Win2003“安全事件ID”分析(3)

七、特权使用事件
下面显示了由`审核特权使用`安全模板设置所生成的安全事件。
576：指定的特权已添加到用户的访问令牌中。
注意：
当用户登录时生成此事件。
577：用户试图执行需要特权的系统服务操作。
578：特权用于已经打开的受保护对象的句柄。
八、详细的跟踪事件
下面显示了由`审核过程跟踪`安全模板设置所生成的安全事件。
592：已创建新进程。
593：进程已退出。
594：对象句柄已复制。
595：已获取对象的间接访问权。
596：数据保护主密钥已备份。
注意：
主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。（默认设置为 90 天。）通常由域控制器备份主密钥。
597：数据保护主密钥已从恢复服务器恢复。
598：审核过的数据已受保护。
599：审核过的数据未受保护。
600：已分配给进程主令牌。
601：用户试图安装服务。
602：已创建计划程序任务。
九、审核系统事件
下面显示了由`审核系统事件`安全模板设置所生成的系统事件。
512：Windows 正在启动。
513：Windows 正在关机。
514：本地安全机制机构已加载身份验证数据包。
515：受信任的登录过程已经在本地安全机构注册。
516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。
517：审核日志已清除。
518：安全帐户管理器已加载通知数据包。
519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。
520：系统时间已更改。
注意：
在正常情况下，该审核出现两次。