事件 id 560 和 562 在安全事件日志中出现多次

文章翻译 文章翻译
文章编号: 841001 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

配置组策略或本地安全策略,要审核的对象的访问后,许多事件类似于下列事件将出现在安全事件日志中:

事件源: 安全
对象访问事件类别:
事件 ID: 560
日期: date
时间: time
类型: 成功
用户: EXAMPLE \ username
computer_name 的计算机:
说明:
对象打开:
对象服务器: 安全性
对象类型: Object_Type
对象名称: Object_Type
新的句柄 ID: 104
操作 ID: {0,252360}
进程 ID: 1156年
主要用户名: username
主要域: EXAMPLE
主要的登录 ID: (logon_ID
客户端用户名:
客户端域:
客户端登录 ID:
访问
<List of Accesses>
权限



事件源: 安全
对象访问事件类别:
事件 ID: 562
日期: date
时间: time
类型: 成功
用户: EXAMPLE \ username
computer_name 的计算机:
说明:
关闭句柄:
对象服务器: 安全性
处理 ID: 104
进程 ID: 1156年


这些事件将如果您还没有配置安全访问控制列表 (SACL) 显示正在审核的对象上。如果您已配置了 SACL,而不是所有列出的访问,也会出现此事件。例如对于这些事件身份登录时用户或程序读取一的注册表子项并您没有选择 读取控制 或 $ 查询值 复选框中为该注册表子项的审核项。

注意有关如何配置审核的其他信息,请参阅"更多信息"部分。

原因

如果满足下列条件之一为真,则可能会发生此问题:
  • 启用 审核对全局系统对象的访问 本地安全策略设置。 如果启用了此设置将会生成大量审核事件。这些事件通常是在对象类型其中是事件、 mutant、 进程、 部分、 信号量、 线程,或令牌的事件 ID 560 的源的安全事件。这些事件是仅对系统开发人员感兴趣。通常,未启用 审核对全局系统对象的访问 本地安全策略设置。
  • 在启用审核域控制器上。当您启用审核域控制器上时,审核事件将会生成通常包含以下对象类型的引用:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    这些事件表示安全帐户管理器 (SAM) 对象具有安全访问控制列表 (SACL),并且没有多大 SAM 进行活动。通常,只能在域控制器上发生这些事件。
  • 使用应用程序的频率过高会打开已审核的对象或具有更大的访问权限比应用程序需要打开审核的对象。例如对于应用程序可能会请求完全控制访问权限时应用程序需要只读取访问权限。当发生这种情况时,事件可能会生成此引用的过程始终是相同的应用程序。

解决方案

若要解决此问题,请使用下列方法之一:

方法 1

如果您以前已启用此设置,请禁用 审核对全局系统对象的访问 本地安全策略设置。若要这样做,请按照下列步骤操作:
  1. 单击 开始,单击 运行,键入 gpedit.msc,然后单击 确定
  2. 找到以下项:
    控制台 Root\Local 计算机 Policy\Computer 配置 \windows 设置安全本地策略 \ 安全选项
  3. 双击 $ 审核对全局系统对象的访问 策略、 本地策略,下单击 禁用,然后单击 确定
  4. 控制台 菜单上单击 退出,然后重新启动计算机。

方法 2

若要删除 SAM 对象的 SACL 中的审核项目,如果已经启用了审核域控制器上使用 ADSI Edit 管理单元。若要这样做,请按照下列步骤。

注意ADSI Edit 管理单元位于 Windows 2000 安装光盘上的支持文件夹中。

警告如果在 ADSI Edit 管理单元中使用 LDP 实用程序或任何其他 LDAP 版本 3 客户,和您错误地修改 Active Directory 对象的属性,您可能会导致严重的问题。这些问题可能要求您重新安装 Microsoft Windows 2000 Server、 Microsoft Windows Server 2003,Microsoft Exchange 2000 Server,Microsoft Exchange Server 2003,或 Windows 和 Exchange。Microsoft 不能保证可以解决您错误地修改 Active Directory 对象属性时出现的问题的。修改这些属性需要您自担风险。
  1. 通过使用具有域管理员权限的帐户登录到域控制器。
  2. 单击 开始,单击 运行,键入 adsiedit.msc,然后单击 确定
  3. 在 ADSI 编辑管理控制台中用鼠标右键单击 ADSI 编辑,然后单击 连接到
  4. 连接 对话框中请确保已选中 可分辨名称 选项,然后在 可分辨名称 字段中键入如下:
    CN = 服务器,CN = 系统,DC = Domain_Name,DC = Domain_Extension aceholder 整个 这些步骤。
  5. 选择 (域或您登录到的服务器) 的默认 选项,然后单击 确定
  6. ADSI 编辑管理控制台中用鼠标右键单击该 CN = 服务器,CN = 系统,DC = Domain_Name,DC = Domain_Extension 文件夹,然后单击 属性
  7. 在该 CN = 服务器,CN = 系统,DC = Domain_Name,DC = Domain_Extension 属性 对话框框中,单击 安全 选项卡。
  8. 单击 高级,然后单击 审核 选项卡。
  9. 单击以清除 允许可继承审核项目传播给该对象从 复选框。
  10. 当系统提示您以下消息时,单击 删除

    您正阻止任何可继承的审核项目传播给该对象。 请选择要执行的是什么?
  11. 单击 确定 两次以保存设置并关闭该 CN = 服务器,CN = 系统,DC = Domain_Name,DC = Domain_Extension 属性 对话框。

方法 3

要打开审核的对象只根据需要自定义的应用程序进行配置。例如对于配置请求仅在所需的最小访问自定义应用程序。 如果自定义应用程序需要特定的对象只读取访问权限,分配只读取访问权限。在这种情况下完全控制访问不是必需的。

更多信息

Windows 2000 实现审核基于由用户或由程序请求的访问。如果一个用户或程序访问某个对象使用具有一个可审核的对象的访问级别的帐户,Windows 将生成相应的审核事件。例如对于如果您配置的程序具有一个的对象的写访问权限,并且您已配置了写入事件的审核写入审核事件时生成该程序将访问对象。即使该程序不执行写入操作到注册表子项,会出现这种情况。在这种情况下都将生成此审核事件 ; 这是因为该程序有可能写入对象。

Windows 实现此审核的方法,以保持与通用标准认证标准和以前,C2 认证标准遵从性。有关 C2 审核要求的其他信息,请参阅 A 指南了解审核受信任的系统中。若要查看本指南请访问以下网页:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
"部分 6.1.1 Auditable 事件"在本指南中包含以下两个可审核事件:
  • 引入的对象到用户的地址空间
  • 删除从用户的地址空间的对象
在 Windows 中,事件 ID 560 表示在第一个事件和事件 ID 562 表示第二个事件。

有关通用标准认证标准的其他信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/cc700818.aspx
有关如何审核注册表项的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
315416如何使用组策略来审核在 Windows 2000 中的注册表项
有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816915对于 Microsoft Windows 软件更新程序包的新文件命名架构
824684用于描述 Microsoft 软件更新的标准术语的说明
Microsoft 提供了第三方联系人信息可以帮助您找到技术支持。此联系信息如有更改,恕不另行通知。Microsoft 不能保证此第三方联系人信息的准确性。

属性

文章编号: 841001 - 最后修改: 2007年3月27日 - 修订: 2.6
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 841001
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com