事件識別碼 560 和 562 安全性事件日誌中出現多次

文章翻譯 文章翻譯
文章編號: 841001 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

設定群組原則] 或 [本機安全性原則],若要稽核物件存取之後則會在安全性事件日誌中出現許多類似於下列事件的事件:

事件來源: 安全性
事件類別: 物件存取
事件識別碼: 560
date 的日期:
時間: time
型別: 成功
使用者: EXAMPLE \ username
電腦: computer_name
描述:
物件開啟:
物件伺服器: 安全性
物件類型: Object_Type
物件名稱: Object_Type
新的控制代碼識別碼: 104
作業識別碼: {0,252360}
處理序 ID: 1156年
主要的使用者名稱: username
主要網域: EXAMPLE
主要登入識別碼: (logon_ID)
用戶端使用者名稱:
用戶端網域:
用戶端登入識別碼:
存取
<List of Accesses>
權限



事件來源: 安全性
事件類別: 物件存取
事件識別碼: 562
date 的日期:
時間: time
型別: 成功
使用者: EXAMPLE \ username
電腦: computer_name
描述:
關閉控點:
物件伺服器: 安全性
處理識別碼: 104
處理序 ID: 1156年


這些事件會出現在您稽核物件如果您不具有設定安全性存取控制清單 (SACL)。如果您已設定 [SACL,但不是適用於所有列出的存取,也會出現此事件。比方說這些事件會記錄當使用者或程式讀取登錄子機碼及您不選取 讀取控制查詢值] 核取方塊該登錄子機碼稽核項目中。

附註如需有關如何設定稽核的詳細資訊,請參閱 < 其他相關資訊 > 一節。

發生的原因

如果其中一種下列情況成立時,則為 True,可能就會發生這個問題:
  • 啟用 [稽核通用系統物件的存取 本機安全性原則設定]。 如果您啟用這個設定,將會產生許多的稽核事件。這些事件,則通常無法來源安全性事件與事件識別碼 560 位置物件型別是事件、 mutant、 處理程序、 區段、 號誌、 執行緒或語彙基元 (Token)。這些事件感興趣僅系統開發人員。通常,不會啟用 稽核通用系統物件的存取 本機安全性原則設定。
  • 您啟用稽核網域控制站上。當您啟用稽核網域控制站上時,稽核事件將會產生通常包含下列的物件型別參考:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    這些事件指出安全性帳戶管理員 (SAM) 物件是在安全性存取控制清單 (SACL),而且是多 SAM 活動發生。通常,只能在網域控制站上發生這些事件。
  • 您可以使用應用程式的次數太頻繁開啟稽核的物件或具有比應用程式需要更大的存取權開啟稽核的物件。比方說應用程式可能會要求完全控制存取,當應用程式需要只讀取權限。這種情形時就可能參考的程序是永遠相同的應用程式會產生事件。

解決方案

如果要解決這個問題,使用下列方法之一:

方法 1

如果您先前已啟用此設定,請停用 稽核通用系統物件的存取 本機安全性原則設定]。要這麼做,請您執行下列步驟:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 gpedit.msc,然後按一下 [確定]]。
  2. 找出下列項目:
    主控台 Root\Local 電腦電腦原則 \ 設定 \windows 設定 \ 安全性設定 \ 本機 Policies\Security 選項
  3. 連按兩下 [稽核通用系統物件的存取 原則、 按一下 [本機原則,] 下的 [已停用],然後按一下 [確定]
  4. 在 [主控台] 功能表上按一下 [結束],] 然後重新啟動電腦。

方法 2

您可以使用 [ADSI 編輯器] 嵌入式管理單元移除稽核項目上 SAM 物件的 SACL,如果您已啟用稽核網域控制站上。要這麼做,請您執行下列步驟。

附註[ADSI 編輯器] 嵌入式管理單元位於 Windows 2000 安裝光碟片上的 [支援] 資料夾。

警告如果您使用 [ADSI 編輯器] 嵌入式管理單元,[LDP 公用程式或任何其他 LDAP 版本 3 用戶端,及您不正確地修改 Active Directory 物件的屬性,您可能會導致嚴重的問題。這些問題可能需要重新安裝 Microsoft Windows 2000 Server、 Microsoft Windows Server 2003、 Microsoft Exchange 2000 Server、 Microsoft Exchange Server 2003 或同時 Windows 及 Exchange。Microsoft 無法保證可以獲得解決,如果您不當修改 Active Directory 物件屬性發生的問題。修改這些屬性,請自行負擔相關的風險。
  1. 使用具有網域系統管理員權限的帳戶登入網域控制站。
  2. 按一下 [開始]、 按一下 [執行]、 輸入 adsiedit.msc,然後按一下 [確定]]。
  3. ADSI 編輯器] 管理主控台中 [ADSI 編輯器],] 上按一下滑鼠右鍵,然後再按 [連線到]。
  4. 在 [連線] 對話方塊請確定選取 辨別名稱 選項,],然後再在 [辨別名稱] 欄位中輸入下列命令:
    CN = 伺服器 CN = 系統,DC = Domain_Name,DC = Domain_Extension aceholder 整個 這些步驟。
  5. 選取 [預設值 (網域或伺服器登入)] 選項,然後按一下 [確定]
  6. 在 [ADSI 編輯器] 管理主控台] 中以滑鼠右鍵按一下 CN = 伺服器 CN = 系統,DC = Domain_Name,DC = Domain_Extension 資料夾,然後按一下 [內容
  7. CN = 伺服器 CN = 系統,DC = Domain_Name,DC = Domain_Extension 內容 對話方塊方塊中,按一下 [安全性] 索引標籤。
  8. 按一下 [進階],然後再按一下 [稽核] 索引標籤。
  9. 按一下以清除 [允許可繼承稽核項目從父系傳播至此物件] 核取方塊。
  10. 以下列訊息提示您,按一下 [移除]。

    您不允許任何可繼承的稽核項目傳播到這個物件。 您要?
  11. 按兩次 [確定] 以儲存設定並關閉 CN = 伺服器 CN = 系統,DC = Domain_Name,DC = Domain_Extension 內容] 對話方塊。

方法 3

若要開啟 [稽核的物件只依需要將自訂應用程式設定。比方說設定自訂的應用程式要求只最小存取所需。 如果自訂的應用程式需要特定的物件才能只有讀取權限,指派只有讀取權限。在這種情況下不需要完全控制存取。

其他相關資訊

Windows 2000 會實作稽核根據由使用者或程式所要求的存取。如果使用者或程式存取的物件使用的可稽核的層級為該物件的存取權的帳戶,Windows 就會產生對應的稽核事件。比方說如果一個物件的寫入權限使用設定程式,且您已設定寫入事件的稽核,寫入稽核事件就會產生該程式存取物件時。即使該程式並不會執行到登錄子機碼的寫入作業,也會發生這種行為。在這種情況下因為程式有可能會寫入物件,就會產生此稽核事件。

Windows 會實作這個稽核的方法,以維護遵守共通準則憑證標準與先前,C2 憑證標準。如需有關 C2 稽核需求的詳細資訊,請參閱 A 快速入門],以瞭解稽核在受信任系統中。若要查看本指南請造訪下列網頁:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
可 」 區段 6.1.1 稽核事件 」 在本指南包含下列兩個可稽核事件:
  • 物件的到使用者的位址空間的簡介
  • 刪除從使用者的地址空間的物件
在 Windows 中,事件識別碼 560 代表第一個事件,而事件 ID 562 代表第二個事件。

取得更多資訊有關共通準則憑證標準請造訪下列 Microsoft 網站]:
http://technet.microsoft.com/en-us/library/cc700818.aspx
如需有關如何稽核登錄機碼的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
315416如何使用群組原則來稽核在 Windows 2000 中的登錄機碼
如需詳細資訊按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
816915新檔案命名結構描述] 的 Microsoft Windows 軟體更新套件
824684用來描述 Microsoft 軟體更新標準術語的說明
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

屬性

文章編號: 841001 - 上次校閱: 2007年3月27日 - 版次: 2.6
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:841001
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com