Descripción de sucesos de seguridad en Windows Vista y en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 947226 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe diversos eventos relacionados con la seguridad y relacionados con la auditoría en Windows Vista y en Windows Server 2008. Este artículo también proporciona información acerca de cómo interpretar estos eventos. Todos estos sucesos aparecen en el registro de seguridad y se registran con un origen de "-auditoría de seguridad." Este artículo describe también cómo recuperar los datos más descriptivos sobre eventos individuales.

Más información

En esta sección se enumeran todos los Windows Vista relacionados con la auditoría sucesos de seguridad por categoría y subcategoría.

Categoría: Inicio de sesión de cuenta

Subcategoría: Validación de credenciales

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4774Se ha asignado una cuenta para el inicio de sesión.
4775No se puede asignar una cuenta para el inicio de sesión.
4776El controlador de dominio intentaba validar las credenciales para una cuenta.
4777El controlador de dominio no se pudo validar las credenciales para una cuenta.

Subcategoría: Servicio de autenticación de Kerberos

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4768Se solicitó un vale de autenticación de Kerberos (TGT).
4771Error de autenticación previa Kerberos.
4772Error en una solicitud de vale de autenticación de Kerberos.

Subcategoría: Operaciones de vale de servicio Kerberos

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4769Se solicitó un vale de servicio Kerberos.
4770Ha renovado un vale de servicio Kerberos.
4773Ha fallado una solicitud de vale de servicio Kerberos.

Categoría: Administrar cuentas

Subcategoría: Administración de aplicaciones grupo

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4783Se ha creado un grupo de aplicaciones básicas.
4784Se ha modificado un grupo de aplicaciones básicas.
4785Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787Un miembro no se ha agregado a un grupo de aplicaciones básicas.
4788Un miembro no se ha quitado un grupo de aplicaciones básicas.
4789Se ha eliminado un grupo de aplicaciones básicas.
4790Se ha creado un grupo de consulta LDAP.
4791Se ha modificado un grupo de aplicaciones básicas.
4792Se ha eliminado un grupo de consulta LDAP.

Subcategoría: Administrar cuentas de equipo

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4741Se ha creado una cuenta de equipo.
4742Se ha modificado una cuenta de equipo.
4743Se ha eliminado una cuenta de equipo.

Subcategoría: Administración de grupo de distribución

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4744Se ha creado un grupo local con la seguridad deshabilitada.
4745Se ha modificado un grupo local con la seguridad deshabilitada.
4746Se ha agregado un miembro a un grupo local con la seguridad deshabilitada.
4747Se ha quitado un miembro de un grupo local con la seguridad deshabilitada.
4748Se ha eliminado un grupo local con la seguridad deshabilitada.
4749Se ha creado un grupo global con la seguridad deshabilitada.
4750Se ha modificado un grupo global con la seguridad deshabilitada.
4751Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.
4752Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.
4753Se ha eliminado un grupo global con la seguridad deshabilitada.
4759Se ha creado un grupo universal con la seguridad deshabilitada.
4760Un grupo universal con la seguridad deshabilitada cambió.
4761Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada.
4762Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada.

Subcategoría: Otros eventos de administración de cuentas

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4739Se cambió la directiva de dominio.
4782 Se obtuvo acceso el hash de contraseña de una cuenta.
4793 Se llamó a la API de comprobación de directivas de contraseña.

Subcategoría: Administración de grupo de seguridad

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4727Se ha creado un grupo global con seguridad habilitada.
4728Se ha agregado un miembro a un grupo global con seguridad habilitada.
4729Se ha quitado un miembro de un grupo global con seguridad habilitada.
4730Se ha eliminado un grupo global con seguridad habilitada.
4731Se ha creado un grupo local con seguridad habilitada.
4732Se ha agregado un miembro a un grupo local con seguridad habilitada.
4733Se ha quitado un miembro de un grupo local con seguridad habilitada.
4734Se ha eliminado un grupo local con seguridad habilitada.
4735Se ha modificado un grupo local con seguridad habilitada.
4737Se ha modificado un grupo global con seguridad habilitada.
4754Se ha creado un grupo universal con seguridad habilitada.
4755Se ha modificado un grupo universal con seguridad habilitada.
4756Se ha agregado un miembro a un grupo universal con seguridad habilitada.
4757Se ha quitado un miembro de un grupo universal con seguridad habilitada.
4758Se ha eliminado un grupo universal con seguridad habilitada.
4764Tipo de un grupo se ha cambiado.

Subcategoría: Administración de cuentas de usuario

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4720Se ha creado una cuenta de usuario.
4722Se habilitó una cuenta de usuario.
4723Se intentó cambiar la contraseña de una cuenta.
4724Se intentó restablecer la contraseña de una cuenta.
4725Se ha deshabilitado una cuenta de usuario.
4726Se ha eliminado una cuenta de usuario.
4738Se ha modificado una cuenta de usuario.
4740Se bloqueó una cuenta de usuario.
4765SIDHistory se ha agregado a una cuenta.
4766Error al intentar agregar SIDHistory a una cuenta.
4767Se ha desbloqueado una cuenta de usuario.
4780Se ha establecido la ACL de las cuentas que son miembros de grupos de administradores.
4781Se ha cambiado el nombre de una cuenta:
4794Se intentó establecer el dicho modo.
5376Se hizo una copia de seguridad de las credenciales de administrador de credenciales.
5377Credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.

Categoría: Seguimiento detallado

Subcategoría: Actividad DPAPI

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4692Se intentó realizar la copia de seguridad de clave maestra de protección de datos.
4693Se intentó la recuperación de clave maestra de protección de datos.
4694Se intentó la protección de datos protegidos auditables.
4695Se intentó unprotection de auditables datos protegidos.

Subcategoría: Creación de procesos

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4688Se ha creado un proceso.
4696Se asignó un identificador primario para procesar.

Subcategoría: Terminación del proceso

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4689Ha terminado un proceso.

Subcategoría: Eventos RPC

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5712 Se intentó realizar una llamada a procedimiento remoto (RPC).

Categoría: Acceso DS

Subcategoría: Detallado Active servicio replicación

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4928 Se estableció un contexto de nombres de origen de réplica de Active Directory.
4929 Se quitó un contexto de nombres de origen de réplica de Active Directory.
4930 Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931 Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934 Atributos de un objeto de Active Directory se han replicado.
4935 Error de replicación comienza.
4936 Error de replicación finaliza.
4937 Un objeto persistente se ha quitado una réplica.

Subcategoría: Directory Service Access

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4662 Se realizó una operación en un objeto.

Subcategoría: Cambios de servicio de directorio

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5136 Se ha modificado un objeto de servicio de directorio.
5137 Se ha creado un objeto de servicio de directorio.
5138 Un objeto de servicio de directorio ha no eliminado.
5139 Se ha movido un objeto de servicio de directorio.

Nota El suceso siguiente en la subcategoría de cambios de servicio de directorio está disponible sólo en Windows Vista Service Pack 1 y en Windows Server 2008.
Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5141 Se ha eliminado un objeto de servicio de directorio.

Subcategoría: Replicación de servicio de directorio

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4932Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
4933Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

Categoría: Inicio y cierre de sesión

Subcategoría: IPsec modo extendido

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4978 Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si persiste este problema, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
4979Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.
4980Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.
4981Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.
4982Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.
4983Error de una negociación de modo extendido de IPsec. Se ha eliminado la asociación de seguridad de modo principal correspondiente.
4984Error de una negociación de modo extendido de IPsec. Se ha eliminado la asociación de seguridad de modo principal correspondiente.

Subcategoría: Modo de principal de IPsec

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4646Ha iniciado el modo de prevención de DoS IKE.
4650Se estableció una asociación de seguridad de modo principal de IPsec. No se ha habilitado el modo extendido. No se utilizó la autenticación de certificados.
4651Se estableció una asociación de seguridad de modo principal de IPsec. No se ha habilitado el modo extendido. Se utilizó un certificado para la autenticación.
4652Error de una negociación de modo principal de IPsec.
4653Error de una negociación de modo principal de IPsec.
4655Una asociación de seguridad de modo principal de IPsec finalizó.
4976Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si persiste este problema, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5049Se eliminó una asociación de seguridad de IPsec.
5453Una negociación de IPsec con un equipo remoto porque no se ha iniciado el servicio IKE y AuthIP módulos de generación de claves de IPsec (IKEEXT).

Subcategoría: Modo rápido IPsec

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4654Error de una negociación de modo rápido IPsec.
4977Durante la negociación de modo rápido IPsec recibió un paquete de negociación no válido. Si persiste este problema, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5451Se estableció una asociación de seguridad de modo rápido IPsec.
5452Una asociación de seguridad de modo rápido IPsec finalizó.

Subcategoría: Logoff

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4634Una cuenta se ha cerrado la sesión.
4647Cierre de sesión del usuario iniciado.

Subcategoría: Logon

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4624 Una cuenta se ha iniciado sesión correctamente.
4625 Una cuenta no se pudo iniciar sesión.
4648 Se ha intentado un inicio de sesión mediante credenciales explícitas.
4675 Se han filtrado SID.
Nota Todos los eventos de la subcategoría del servidor de directivas de redes están disponibles sólo en Windows Vista Service Pack 1 y en Windows Server 2008.

Subcategoría: Servidor de directivas de redes

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
6272Servidor de directivas de redes había concedido acceso a un usuario.
6273Servidor de directivas de redes ha denegado el acceso a un usuario.
6274Servidor de directivas de redes descarta la solicitud para un usuario.
6275Servidor de directivas de redes descarta la solicitud de cuentas para un usuario.
6276Servidor de directivas de redes en cuarentena a un usuario.
6277Servidor de directivas de redes había concedido acceso a un usuario pero ponerla en probation porque el host no cumplía la directiva de mantenimiento definidas.
6278Servidor de directivas de redes concede acceso completo a un usuario porque el host cumple la directiva de mantenimiento definidas.
6279Servidor de directivas de redes había bloqueado la cuenta de usuario debido a intentos erróneos de autenticación repetidas.
6280 Servidor de directivas de redes desbloquear la cuenta de usuario.

Subcategoría: Otros eventos de inicio y cierre de sesión

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4649Se detectó un ataque de reproducción.
4778Se volvió a conectar una sesión a una estación de ventana.
4779Se ha desconectado una sesión desde una estación de ventana.
4800Se bloqueó la estación de trabajo.
4801La estación de trabajo ha desbloqueado.
4802Se invocó el protector de pantalla.
4803Se ha descartado el protector de pantalla.
5378La delegación de credenciales solicitado no se ha permitido por la directiva.
5632Se realizó una solicitud para autenticar a una red inalámbrica.
5633Se realizó una solicitud para autenticar a una red con cable.

Subcategoría: Logon especial

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4964 Grupos especiales se han asignado a un nuevo inicio de sesión.

Categoría: Acceso A objetos

Subcategoría: Application generado

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4665Se intentó crear un contexto de cliente de aplicación.
4666Una aplicación intentó una operación:
4667Se eliminó un contexto de cliente de aplicación.
4668Se inicializó una aplicación.

Subcategoría: Servicios de certificación

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4868El Administrador de certificados denegó una solicitud de certificado pendiente.
4869Servicios de Certificate Server recibieron una solicitud de certificado reenviada.
4870Servicios de Certificate Server revocan un certificado.
4871Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).
4872Servicios de Certificate Server publican la lista de revocación de certificados (CRL).
4873Cambia una extensión de solicitud de certificado.
4874Cambian uno o más atributos de solicitud de certificado.
4875Servicios de Certificate Server recibieron una solicitud de cierre.
4876Se inició la copia de seguridad de servicios de Certificate Server.
4877Copia de seguridad de servicios de Certificate completado Server.
4878Se inició la restauración de servicios de Certificate Server.
4879Restauración de servicios de Certificate completada Server.
4880Se inician servicios de Certificate Server.
4881Se detuvo Servicios de Certificate Server.
4882 Cambian los permisos de seguridad para Certificate Services.
4883Servicios de Certificate Server recuperan una clave archivada.
4884Servicios de Certificate Server importan un certificado en su base de datos.
4885Cambia el filtro de auditoría para servicios de Certificate Server.
4886Servicios de Certificate Server recibieron una solicitud de certificado.
4887Servicios de Certificate Server aprobación una solicitud de certificado y emitió un certificado.
4888Servicios de Certificate Server ha denegado una solicitud de certificado.
4889Servicios de Certificate Server establecen el estado de una solicitud de certificado en pendiente.
4890Cambia la configuración del Administrador de certificados para servicios de Certificate Server.
4891Una entrada de configuración ha cambiado en los servicios de Certificate Server.
4892Cambia una propiedad de servicios de Certificate Server.
4893Servicios de Certificate Server archivan una clave.
4894Servicios de Certificate Server importaron y archivaron una clave.
4895Servicios de Certificate Server publican el certificado de entidad emisora a los servicios de dominio de Active Directory.
4896Una o más filas se han eliminado de la base de datos de certificados.
4897Separación de funciones habilitada:
4898Servicios de Certificate Server cargan una plantilla.
4899Se ha actualizado una plantilla Certificate Services.
4900Seguridad de plantilla de certificado Services se actualizó.
5120Se inició el servicio de respuesta de OCSP.
5121Detenido el servicio de respuesta de OCSP.
5122Una entrada de configuración ha cambiado en el servicio del contestador de OCSP.
5123Una entrada de configuración ha cambiado en el servicio del contestador de OCSP.
5124Una configuración de seguridad se ha actualizado en el servicio de respuesta de OCSP.
5125Se ha enviado una solicitud al servicio del contestador de OCSP.
5126Certificado de firma se actualizó automáticamente por el servicio del contestador de OCSP.
5127El proveedor de revocación de OCSP había actualizado correctamente la información de revocación.

Subcategoría: Compartir archivos

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5140 Se tiene acceso a un objeto de recurso compartido de red.

Subcategoría: File System

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4664Se intentó crear un vínculo físico.
4985Ha cambiado el estado de una transacción.
5051Se ha virtualizar un archivo.

Subcategoría: Conexión de la plataforma de filtrado

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5031El servicio Firewall de Windows bloquea una aplicación acepte conexiones entrantes en la red.
5154Plataforma de filtrado de Windows ha permitido una aplicación o servicio para escuchar en un puerto para las conexiones entrantes.
5155 Plataforma de filtrado de Windows ha bloqueado una aplicación o servicio escuche en un puerto para las conexiones entrantes.
5156Plataforma de filtrado de Windows ha permitido una conexión.
5157Plataforma de filtrado de Windows ha bloqueado una conexión.
5158Plataforma de filtrado de Windows ha permitido un enlace a un puerto local.
5159Plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Drop Packet de plataforma de filtrado

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5152Plataforma de filtrado de Windows bloquea un paquete.
5153Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.

Subcategoría: Manipulación de Handle

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4656 Se solicitó un identificador de objeto.
4658Se ha cerrado el identificador de objeto.
4690Se intentó duplicar un identificador a un objeto.

Subcategoría: Otros eventos de acceso de objetos

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4671Una aplicación ha intentado tener acceso a un ordinal bloqueado a través de TBS.
4691Se ha solicitado acceso indirecto a un objeto.
4698Se creó una tarea programada.
4699 Se ha eliminado una tarea programada.
4700 Se ha habilitado una tarea programada.
4701Se ha deshabilitado una tarea programada.
4702 Se ha actualizado una tarea programada.
5888Se ha modificado un objeto en el catálogo.
5889Se ha eliminado un objeto desde el catálogo.
5890Un objeto se ha agregado al catálogo de COM +.

Subcategoría: registro

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4657 Un valor de registro se modificó.
5039Se ha virtualizar una clave del registro.

Subcategoría: Special Multi-use Subcategory

Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita su subcategoría. Por ejemplo, se puede generar el evento siguiente por el Administrador de recursos de registro o por el Administrador de recursos del sistema de archivos. Las subcategorías de "Objeto de Access: objeto del kernel" y "Objeto de Access: SAM" son ejemplos de subcategorías que utilizan estos eventos exclusivamente.
Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4659Se solicitó un identificador para un objeto con intención de eliminar.
4660Se ha eliminado un objeto.
4661Se solicitó un identificador de objeto.
4663Se intentó tener acceso a un objeto.

Categoría: Cambio de directiva

Subcategoría: Cambio de directiva de auditoría

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4715Se cambió la directiva de auditoría (SACL) en un objeto.
4719Se cambió la directiva de auditoría del sistema.
4902Se creó la tabla de directivas de auditoría por usuario.
4904Se intentó registrar un origen de eventos de seguridad.
4905Se intentó eliminar del registro un origen de eventos de seguridad.
4906El valor CrashOnAuditFail ha cambiado.
4907Se han cambiado la configuración de auditoría en objeto.
4908Tabla grupos Logon especial modificada.
4912Se cambió por directiva de auditoría de usuarios.

Subcategoría: Cambio de directiva de autenticación

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4706Se creó una nueva confianza a un dominio.
4707Se quitó una confianza a un dominio.
4713Se cambió la directiva Kerberos.
4716Se ha modificado información de dominio de confianza.
4717Se ha concedido acceso de seguridad del sistema a una cuenta.
4718Acceso al sistema de seguridad se ha quitado de una cuenta.
4864Se ha detectado una colisión de espacio de nombres.
4865Se ha agregado una entrada de información de bosque de confianza.
4866Se quitó una entrada de información de bosque de confianza.
4867Se modificó una entrada de información de bosque de confianza.

Subcategoría: Cambio de directiva de autorización

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4704Se asignó un derecho de usuario.
4705Se ha quitado un derecho de usuario.
4714Se cambió la directiva de recuperación de datos cifrados.

Subcategoría: Cambio de directiva de plataforma de filtrado

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4709Se inició servicios IPsec.
4710Se deshabilitó los servicios IPsec.
4711Puede contener cualquiera de las siguientes:
  • El motor PAStore aplicó copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de registro local en el equipo.
  • Error del motor PAStore al aplicar la copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
  • Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo.
  • Error del motor PAStore al cargar la directiva de IPsec en el equipo de almacenamiento del directorio.
  • El motor PAStore cargó en el equipo la directiva IPsec de almacenamiento de directorio.
  • Error del motor PAStore al cargar el almacenamiento local de directiva de IPsec en el equipo.
  • El motor PAStore cargó en el equipo la directiva de IPsec de almacenamiento local.
  • El motor PAStore sondeó en busca de cambios en la directiva IPsec activa con y no detectó ningún cambio.
4712Servicios IPsec ha encontrado un error potencialmente grave.
5040Se realizó un cambio en la configuración de IPsec. Se ha agregado un conjunto de autenticación.
5041Se realizó un cambio en la configuración de IPsec. Se ha modificado un conjunto de autenticación.
5042Se realizó un cambio en la configuración de IPsec. Se eliminó un conjunto de autenticación.
5043Se realizó un cambio en la configuración de IPsec. Se ha agregado una regla de seguridad de conexión.
5044Se realizó un cambio en la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.
5045Se realizó un cambio en la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.
5046Se realizó un cambio en la configuración de IPsec. Se ha agregado un conjunto de cifrado.
5047Se realizó un cambio en la configuración de IPsec. Se ha modificado un conjunto de cifrado.
5048Se realizó un cambio en la configuración de IPsec. Se eliminó un conjunto de cifrado.
5440La siguiente llamada estaba presente cuando inició el Windows Filtering Platform motor de filtro de base.
5441El siguiente filtro estaba presente cuando inició el Windows Filtering Platform motor de filtro de base.
5442El proveedor siguiente estaba presente cuando inició el Windows Filtering Platform motor de filtro de base.
5443El contexto de proveedor siguiente estaba presente cuando inició el Windows Filtering Platform motor de filtro de base.
5444 El siguiente sub-layer estaba presente cuando inició el Windows Filtering Platform motor de filtro de base.
5446Una llamada de plataforma de filtrado de Windows se ha cambiado.
5448Un proveedor de la plataforma de filtrado de Windows se ha cambiado.
5449Se ha cambiado un contexto de proveedor Windows Filtering Platform.
5450Se ha cambiado un sub-layer Windows Filtering Platform.
5456El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458 El motor PAStore aplicó copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
5459Error del motor PAStore al aplicar la copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
5460El motor PAStore aplicó la directiva IPsec de almacenamiento de registro local en el equipo.
5461Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
5462Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5463El motor PAStore sondeó en busca de cambios en la directiva IPsec activa con y no detectó ningún cambio.
5464El motor PAStore sondeo de cambios en la directiva IPsec activa, detectó cambios y ellos aplicar a los servicios IPsec.
5465El motor PAStore recibió un control para la recarga forzada de directiva IPsec y procesó correctamente el control.
5466El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede llegar a Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory, ya que no se pudo aplicar el último sondeo.
5467El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y se encuentra ningún cambio en la directiva. La copia en caché de la directiva IPsec de Active Directory ya no está en uso.
5468El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory se puede llegar, encontró cambios en la directiva y aplicar esos cambios. La copia en caché de la directiva IPsec de Active Directory ya no está en uso.
5471El motor PAStore cargó en el equipo la directiva de IPsec de almacenamiento local.
5472Error del motor PAStore al cargar el almacenamiento local de directiva de IPsec en el equipo.
5473El motor PAStore cargó en el equipo la directiva IPsec de almacenamiento de directorio.
5474Error del motor PAStore al cargar la directiva de IPsec en el equipo de almacenamiento del directorio.
5477Error del motor PAStore al agregar filtro de modo rápido.

Subcategoría: Cambio de directiva de nivel de reglas MPSSVC

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4944 La siguiente directiva estaba activa cuando inicia el Firewall de Windows.
4945 Una regla se mostró cuando inicia el Firewall de Windows.
4946 Se realizó un cambio a la lista de excepciones de Firewall de Windows. Se ha agregado una regla.
4947 Se realizó un cambio a la lista de excepciones de Firewall de Windows. Se ha modificado una regla.
4948 Se realizó un cambio a la lista de excepciones de Firewall de Windows. Se ha eliminado una regla.
4949 Configuración de Firewall de Windows se han restaurado los valores predeterminados.
4950 Ha cambiado una configuración de Firewall de Windows.
4951 Una regla se ha omitido porque su número de versión principal no reconoció por Firewall de Windows.
4952 Partes de una regla se han omitido porque su número de versión secundaria no se ha reconocido por Firewall de Windows. Las otras partes de la regla se aplicará.
4953Se ha omitido una regla de Firewall de Windows porque no pudo analizar la regla.
4954Configuración de directiva de grupo de Firewall de Windows ha cambiado. La nueva configuración se ha aplicado.
4956Firewall de Windows ha cambiado el perfil activo.
4957Firewall de Windows no aplicó la siguiente regla:
4958Firewall de Windows no aplicó la siguiente regla porque la regla hace referencia a los elementos no configurados en este equipo:
5050Se rechazó un intento para deshabilitar mediante programación el Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz porque esta API no se admite en Windows Vista. Esto probablemente se ha producido debido a un programa que es incompatible con Windows Vista. Póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión del programa compatible de Windows Vista.

Subcategoría: Otros eventos de cambio de directiva

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4909Se han cambiado la configuración de directiva local para el TBS.
4910Se han cambiado la configuración de directiva de grupo para el TBS.
5063Se intentó una operación de proveedor criptográfico.
5064Se intentó una operación de contexto de cifrado.
5065Se intentó realizar una modificación de contexto de cifrado.
5066Se intentó una operación de la función criptográfica.
5067Se intentó realizar una modificación de la función criptográfica.
5068Se intentó una operación de proveedor de función criptográfica.
5069Se intentó una operación de propiedad de la función criptográfica.
5070Se intentó realizar una modificación de la propiedad función criptográfica.
5447Se ha cambiado un filtro de la plataforma de filtrado de Windows.
6144La directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente.
6145Uno o más errores al procesar la directiva de seguridad de los objetos de directiva de grupo.

Subcategoría: Special Multi-use Subcategory

Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita su subcategoría. Por ejemplo, se puede generar el evento siguiente por el Administrador de recursos de registro o por el Administrador de recursos del sistema de archivos.
Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4670Se cambiaron los permisos de un objeto.

Privilegio de categoría: Usar

Uso de privilegio confidencial subcategoría: Utilice privilegios no dependientes

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4672Privilegios especiales asignados al nuevo inicio de sesión.
4673Se llamó a un servicio con privilegios.
4674Se intentó una operación en un objeto con privilegios.

Categoría: sistema

Subcategoría: Controlador de IPsec

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4960IPsec eliminó un paquete entrante que no se pudo una comprobación de integridad. Si persiste este problema, podría indicar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son los mismos que los recibidos por este equipo. Este error también podría indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961IPsec eliminó un paquete entrante que no pudo comprobar una reproducción. Si persiste este problema, podría indicar un ataque de reproducción contra este equipo.
4962IPsec eliminó un paquete entrante que no pudo comprobar una reproducción. El paquete entrante tenía demasiado bajo un número de secuencia para garantizar que no era una reproducción.
4963IPsec eliminó un paquete entrante texto sin cifrar que debía haberse establecido. Esto suele deberse a que el equipo remoto, cambiar su directiva IPsec sin informar de este equipo. Esto también podría ser un intento de ataque de suplantación.
4965IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetros de seguridad (SPI) incorrecto. Esto suele deberse por hardware defectuoso que se dañe los paquetes. Si estos errores continúan, compruebe que los paquetes enviados desde el equipo remoto son los mismos que los recibidos por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se interrumpa la conectividad, a continuación, estos eventos se pueden pasar por alto.
5478Servicios IPsec se ha iniciado correctamente.
5479Servicios IPsec se cerró correctamente. El apagado de servicios IPsec puede poner el equipo en mayor riesgo de ataque de red o exponer el equipo a posibles riesgos de seguridad.
5480Error de los servicios IPsec al obtener la lista completa de las interfaces de red en el equipo. Esto plantea un riesgo de seguridad potencial porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5483Error de los servicios IPsec iniciaban el servidor RPC. No se pudo iniciar los servicios IPsec.
5484Servicios IPsec ha experimentado un error crítico y se ha cerrado. El apagado de servicios IPsec puede poner el equipo en mayor riesgo de ataque de red o exponer el equipo a posibles riesgos de seguridad.
5485Error de los servicios IPsec al procesar algunos filtros IPsec en un evento plug-and-play para interfaces de red. Esto plantea un riesgo de seguridad potencial porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategoría: Otros eventos del sistema

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
5024 El servicio Firewall de Windows se ha iniciado correctamente.
5025 Se ha detenido el servicio Firewall de Windows.
5027 El servicio Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. El servicio continuará exigir la directiva actual.
5028 El servicio Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva exigida actualmente.
5029El servicio Firewall de Windows no se pudo inicializar el controlador. El servicio continuará exigir la directiva actual.
5030 No se pudo iniciar el servicio Firewall de Windows.
5032 Firewall de Windows no pudo notificar al usuario que bloquea una aplicación acepte conexiones entrantes en la red.
5033 El controlador de Firewall de Windows se ha iniciado correctamente.
5034 Se ha detenido el controlador de Firewall de Windows.
5035 No se pudo iniciar el controlador de Firewall de Windows.
5037 El controlador de Firewall de Windows detectó un error en tiempo de ejecución crítico. Finalizando.
5058Operación de archivo de clave.
5059Operación de clave de migración.

Subcategoría: Cambio de estado de seguridad de

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4608Windows se está iniciando.
4616Se cambió la hora del sistema.
4621Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios que no son administradores ahora pueden iniciar sesión. Es posible que no se han registrado alguna actividad auditable.

Subcategoría: Extensión de sistema de seguridad

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4610Se ha cargado un paquete de autenticación por la autoridad de seguridad local.
4611Se ha registrado un proceso de inicio de sesión por confianza con la autoridad de seguridad local.
4614Un paquete de notificación se ha cargado por el Administrador de cuentas de seguridad.
4622Un paquete de seguridad ha sido cargado por la autoridad de seguridad local.
4697Un servicio se instaló en el sistema.

Subcategoría: Integridad del sistema

Contraer esta tablaAmpliar esta tabla
ID.Mensaje
4612 Los recursos internos asignados para la cola de mensajes de auditoría se han agotado, provocando la pérdida de algunas auditorías.
4615 Uso no válido de puerto LPC.
4618 Se ha producido un modelo de eventos de seguridad supervisados.
4816 RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.
5038 Integridad de código determinó que el hash de imagen de un archivo no es válido. El archivo podría estar dañado debido a modificación no autorizada o no es válido el valor de hash podría indicar un posible error de dispositivo de disco.
5056Se realizó una prueba automática criptográfica.
5057Error en una operación de primitiva criptográfica.
5060Error en la operación de comprobación.
5061Operación criptográfica.
5062Se realizó un modo de núcleo criptográfico autoprueba.
Notas
  • Para devolver una más detallada la lista de todos los auditoría de seguridad evento entradas, ejecute el comando siguiente en un símbolo del sistema elevado como administrador:
    wevtutil gp Microsoft-Windows--auditoría de seguridad /ge /gm:true
    En el ejemplo siguiente se muestra parte de la salida: evento
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • Para devolver una lista de todos los auditoría de seguridad categorías y subcategorías, ejecute el comando siguiente en un símbolo del sistema elevado como administrador:
    auditpol /list /subcategory: *

Referencias

Para obtener más información acerca de la utilidad Wevtutil, visite el siguiente sitio Web:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Para obtener más información acerca de la utilidad Auditpol, visite el siguiente sitio Web:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true
Para obtener más información acerca de cómo utilizar Directiva de grupo para configurar la configuración de auditoría de seguridad detallada, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
921469Cómo utilizar Directiva de grupo para configurar opciones para equipos basados en Windows Server 2008 y basado en Windows Vista en un dominio de Windows Server 2008, en un dominio de Windows Server 2003 o en un dominio de Windows 2000 detalladas de auditoría de seguridad
Para obtener más información acerca de la Guía de seguridad de Windows Vista, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/bb629420.aspx

Propiedades

Id. de artículo: 947226 - Última revisión: lunes, 19 de enero de 2009 - Versión: 6.2
La información de este artículo se refiere a:
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
Palabras clave: 
kbmt kbexpertiseadvanced kbinfo KB947226 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947226

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com