Event IDs 560 and 562 appear many times in the security event log

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 841001 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

After you configure Group Policy or Local Security Policy to audit access to an object, many events that are similar to the following events appear in the security event log:

แหล่งที่มาของเหตุการณ์: ความปลอดภัย
Event Category: Object Access
Event ID: 560
วันที่:วันที่
เวลา:เวลา
Type: Success
ผู้ใช้::EXAMPLE\ชื่อผู้ใช้
คอมพิวเตอร์:computer_name
คำอธิบาย::
Object Open:
Object Server: Security
Object Type:Object_Type
Object Name:Object_Type
New Handle ID: 104
Operation ID: {0,252360}
Process ID: 1156
Primary User Name:ชื่อผู้ใช้
โดเมนหลัก:EXAMPLE
Primary Logon ID: (logon_ID)
Client User Name:
โดเมนของไคลเอนต์:
Client Logon ID:
Accesses
<list of="" accesses=""></list>
Privileges



แหล่งที่มาของเหตุการณ์: ความปลอดภัย
Event Category: Object Access
Event ID: 562
วันที่:วันที่
เวลา:เวลา
Type: Success
ผู้ใช้::EXAMPLE\ชื่อผู้ใช้
คอมพิวเตอร์:computer_name
คำอธิบาย::
Handle Closed:
Object Server: Security
Handle ID: 104
Process ID: 1156


These events appear if you have not configured the security access control list (SACL) on the object that you are auditing. The events also appear if you have configured the SACL, but not for all the listed accesses. For example, these events are logged when a user or a program reads a registry subkey, and you have not selected theควบคุมการอ่านหรือค่าการสอบถามcheck box in the auditing entry for that registry subkey.

หมายเหตุ:For additional information about how to configure auditing, see the "More Information" section.

สาเหตุ

ปัญหานี้อาจเกิดขึ้นได้หากเงื่อนไขใดๆ ต่อไปนี้เป็นจริง::
  • คุณเปิดการใช้งานนั้นAudit the access of global system objectsLocal Security Policy setting. If you enable this setting, many audit events will be generated. These events will typically be source security events with Event ID 560, where the object type is event, mutant, process, section, semaphore, thread, or token. These events are of interest only to a system developer. โดยทั่วไป การAudit the access of global system objectsLocal Security Policy setting is not enabled.
  • You enable auditing on a domain controller. When you enable auditing on a domain controller, audit events will be generated that typically contain references to the following object types:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    These events indicate that the Security Accounts Manager (SAM) objects have security access control lists (SACL) and that there is much SAM activity occurring. Typically, these events occur only on a domain controller.
  • You use an application that opens audited objects too frequently or that opens audited objects with greater access than the application requires. For example, the application may request full control access when the application requires only read access. When this behavior occurs, events may be generated where the referenced process is always the same application.

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ให้ใช้วิธีการอย่างใดอย่างหนึ่งต่อไปนี้:

วิธีที่ 1:

ปิดใช้งานนั้นAudit the access of global system objectsLocal Security Policy setting if you have previously enabled this setting. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:gpedit.mscแล้ว คลิกตกลง.
  2. Locate the following entry:
    Console Root\Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
  3. คลิกสองครั้งAudit the access of global system objectspolicy, clickที่ปิดใช้งานภายใต้Local Policyแล้ว คลิกตกลง.
  4. ในการส่วนควบคุมเมนู คลิกexitแล้ว รีสตาร์ทเครื่องคอมพิวเตอร์

วิธีที่ 2

Use the ADSI Edit snap-in to remove the auditing entries on the SACL for a SAM object if you have enabled auditing on a domain controller. โดยให้ทำตามขั้นตอนต่อไปนี้:

หมายเหตุ:The ADSI Edit snap-in is located in the Support folder on the Windows 2000 installation CD-ROM.

คำเตือนถ้าคุณใช้การแก้ไข ADSI สแนปอิน โปรแกรมอรรถ ประโยชน์ LDP หรืออื่น ๆ LDAP รุ่น 3 ไคล และคุณไม่ถูกต้องแก้ไขแอตทริบิวต์วัตถุ Active Directory คุณสามารถทำให้เกิดปัญหาร้ายแรง ปัญหาเหล่านี้อาจทำให้คุณต้องติดตั้ง Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, หรือทั้ง Windows และ Exchange อีกครั้ง Microsoft ไม่สามารถรับประกันได้ว่าจะสามารถแก้ไขปัญหาที่เกิดจากการปรับเปลี่ยนแอตทริบิวต์วัตถุ Active Directory อย่างไม่ถูกต้อง คุณต้องเสี่ยงที่จะปรับเปลี่ยนแอตทริบิวต์เหล่านี้
  1. Log on to the domain controller by using an account that has Domain Administrator permissions.
  2. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:Adsiedit.mscแล้ว คลิกตกลง.
  3. In the ADSI Edit management console, right-clickแก้ไข adsiแล้ว คลิกเชื่อมต่อไป.
  4. ในการเชื่อมต่อdialog box, make sure that theDistinguished Nameoption is selected, and then type the following in theDistinguished Namefield:
    CN=Server,CN=System,DC=domain_name, dc =Domain_Extensionaceholder throughout these steps.
  5. เลือกการDefault (Domain or Server that you logged in to)ตัวเลือก แล้วคลิกตกลง.
  6. In the ADSI Edit management console, right-click theCN=Server,CN=System,DC=domain_name, dc =Domain_Extensionโฟลเดอร์ แล้วคลิกคุณสมบัติ.
  7. ในการCN=Server,CN=System,DC=domain_name, dc =Domain_Extensionคุณสมบัติกล่องโต้ตอบ คลิกการการรักษาความปลอดภัยแท็บ
  8. คลิกขั้นสูงแล้ว คลิกการAuditingแท็บ
  9. คลิกเพื่อยกเลิกเลือกนั้นAllow inheritable auditing entries from parent to propagate to this objectกล่องกาเครื่องหมาย
  10. When you are prompted with the following message, clickเอาออก.

    You are preventing any inheritable auditing entries from propagating to this object. What do you want to do?
  11. คลิกตกลงtwo times to save the setting and to close theCN=Server,CN=System,DC=domain_name, dc =Domain_Extensionคุณสมบัติกล่องโต้ตอบ

วิธีที่ 3

Configure the custom application to open audited objects only as required. For example, configure the custom application to request only the minimum access that is required. If the custom application requires only read access for a specific object, assign only read access. In this case, full control access is not required.

ข้อมูลเพิ่มเติม

Windows 2000 implements auditing based on the access that is requested by a user or by a program. If a user or a program accesses an object by using an account that has an auditable level of access to the object, Windows generates the corresponding audit event. For example, if you configure a program with write access to an object, and you have configured auditing for write events, a write audit event is generated when that program accesses the object. This behavior occurs even if the program does not perform a write operation to a registry subkey. In this scenario, this audit event is generated because the program has the potential to write to the object.

Windows implements this auditing method to maintain compliance with the Common Criteria certification standards and, previously, the C2 certification standards. For additional information about C2 audit requirements, seeA Guide to Understanding Audit in Trusted Systems. To see this guide, visit the following Web page:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
"Section 6.1.1 Auditable Events" in this guide contains the following two auditable events:
  • Introduction of objects into a user's address space
  • Deletion of objects from a user's address space
ใน Windows, Event ID 560 แทนเหตุการณ์แรก และ 562 ID เหตุการณ์ที่แสดงถึงเหตุการณ์ที่สอง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการมาตรฐานของใบรับรองเงื่อนไขทั่วไป แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/library/cc700818.aspx
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบรีจิสตรีคีย์ คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
315416วิธีใช้'นโยบายกลุ่ม'เพื่อตรวจสอบคีย์รีจิสทรีใน Windows 2000
หากต้องการทราบข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
816915แบบแผนการตั้งชื่อแฟ้มใหม่สำหรับแพคเกจโปรแกรมปรับปรุงซอฟต์แวร์ของ Microsoft Windows
824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft
Microsoft จะให้ข้อมูลติดต่อของบริษัทอื่น เพื่อช่วยให้คุณสามารถขอรับการสนับสนุนทางเทคนิคได้ ข้อมูลติดต่อนี้อาจเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบล่วงหน้า Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อกับบริษัทอื่นๆ เหล่านี้

คุณสมบัติ

หมายเลขบทความ (Article ID): 841001 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb kbmt KB841001 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:841001

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com