domain_Name, DC = Domain_Extension propriedades diálogo, clique no separador segurança .
  8. Clique em Avançadas e, em seguida, clique no separador auditoria .
  9. Clique para desmarcar a caixa de verificação Permitir entradas de auditoria herdáveis se propaguem para este objecto .
  10. Quando lhe com a seguinte mensagem, clique em Remover .

    Está a impedir quaisquer entradas de auditoria herdáveis se propaguem para este objecto. O que quer fazer?
  11. Clique em OK duas vezes para guardar a definição e para fechar o CN = servidor, CN = System, DC = Domain_Name, DC = Domain_Extension propriedades caixa de diálogo.

Método 3

Configure a aplicação personalizada para abrir objectos auditados apenas conforme necessário. Por exemplo, configure a aplicação personalizada para pedir apenas o acesso mínimo necessário. Se a aplicação personalizada requer acesso de leitura para um objecto específico, atribua acesso de leitura. Neste caso, não é necessário acesso de controlo total.

Mais Informação

Windows 2000 implementa o auditoria baseia o acesso que é pedido por um utilizador ou por um programa. Se um utilizador ou um programa acede a um objecto utilizando uma conta que tenha um nível de acesso ao objecto auditáveis, o Windows gera o evento de auditoria correspondente. Por exemplo, se configurar um programa com acesso de escrita a um objecto e tiver configurado a auditoria de eventos de escrita, um evento de auditoria de escrita é gerado quando esse programa acede ao objecto. Este comportamento ocorre mesmo que o programa não efectua uma operação de escrita para uma subchave de registo. Neste cenário, este evento de auditoria é gerado uma vez que o programa tem o potencial de escrita para o objecto.

Windows implementa este método de auditoria para manter a conformidade com as normas de certificação de critérios comuns e, anteriormente, os padrões de certificação C2. Para obter informações adicionais sobre C2 requerimentos de auditoria, consulte A Guide to Noções sobre auditoria em sistemas fidedignos . Para ver este manual, visite a seguinte página Web:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
"Secção 6.1.1 auditáveis Events" neste manual contém os seguintes dois eventos auditáveis:
  • Introdução de objectos no espaço de endereço de um utilizador
  • Eliminação de objectos do espaço de endereço de um utilizador
No Windows, 560 de ID de evento representa o primeiro evento e 562 de ID de evento representa o segundo evento.

Para obter informações adicionais sobre as normas de certificação de critérios comuns, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/cc700818.aspx
Para obter informações adicionais sobre como auditar chaves de registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
315416Como utilizar a política de grupo para auditar chaves de registo no Windows 2000
Para obter informações adicionais, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
816915Novo esquema de atribuição de nomes de ficheiro para pacotes de actualização de software do Microsoft Windows do
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

Propriedades

Artigo: 841001 - Última revisão: 27 de março de 2007 - Revisão: 2.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Palavras-chave: 
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 841001

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com