Descrição de eventos de segurança no Windows Vista e no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 947226 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve vários eventos de relacionados à segurança e auditoria relacionados no Windows Vista e no Windows Server 2008. Este artigo também fornece informações sobre como interpretar esses eventos. Esses eventos aparecem no log de segurança e forem logon com uma origem de "Segurança-Auditing." Este artigo também descreve como recuperar dados mais descritivos sobre eventos individuais.

Mais Informações

Esta seção lista todos os eventos de auditoria relacionados do Windows Vista segurança por categoria e subcategoria.

Categoria: Logon de conta

Subcategoria: Validação de credenciais

Recolher esta tabelaExpandir esta tabela
IDMensagem
4774Uma conta foi mapeada para logon.
4775Uma conta não pôde ser mapeada para logon.
4776O controlador de domínio tentou validar as credenciais para uma conta.
4777O controlador de domínio falha ao validar as credenciais para uma conta.

Subcategoria: Serviço de autenticação Kerberos

Recolher esta tabelaExpandir esta tabela
IDMensagem
4768Um tíquete de autenticação Kerberos (TGT) foi solicitado.
4771Pré-autenticação Kerberos falha.
4772Uma solicitação de tíquete de autenticação Kerberos falha.

Subcategoria: Operações de tíquete de serviço Kerberos

Recolher esta tabelaExpandir esta tabela
IDMensagem
4769Um tíquete de serviço Kerberos foi solicitado.
4770Um tíquete de serviço Kerberos foi renovado.
4773Uma solicitação de tíquete de serviço Kerberos falha.

Categoria: Gerenciamento de contas

Subcategoria: Application Group Management

Recolher esta tabelaExpandir esta tabela
IDMensagem
4783Um grupo de aplicativos básico foi criado.
4784Um grupo de aplicativos básico foi alterado.
4785Um membro foi adicionado a um grupo de aplicativos básico.
4786Um membro foi removido de um grupo de aplicativos básico.
4787Não-membro foi adicionado a um grupo de aplicativos básico.
4788Não-membro foi removido de um grupo de aplicativos básico.
4789Um grupo de aplicativos básico foi excluído.
4790Um grupo de consulta LDAP foi criado.
4791Um grupo de aplicativos básico foi alterado.
4792Um grupo de consulta LDAP foi excluído.

Subcategoria: Gerenciamento de contas de computador

Recolher esta tabelaExpandir esta tabela
IDMensagem
4741Uma conta de computador foi criada.
4742Uma conta de computador foi alterada.
4743Uma conta de computador foi excluída.

Subcategoria: Gerenciamento de grupo de distribuição

Recolher esta tabelaExpandir esta tabela
IDMensagem
4744Um grupo local com segurança desabilitada foi criado.
4745Um grupo local com segurança desabilitada foi alterado.
4746Um membro foi adicionado a um grupo local com segurança desativada.
4747Um membro foi removido de um grupo local com segurança desativada.
4748Um grupo local com segurança desabilitada foi excluído.
4749Um grupo global com segurança desabilitada foi criado.
4750Um grupo global com segurança desabilitada foi alterado.
4751Um membro foi adicionado a um grupo global com segurança desativada.
4752Um membro foi removido de um grupo global com segurança desativada.
4753Um grupo global com segurança desabilitada foi excluído.
4759Um grupo universal com segurança desabilitada foi criado.
4760Um grupo universal com segurança desabilitada foi alterado.
4761Um membro foi adicionado a um grupo universal com segurança desativada.
4762Um membro foi removido de um grupo universal com segurança desativada.

Subcategoria: Outros Account Management eventos

Recolher esta tabelaExpandir esta tabela
IDMensagem
4739Diretiva de domínio foi alterada.
4782 O hash da senha uma conta foi acessado.
4793 A API de verificação de diretiva de senha foi chamada.

Subcategoria: Gerenciamento de grupo de segurança

Recolher esta tabelaExpandir esta tabela
IDMensagem
4727Um grupo global com segurança habilitada foi criado.
4728Um membro foi adicionado a um grupo global com segurança habilitada.
4729Um membro foi removido de um grupo global com segurança habilitada.
4730Um grupo global com segurança habilitada foi excluído.
4731Um grupo local com segurança habilitada foi criado.
4732Um membro foi adicionado a um grupo local com segurança habilitada.
4733Um membro foi removido de um grupo local com segurança habilitada.
4734Um grupo local com segurança habilitada foi excluído.
4735Um grupo local com segurança habilitada foi alterado.
4737Um grupo global com segurança habilitada foi alterado.
4754Um grupo universal com segurança habilitada foi criado.
4755Um grupo universal com segurança habilitada foi alterado.
4756Um membro foi adicionado a um grupo universal com segurança habilitada.
4757Um membro foi removido de um grupo universal com segurança habilitada.
4758Um grupo universal com segurança habilitada foi excluído.
4764Tipo do grupo foi alterado.

Subcategoria: Gerenciamento de conta de usuário

Recolher esta tabelaExpandir esta tabela
IDMensagem
4720Uma conta de usuário foi criada.
4722Uma conta de usuário foi habilitada.
4723Foi feita uma tentativa de alterar a senha da conta.
4724Foi feita uma tentativa de redefinir a senha da conta.
4725Uma conta de usuário foi desabilitada.
4726Uma conta de usuário foi excluída.
4738Uma conta de usuário foi alterada.
4740Uma conta de usuário foi bloqueada.
4765Histórico SID foi adicionado a uma conta.
4766Falha ao tentar adicionar o histórico SID para uma conta.
4767Uma conta de usuário foi desbloqueada.
4780A ACL foi definida em contas que são membros de grupos de administradores.
4781O nome de uma conta foi alterado:
4794Foi feita uma tentativa de definir o modo de restauração de serviços de diretório.
5376Credenciais do Gerenciador de credenciais foram feitas o backup.
5377Credenciais do Gerenciador de credenciais foram restauradas a partir de um backup.

Categoria: Acompanhamento detalhado

Subcategoria: DPAPI atividade

Recolher esta tabelaExpandir esta tabela
IDMensagem
4692Backup da chave mestra de proteção de dados foi tentado.
4693Tentativa de recuperação de chave mestra de proteção de dados.
4694Proteção dos dados protegidos auditáveis foi tentada.
4695Unprotection dos dados protegidos auditáveis foi tentada.

Subcategoria: Criação do processo

Recolher esta tabelaExpandir esta tabela
IDMensagem
4688Um novo processo foi criado.
4696Um token primário foi atribuído para processar.

Subcategoria: Terminação de processo

Recolher esta tabelaExpandir esta tabela
IDMensagem
4689Um processo foi encerrado.

Subcategoria: Eventos RPC

Recolher esta tabelaExpandir esta tabela
IDMensagem
5712 Foi tentada uma Remote Procedure Call (RPC).

Categoria: Acesso DS

Subcategoria: Replicação de serviço de diretório detalhado

Recolher esta tabelaExpandir esta tabela
IDMensagem
4928 Um contexto de nomeação de origem do Active Directory réplica foi estabelecido.
4929 Um contexto de nomeação de origem do Active Directory réplica foi removido.
4930 Um contexto de nomeação de origem do Active Directory réplica foi modificado.
4931 Um contexto de nomeação de destino do Active Directory réplica foi modificado.
4934 Atributos de um objeto do Active Directory foram replicados.
4935 Falha de duplicação começa.
4936 Falha de duplicação termina.
4937 Um objeto remanescentes foi removido de uma réplica.

Subcategoria: Directory Service Access

Recolher esta tabelaExpandir esta tabela
IDMensagem
4662 Uma operação foi executada em um objeto.

Subcategoria: Alterações do serviço de diretório

Recolher esta tabelaExpandir esta tabela
IDMensagem
5136 Um objeto de serviço de diretório foi modificado.
5137 Um objeto de serviço de diretório foi criado.
5138 Um objeto de serviço de diretório foi undeleted.
5139 Um objeto de serviço de diretório foi movido.

Observação O seguinte evento subcategoria alterações do serviço de diretório está disponível somente no Windows Vista Service Pack 1 e no Windows Server 2008.
Recolher esta tabelaExpandir esta tabela
IDMensagem
5141 Um objeto de serviço de diretório foi excluído.

Subcategoria: Replicação do serviço de diretório

Recolher esta tabelaExpandir esta tabela
IDMensagem
4932Sincronização de uma réplica de um contexto de nomeação do Active Directory começou.
4933Sincronização de uma réplica de um contexto de nomeação do Active Directory foi finalizada.

Categoria: Logon/logoff

Subcategoria: IPsec modo estendido

Recolher esta tabelaExpandir esta tabela
IDMensagem
4978 Durante a negociação de modo estendido, o IPsec recebeu um pacote de negociação inválido. Se o problema persistir, pode indicar um problema de rede ou uma tentativa de modificar ou repetição essa negociação.
4979Associações de segurança de modo principal de IPsec e modo estendido foram estabelecidas.
4980Associações de segurança de modo principal de IPsec e modo estendido foram estabelecidas.
4981Associações de segurança de modo principal de IPsec e modo estendido foram estabelecidas.
4982Associações de segurança de modo principal de IPsec e modo estendido foram estabelecidas.
4983Falha na negociação de modo estendido do IPsec. A associação de segurança de modo principal correspondente foi excluída.
4984Falha na negociação de modo estendido do IPsec. A associação de segurança de modo principal correspondente foi excluída.

Subcategoria: Modo de principal de IPsec

Recolher esta tabelaExpandir esta tabela
IDMensagem
4646Modo de prevenção de negação de IKE foi iniciado.
4650Uma associação de segurança de modo principal de IPsec foi estabelecida. Modo estendido não foi habilitado. Autenticação de certificado não foi usada.
4651Uma associação de segurança de modo principal de IPsec foi estabelecida. Modo estendido não foi habilitado. Um certificado foi usado para autenticação.
4652Falha na negociação de modo principal de IPsec.
4653Falha na negociação de modo principal de IPsec.
4655Uma associação de segurança de modo principal de IPsec foi finalizada.
4976Durante a negociação de modo principal IPsec recebeu um pacote de negociação inválido. Se o problema persistir, pode indicar um problema de rede ou uma tentativa de modificar ou repetição essa negociação.
5049Uma associação de segurança IPsec foi excluída.
5453Uma negociação de IPsec com um computador remoto falhou porque o serviço IKE e AuthIP IPsec chaveamento Modules (IKEEXT) não é iniciado.

Subcategoria: Modo de rápido de IPsec

Recolher esta tabelaExpandir esta tabela
IDMensagem
4654Falha na negociação de modo rápido de IPsec.
4977Durante a negociação de modo rápido IPsec recebeu um pacote de negociação inválido. Se o problema persistir, pode indicar um problema de rede ou uma tentativa de modificar ou repetição essa negociação.
5451Uma associação de segurança de modo rápido IPsec foi estabelecida.
5452Uma associação de segurança de modo rápido IPsec foi finalizada.

Subcategoria: Logoff

Recolher esta tabelaExpandir esta tabela
IDMensagem
4634Uma conta foi feita logoff.
4647O usuário iniciou logoff.

Subcategoria: logon

Recolher esta tabelaExpandir esta tabela
IDMensagem
4624 Uma conta foi logon com êxito.
4625 Uma conta falha no logon.
4648 Um tentativa de logon usando credenciais explícitas.
4675 SIDs foram filtrados.
Observação Todos os eventos na subcategoria servidor de diretiva de rede estão disponíveis somente no Windows Vista Service Pack 1 e no Windows Server 2008.

Subcategoria: Servidor de diretiva de rede

Recolher esta tabelaExpandir esta tabela
IDMensagem
6272Servidor de diretiva de rede acesso concedido a um usuário.
6273Servidor de diretiva de rede acesso negado a um usuário.
6274Servidor de diretiva de rede descartados a solicitação para um usuário.
6275Servidor de diretiva de rede descartados a solicitação de estatísticas para um usuário.
6276Servidor de diretiva de rede em quarentena um usuário.
6277Servidor de diretiva de rede acesso concedido a um usuário mas colocar em probation porque o host não atendeu a diretiva de integridade definidos.
6278Servidor de diretiva de rede concedido acesso total a um usuário porque o host atendidas a diretiva de integridade definidos.
6279Servidor de diretiva de rede bloqueado a conta de usuário devido a tentativas de autenticação repetidos com falha.
6280 Servidor de diretiva de rede desbloqueada a conta de usuário.

Subcategoria: Outros eventos de logon/logoff

Recolher esta tabelaExpandir esta tabela
IDMensagem
4649Foi detectado um ataque de repetição.
4778Uma sessão foi reconectada a uma estação de janela.
4779Uma sessão foi desconectada de uma estação de janela.
4800A estação de trabalho foi bloqueada.
4801A estação de trabalho foi desbloqueada.
4802A proteção de tela foi invocada.
4803A proteção de tela foi descartada.
5378A delegação de credenciais solicitada não foi permitida pela diretiva.
5632Foi feita uma solicitação para autenticar para uma rede sem fio.
5633Foi feita uma solicitação para autenticar para uma rede com fio.

Subcategoria: Logon especial

Recolher esta tabelaExpandir esta tabela
IDMensagem
4964 Grupos especiais foram atribuídos para um novo logon.

Categoria: Acesso de objetos

Subcategoria: Aplicativo gerado

Recolher esta tabelaExpandir esta tabela
IDMensagem
4665Foi feita uma tentativa de criar um contexto de cliente do aplicativo.
4666Um aplicativo tentou uma operação:
4667Um contexto de cliente do aplicativo foi excluído.
4668Um aplicativo foi inicializado.

Subcategoria: Serviços de certificação

Recolher esta tabelaExpandir esta tabela
IDMensagem
4868O Gerenciador de certificados negou uma solicitação de certificado pendente.
4869Serviços de certificado receberam uma solicitação de certificado enviado novamente.
4870Serviços de certificados revogaram um certificado.
4871Serviços de certificados receberam uma solicitação para publicar a lista de certificados revogados (CRL).
4872Serviços de certificados publicaram a lista de certificados revogados (CRL).
4873Uma extensão de solicitação de certificado alterado.
4874Um ou mais atributos de solicitação de certificado alterado.
4875Serviços de certificado receberam uma solicitação para desligar.
4876Backup de serviços de certificado iniciado.
4877Concluído o backup dos serviços de certificado.
4878Restauração de serviços de certificado iniciada.
4879Concluída a restauração dos serviços de certificado.
4880Serviços de certificado iniciados.
4881Serviços de certificados interrompido.
4882 As permissões de segurança para serviços de certificados foram alteradas.
4883Serviços de certificado recuperaram uma chave arquivada.
4884Serviços de certificado importaram um certificado para seu banco de dados.
4885O filtro de auditoria para serviços de certificados foi alterado.
4886Serviços de certificado receberam uma solicitação de certificado.
4887Serviços de certificado aprovaram uma solicitação de certificado e emitiram um certificado.
4888Serviços de certificados negaram uma solicitação de certificado.
4889Serviços de certificados definiram o status de uma solicitação de certificado como pendente.
4890As configurações de Gerenciador de certificados para serviços de certificados foram alteradas.
4891Uma entrada de configuração foi alterada nos serviços de certificados.
4892Uma propriedade dos serviços de certificados foi alterada.
4893Serviços de certificado arquivaram uma chave.
4894Serviços de certificado importado e arquivaram uma chave.
4895Serviços de certificados publicaram o certificado para os serviços de domínio do Active Directory.
4896Uma ou mais linhas foram excluídas do banco de dados de certificados.
4897Separação de funções ativada:
4898Serviços de certificados carregado um modelo.
4899Um modelo de serviços de certificados foi atualizado.
4900Segurança do modelo de serviços de certificado foi atualizada.
5120Serviço de Respondente OCSP iniciado.
5121Serviço de Respondente OCSP interrompido.
5122Uma entrada de configuração foi alterada no serviço de Respondente OCSP.
5123Uma entrada de configuração foi alterada no serviço de Respondente OCSP.
5124Uma configuração de segurança foi atualizada no serviço de Respondente OCSP.
5125Uma solicitação foi enviada ao serviço de Respondente OCSP.
5126Certificado de assinatura foi atualizado automaticamente pelo serviço de Respondente OCSP.
5127O provedor de revogação OCSP atualizado com êxito as informações de revogação.

Subcategoria: Compartilhamento de arquivo

Recolher esta tabelaExpandir esta tabela
IDMensagem
5140 Um objeto de compartilhamento de rede foi acessado.

Subcategoria: File System

Recolher esta tabelaExpandir esta tabela
IDMensagem
4664Foi feita uma tentativa de criar um vínculo físico.
4985O estado de uma transação foi alterado.
5051Um arquivo foi virtualizado.

Subcategoria: Filtering Platform conexão

Recolher esta tabelaExpandir esta tabela
IDMensagem
5031O serviço Firewall do Windows bloqueou um aplicativo de aceitar conexões de entrada na rede.
5154A Windows Filtering Platform permitiu que um aplicativo ou serviço para escutar uma porta para conexões de entrada.
5155 A Windows Filtering Platform bloqueou um aplicativo ou serviço de escuta em uma porta para conexões de entrada.
5156A Windows Filtering Platform permitiu uma conexão.
5157A Windows Filtering Platform bloqueou uma conexão.
5158A Windows Filtering Platform tem permitido vincular a uma porta local.
5159A Windows Filtering Platform bloqueou uma ligação a uma porta local.

Subcategoria: Filtering Platform Packet soltar

Recolher esta tabelaExpandir esta tabela
IDMensagem
5152A Windows Filtering Platform bloqueado um pacote.
5153Um filtro mais restritivo do Windows Filtering Platform bloqueou um pacote.

Subcategoria: Manipulação de identificador

Recolher esta tabelaExpandir esta tabela
IDMensagem
4656 Um identificador para um objeto foi solicitado.
4658Identificador para um objeto foi fechado.
4690Foi feita uma tentativa para duplicar um identificador para um objeto.

Subcategoria: Outros objetos Access eventos

Recolher esta tabelaExpandir esta tabela
IDMensagem
4671Um aplicativo tentou acessar um ordinal bloqueado por meio de TBS.
4691Acesso indireto a um objeto foi solicitado.
4698Uma tarefa agendada foi criada.
4699 Uma tarefa agendada foi excluída.
4700 Uma tarefa agendada foi habilitada.
4701Uma tarefa agendada foi desabilitada.
4702 Uma tarefa agendada foi atualizada.
5888Um objeto no catálogo COM + foi modificado.
5889Um objeto foi excluído do catálogo COM +.
5890Um objeto foi adicionado para o catálogo COM +.

Subcategoria: registro

Recolher esta tabelaExpandir esta tabela
IDMensagem
4657 Um valor do registro foi modificado.
5039Uma chave do registro foi virtualizada.

Subcategoria: Special Multi-use Subcategory

Observação O seguinte evento pode ser gerado pelo Gerenciador de recursos quando sua subcategoria está habilitada. Por exemplo, o seguinte evento pode ser gerado pelo Gerenciador de recursos de registro ou pelo Gerenciador de recursos de sistema de arquivos. Subcategorias de "Objeto Access: Kernel Object" e "Object Access: SAM" são exemplos de subcategorias usam exclusivamente esses eventos.
Recolher esta tabelaExpandir esta tabela
IDMensagem
4659Foi solicitado um identificador para um objeto com intenção de excluir.
4660Um objeto foi excluído.
4661Um identificador para um objeto foi solicitado.
4663Foi feita uma tentativa de acessar um objeto.

Categoria: Alteração de diretiva

Subcategoria: Alteração de diretiva de auditoria

Recolher esta tabelaExpandir esta tabela
IDMensagem
4715A diretiva de auditoria (SACL) em um objeto foi alterada.
4719Diretiva de auditoria do sistema foi alterada.
4902A tabela de diretivas de auditoria por usuário foi criada.
4904Foi feita uma tentativa de registrar uma fonte de evento de segurança.
4905Foi feita uma tentativa de cancelar o registro de uma fonte de eventos de segurança.
4906O valor CrashOnAuditFail foi alterado.
4907Configurações de auditoria no objeto foram alteradas.
4908Tabela de grupos logon especial modificada.
4912Por diretiva de auditoria do usuário foi alterada.

Subcategoria: Alteração de diretiva de autenticação

Recolher esta tabelaExpandir esta tabela
IDMensagem
4706Nova relação de confiança foi criada para um domínio.
4707Uma relação de confiança para um domínio foi removida.
4713Diretiva Kerberos foi alterada.
4716Informações de domínio confiável foi modificadas.
4717Foi concedido acesso de segurança do sistema para uma conta.
4718Acesso de segurança do sistema foi removido de uma conta.
4864Foi detectada uma colisão de namespace.
4865Uma entrada de informações de floresta confiável foi adicionada.
4866Uma entrada de informações de floresta confiável foi removida.
4867Uma entrada de informações de floresta confiável foi modificada.

Subcategoria: Alteração de diretiva de autorização

Recolher esta tabelaExpandir esta tabela
IDMensagem
4704Um direito de usuário foi atribuído.
4705Um direito de usuário foi removido.
4714Diretiva de recuperação de dados criptografados foi alterada.

Subcategoria: Alteração de diretiva de plataforma de filtragem

Recolher esta tabelaExpandir esta tabela
IDMensagem
4709Serviços IPsec foi iniciado.
4710Serviços IPsec foi desabilitado.
4711Pode conter qualquer um dos seguintes:
  • O PAStore Engine aplicou cópia localmente em cache da diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine aplicou a diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine aplicou a diretiva IPsec de armazenamento de registro local no computador.
  • PAStore Engine não pôde aplicar a cópia em cache da diretiva IPsec de armazenamento do Active Directory no computador.
  • PAStore Engine não pôde aplicar a diretiva IPsec de armazenamento do Active Directory no computador.
  • PAStore Engine não pôde aplicar diretiva IPsec de armazenamento do Registro local no computador.
  • PAStore Engine não pôde aplicar algumas regras da diretiva IPsec ativa no computador.
  • PAStore Engine não pôde carregar o armazenamento de diretório diretiva IPsec no computador.
  • O PAStore Engine carregou a diretiva IPsec no computador de armazenamento de diretório.
  • PAStore Engine não pôde carregar armazenamento diretiva IPsec no computador local.
  • O PAStore Engine carregou armazenamento diretiva IPsec no computador local.
  • O PAStore Engine pesquisou as alterações a diretiva IPsec ativa e nenhuma alteração detectada.
4712Serviços IPsec encontrou uma falha potencialmente séria.
5040Uma alteração foi feita para configurações IPsec. Um conjunto de autenticação foi adicionado.
5041Uma alteração foi feita para configurações IPsec. Um conjunto de autenticação foi modificado.
5042Uma alteração foi feita para configurações IPsec. Um conjunto de autenticação foi excluído.
5043Uma alteração foi feita para configurações IPsec. Uma regra de segurança de conexão foi adicionada.
5044Uma alteração foi feita para configurações IPsec. Uma regra de segurança de conexão foi modificada.
5045Uma alteração foi feita para configurações IPsec. Uma regra de segurança de conexão foi excluída.
5046Uma alteração foi feita para configurações IPsec. Um conjunto de criptografia foi adicionado.
5047Uma alteração foi feita para configurações IPsec. Um conjunto de criptografia foi modificado.
5048Uma alteração foi feita para configurações IPsec. Um conjunto de criptografia foi excluído.
5440O seguinte texto explicativo estava presente quando o Windows Filtering Platform Base Filtering Engine é iniciado.
5441O seguinte filtro estava presente quando o Windows Filtering Platform Base Filtering Engine é iniciado.
5442O provedor a seguir estava presente quando o Windows Filtering Platform Base Filtering Engine é iniciado.
5443O seguinte contexto de provedor estava presente quando o Windows Filtering Platform Base Filtering Engine é iniciado.
5444 Seguir sub-layer estava presente quando o Windows Filtering Platform Base Filtering Engine é iniciado.
5446Um texto explicativo Windows Filtering Platform foi alterado.
5448Um provedor Windows Filtering Platform foi alterado.
5449Um contexto de provedor Windows Filtering Platform foi alterado.
5450Um sub-layer Windows Filtering Platform foi alterado.
5456O PAStore Engine aplicou a diretiva IPsec de armazenamento do Active Directory no computador.
5457PAStore Engine não pôde aplicar a diretiva IPsec de armazenamento do Active Directory no computador.
5458 O PAStore Engine aplicou cópia localmente em cache da diretiva IPsec de armazenamento do Active Directory no computador.
5459PAStore Engine não pôde aplicar a cópia em cache da diretiva IPsec de armazenamento do Active Directory no computador.
5460O PAStore Engine aplicou a diretiva IPsec de armazenamento de registro local no computador.
5461PAStore Engine não pôde aplicar diretiva IPsec de armazenamento do Registro local no computador.
5462PAStore Engine não pôde aplicar algumas regras da diretiva IPsec ativa no computador. Use o snap-in Monitor de segurança IP para diagnosticar o problema.
5463O PAStore Engine pesquisou as alterações a diretiva IPsec ativa e nenhuma alteração detectada.
5464O PAStore Engine pesquisou as alterações a diretiva IPsec ativa, detectou alterações e aplicou aos serviços IPsec.
5465O PAStore Engine recebeu um controle para a recarga forçada da diretiva IPsec e processadas com êxito o controle.
5466O PAStore Engine pesquisou as alterações de diretiva IPsec do Active Directory, determinado Active Directory não pode ser alcançado e usará a cópia em cache da diretiva IPsec do Active Directory em vez disso. Quaisquer alterações feitas na diretiva IPsec do Active Directory desde a última sondagem não puderam ser aplicada.
5467O PAStore Engine pesquisou as alterações de diretiva IPsec do Active Directory, determinada que Active Directory pode ser atingido e não localizou alterações na diretiva. A cópia em cache da diretiva IPsec do Active Directory não está sendo usada.
5468O PAStore Engine pesquisou as alterações de diretiva IPsec do Active Directory, determinado Active Directory pode ser alcançado, localizou alterações na diretiva e aplicou tais alterações. A cópia em cache da diretiva IPsec do Active Directory não está sendo usada.
5471O PAStore Engine carregou armazenamento diretiva IPsec no computador local.
5472PAStore Engine não pôde carregar armazenamento diretiva IPsec no computador local.
5473O PAStore Engine carregou a diretiva IPsec no computador de armazenamento de diretório.
5474PAStore Engine não pôde carregar o armazenamento de diretório diretiva IPsec no computador.
5477PAStore Engine não pôde adicionar filtro de modo rápido.

Subcategoria: Alterar de diretiva de nível de regra MPSSVC

Recolher esta tabelaExpandir esta tabela
IDMensagem
4944 A seguinte diretiva estava ativa quando o Firewall do Windows é iniciado.
4945 Uma regra estava listada quando o Firewall do Windows é iniciado.
4946 Foi feita uma alteração à lista de exceção do Firewall do Windows. Uma regra foi adicionada.
4947 Foi feita uma alteração à lista de exceção do Firewall do Windows. Uma regra foi modificada.
4948 Foi feita uma alteração à lista de exceção do Firewall do Windows. Uma regra foi excluída.
4949 Ele configurações foram restauradas para os valores padrão.
4950 Uma configuração ele foi alterado.
4951 Uma regra foi ignorada porque o seu número de versão principal não foi reconhecido por ele.
4952 Partes de uma regra foram ignoradas porque seu número de versão secundária não foi reconhecido por ele. Outras partes da regra serão aplicadas.
4953Uma regra foi ignorada pelo Firewall do Windows porque não pôde analisar a regra.
4954Configurações de diretiva de grupo do Firewall do Windows foram alteradas. As novas configurações foram aplicadas.
4956Ele foi alterado o perfil ativo.
4957Ele não aplicou a regra a seguir:
4958Ele não aplicou a regra a seguir porque a regra conhecido para itens configurados neste computador:
5050Uma tentativa de desabilitar o Firewall do Windows usando uma chamada para INetFwProfile.FirewallEnabled(FALSE) interface programaticamente foi rejeitada porque não há suporte para esta API no Windows Vista. Isso ocorreu provavelmente devido a um programa que é incompatível com o Windows Vista. Contate o fabricante do programa para certificar-se de que ter uma versão do programa compatível com Windows Vista.

Subcategoria: Outros Policy Change eventos

Recolher esta tabelaExpandir esta tabela
IDMensagem
4909As configurações de diretiva local para o TBS foram alteradas.
4910As configurações de diretiva de grupo para o TBS foram alteradas.
5063Foi tentada uma operação de provedor criptográfico.
5064Foi tentada uma operação de contexto de criptografia.
5065Uma modificação de contexto de criptografia foi tentada.
5066Foi tentada uma operação de função criptográfica.
5067Uma função criptográfica modificação foi tentada.
5068Foi tentada uma operação de provedor de função criptográfica.
5069Foi tentada uma operação de propriedade de função criptográfica.
5070Foi tentada uma modificação de propriedade da função criptográfica.
5447Um filtro Windows Filtering Platform foi alterado.
6144Diretiva de segurança nos objetos de diretiva de grupo foi aplicada com êxito.
6145Um ou mais erros durante o processamento de diretiva de segurança nos objetos de diretiva de grupo.

Subcategoria: Special Multi-use Subcategory

Observação O seguinte evento pode ser gerado pelo Gerenciador de recursos quando sua subcategoria está habilitada. Por exemplo, o seguinte evento pode ser gerado pelo Gerenciador de recursos de registro ou pelo Gerenciador de recursos de sistema de arquivos.
Recolher esta tabelaExpandir esta tabela
IDMensagem
4670Permissões em um objeto foram alteradas.

Categoria: Privilégio usar

Uso de privilégios confidenciais subcategoria: / Privilégio sensível sem usar

Recolher esta tabelaExpandir esta tabela
IDMensagem
4672Privilégios especiais atribuídos ao novo logon.
4673Um serviço privilegiado foi chamado.
4674Foi tentada uma operação em um objeto privilegiado.

Categoria: sistema

Subcategoria: Driver de IPsec

Recolher esta tabelaExpandir esta tabela
IDMensagem
4960IPsec descartada um pacote de entrada falhou uma verificação de integridade. Se o problema persistir, pode indicar que um problema de rede ou que pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são as mesmas recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações de IPsec.
4961IPsec descartada um pacote de entrada falhou uma verificação de repetição. Se o problema persistir, ele poderia indicar um ataque de repetição contra este computador.
4962IPsec descartada um pacote de entrada falhou uma verificação de repetição. O pacote de entrada tinha muito baixa um número de seqüência para garantir que não era um replay.
4963IPsec descartada um pacote de entrada de texto não criptografado deve ter sido protegido. Isso é normalmente devido a computador remoto alterando sua diretiva IPsec sem informar este computador. Isso também poderia ser uma tentativa de ataque de falsificação.
4965IPsec recebeu um pacote de um computador remoto com um incorreto Security Parameter Index (SPI). Isso geralmente é causado por hardware com defeito corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são as mesmas recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações de IPsec. Nesse caso, se a conectividade não impeded, em seguida, esses eventos podem ser ignorados.
5478Serviços IPsec foi iniciado com êxito.
5479Serviços IPsec foi desligado com êxito. Desligamento de serviços IPsec pode colocar o computador em risco maior de ataque de rede ou expor o computador a possíveis riscos de segurança.
5480Os serviços IPsec não puderam obter a lista completa de interfaces de rede no computador. Isso representa um potencial risco de segurança porque algumas interfaces de rede talvez não obtenham a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in Monitor de segurança IP para diagnosticar o problema.
5483Os serviços IPsec não puderam inicializar o servidor RPC. Serviços IPsec não pôde ser iniciados.
5484Os serviços IPsec experimentou uma falha crítica e foi desligado. Desligamento de serviços IPsec pode colocar o computador em risco maior de ataque de rede ou expor o computador a possíveis riscos de segurança.
5485Os serviços IPsec não puderam processar alguns filtros IPsec em um evento plug and play para interfaces de rede. Isso representa um potencial risco de segurança porque algumas interfaces de rede talvez não obtenham a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in Monitor de segurança IP para diagnosticar o problema.

Subcategoria: Outros eventos do sistema

Recolher esta tabelaExpandir esta tabela
IDMensagem
5024 O serviço Firewall do Windows foi iniciado com êxito.
5025 O serviço Firewall do Windows foi interrompido.
5027 O serviço Firewall do Windows não pôde recuperar a diretiva de segurança do armazenamento local. O serviço continuará a impor a diretiva atual.
5028 O serviço Firewall do Windows não pôde analisar a nova diretiva de segurança. O serviço continuará com a diretiva atualmente imposta.
5029O serviço Firewall do Windows Falha ao inicializar o driver. O serviço continuará a impor a diretiva atual.
5030 O serviço Firewall do Windows Falha ao iniciar.
5032 Ele não pôde notificar o usuário que bloqueou um aplicativo de aceitar conexões de entrada na rede.
5033 O driver do Firewall do Windows foi iniciado com êxito.
5034 O driver do Firewall do Windows foi interrompido.
5035 O driver do Firewall do Windows Falha ao iniciar.
5037 O driver do Firewall do Windows detectado erro de tempo de execução crítico. Encerrando.
5058Operação de arquivo de chave.
5059Operação de migração de chave.

Subcategoria: Alteração de estado de segurança

Recolher esta tabelaExpandir esta tabela
IDMensagem
4608Windows está iniciando.
4616A hora do sistema foi alterada.
4621Administrador recuperou o sistema de CrashOnAuditFail. Os usuários que não são administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registrada.

Subcategoria: Extensão do sistema de segurança

Recolher esta tabelaExpandir esta tabela
IDMensagem
4610Um pacote de autenticação foi carregado pela autoridade de segurança local.
4611Um processo de logon confiável foi registrado com a autoridade de segurança local.
4614Um pacote de notificação foi carregado pelo Security Account Manager.
4622Um pacote de segurança foi carregado pela autoridade de segurança local.
4697Um serviço foi instalado no sistema.

Subcategoria: System Integrity

Recolher esta tabelaExpandir esta tabela
IDMensagem
4612 Recursos internos alocados para o enfileiramento de mensagens de auditoria tem sido esgotados, levando à perda de algumas auditorias.
4615 Uso inválido de porta LPC.
4618 Ocorreu um padrão de eventos de segurança monitorados.
4816 RPC detectou uma violação de integridade ao descriptografar uma mensagem de entrada.
5038 Integridade do código determinou que o hash de imagem de um arquivo não é válido. O arquivo pode ser corrompido devido à modificação não autorizada ou hash inválido pode indicar um erro de dispositivo de disco potencial.
5056Um autoteste criptográfico foi executada.
5057Falha em uma operação de primitiva criptográfica.
5060Falha na operação de verificação.
5061Operação de criptografia.
5062Um modo de kernel criptográfico autoteste foi executado.
Anotações
  • Para retornar uma mais detalhada a lista de todas as entradas do evento de auditoria de segurança, execute o seguinte comando em um prompt de comando elevado como administrador:
    wevtutil gp Microsoft-Windows-Security-auditoria /ge /gm:true
    O exemplo a seguir mostra parte da saída: evento
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • Para retornar uma lista de todos os auditoria de segurança categorias e subcategorias, execute o seguinte comando em um prompt de comando elevado como administrador:
    auditpol /list /subcategory: *

Referências

Para obter mais informações sobre o utilitário Wevtutil, visite o seguinte site:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Para obter mais informações sobre o utilitário Auditpol, visite o seguinte site:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true
Para obter mais informações sobre como usar a diretiva de grupo para definir as configurações de auditoria de segurança detalhados, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
921469Como usar a diretiva de grupo para configurar segurança detalhada que as configurações de auditoria de computadores baseados no Windows Server 2008 e baseado no Windows Vista em um domínio do Windows Server 2008, um domínio do Windows Server 2003 ou um domínio do Windows 2000
Para obter mais informações sobre o guia de segurança do Windows Vista, visite o seguinte site:
http://technet.microsoft.com/en-us/bb629420.aspx

Propriedades

ID do artigo: 947226 - Última revisão: segunda-feira, 19 de janeiro de 2009 - Revisão: 6.2
A informação contida neste artigo aplica-se a:
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
Palavras-chave: 
kbmt kbexpertiseadvanced kbinfo KB947226 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947226

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com