在 Windows Vista 和 Windows Server 2008 中的安全事件的描述

文章翻译 文章翻译
文章编号: 947226 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文介绍在 Windows Vista 和 Windows Server 2008 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并记录源的"安全审核。"本文还介绍如何检索单个事件有关的更具说明性数据。

更多信息

本部分列出了所有的 Windows Vista 安全审计相关事件,按类别和子类别。

类别: 帐户登录

子类别: 凭据验证

收起该表格展开该表格
ID消息
4774帐户进行的登录映射。
4775无法映射的登录帐户。
4776域控制器尝试验证的帐户的凭据。
4777域控制器无法验证帐户的凭据。

子类别: Kerberos 身份验证服务

收起该表格展开该表格
ID消息
4768Kerberos 身份验证票证 (TGT) 请求。
4771Kerberos 预身份验证失败。
4772Kerberos 身份验证票证请求失败。

子类别: Kerberos 服务票据操作

收起该表格展开该表格
ID消息
4769Kerberos 服务票证请求。
4770Kerberos 服务票证续订。
4773Kerberos 服务票证请求失败。

类别: 帐户管理

子类别: 应用程序组管理

收起该表格展开该表格
ID消息
4783已创建基本应用程序组。
4784基本应用程序组已更改。
4785已将成员添加到基本应用程序组。
4786已从基本应用程序组中删除成员。
4787非成员添加到基本应用程序组。
4788非成员已从基本应用程序组。
4789基本应用程序组已被删除。
4790已创建 LDAP 查询组。
4791基本应用程序组已更改。
4792LDAP 查询组已被删除。

子类别: 计算机帐户管理

收起该表格展开该表格
ID消息
4741计算机帐户已创建。
4742计算机帐户已更改。
4743计算机帐户已被删除。

子类别: 通讯组管理

收起该表格展开该表格
ID消息
4744已创建禁用安全的本地组。
4745禁用安全的本地组已更改。
4746已将成员添加到禁用安全的本地组中。
4747成员已从禁用安全的本地组中删除。
4748已删除禁用安全的本地组。
4749已创建禁用安全的全局组。
4750禁用安全的全局组已更改。
4751成员已添加至禁用安全的全局组。
4752成员已从禁用安全的全局组。
4753已删除禁用安全的全局组。
4759禁用安全的通用组已创建。
4760禁用安全的通用组已更改。
4761成员已添加至禁用安全的通用组。
4762成员已从禁用安全的通用组删除。

子类别: 其他帐户管理事件

收起该表格展开该表格
ID消息
4739域策略已更改。
4782访问帐户的密码哈希。
4793密码策略检查 API 调用。

子类别: 安全组管理

收起该表格展开该表格
ID消息
4727启用安全的全局组已创建。
4728成员已添加至已启用安全的全局组。
4729已从启用安全的全局组中删除成员。
4730启用安全的全局组已删除。
4731启用安全的本地组已创建。
4732已将成员添加到启用安全的本地组。
4733已从启用安全的本地组中删除成员。
4734启用安全的本地组已删除。
4735启用安全的本地组已更改。
4737启用安全的全局组已更改。
4754启用安全的通用组已创建。
4755启用安全的通用组已更改。
4756成员已添加至已启用安全的通用组。
4757成员已从启用安全的通用组删除。
4758启用安全的通用组已删除。
4764组的类型已更改。

子类别: 用户帐户管理

收起该表格展开该表格
ID消息
4720已创建用户帐户。
4722用户帐户被启用。
4723尝试更改帐户密码。
4724尝试重置帐户密码。
4725已禁用的用户帐户。
4726用户帐户已被删除。
4738用户帐户已更改。
4740用户帐户被锁定的时间。
4765SID 历史记录已添加到帐户。
4766若要添加到帐户的 SID 历史记录的尝试失败。
4767用户帐户的锁定。
4780在管理员组成员的帐户上设置 ACL。
4781帐户名称已更改:
4794尝试设置目录服务还原模式。
5376凭据管理器凭据已备份。
5377凭据管理器凭据已从备份中还原。

类别: 详细跟踪

DPAPI 活动的子类别:

收起该表格展开该表格
ID消息
4692尝试进行备份的数据保护主密钥。
4693已尝试恢复数据保护主密钥。
4694试图进行可审核的受保护数据的保护。
4695试图执行的可审核的受保护数据的 unprotection。

子类别: 进程创建

收起该表格展开该表格
ID消息
4688已创建一个新的进程。
4696主令牌分配处理。

子类别: 终止进程

收起该表格展开该表格
ID消息
4689进程已退出。

子类别: RPC 事件

收起该表格展开该表格
ID消息
5712尝试执行远程过程调用 (RPC)。

类别: DS 访问

子类别: 详细的目录服务复制

收起该表格展开该表格
ID消息
4928活动目录(AD) 复制副本源的命名上下文时,建立。
4929已删除 活动目录(AD) 复制副本源的命名上下文。
4930活动目录(AD) 复制副本源命名上下文已被修改。
4931活动目录(AD) 复制副本目标命名上下文已被修改。
4934活动目录(AD) 对象的属性将被复制。
4935开始复制失败。
4936结束复制失败。
4937从副本中删除延迟对象。

子类别: 目录服务访问

收起该表格展开该表格
ID消息
4662在对象上执行操作。

子类别: 目录服务更改

收起该表格展开该表格
ID消息
5136修改目录服务对象。
5137创建目录服务对象。
5138目录服务对象时未删除。
5139目录服务对象已移动。

注意在目录服务变更子类别中的以下事件可用于仅在 Windows Vista Service Pack 1,Windows Server 2008 中。
收起该表格展开该表格
ID消息
5141目录服务对象已被删除。

子类别: 目录服务复制

收起该表格展开该表格
ID消息
4932活动目录(AD) 命名上下文的副本的同步已开始。
4933活动目录(AD) 命名上下文的副本的同步已结束。

类别: 登录/注销

子类别: IPsec 扩展模式

收起该表格展开该表格
ID消息
4978在扩展模式协商期间,IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
4979建立 IPsec 主模式和扩展模式安全关联。
4980建立 IPsec 主模式和扩展模式安全关联。
4981建立 IPsec 主模式和扩展模式安全关联。
4982建立 IPsec 主模式和扩展模式安全关联。
4983IPsec 扩展模式协商失败。已删除相应的主模式安全关联。
4984IPsec 扩展模式协商失败。已删除相应的主模式安全关联。

子类别: IPsec 主模式

收起该表格展开该表格
ID消息
4646IKE 防止 DoS 模式下启动。
4650建立 IPsec 主模式安全关联。未启用扩展的模式。不使用证书身份验证。
4651建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。
4652IPsec 主模式协商失败。
4653IPsec 主模式协商失败。
4655IPsec 主模式安全关联已结束。
4976在主模式协商期间,IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5049已删除 IPsec 安全关联。
5453与远程计算机的 IPsec 协商失败,因为 IKE 和 AuthIP IPsec 键控模块 (IKEEXT) 服务未启动。

子类别: IPsec 快速模式

收起该表格展开该表格
ID消息
4654IPsec 快速模式协商失败。
4977在快速模式协商期间,IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5451已建立的 IPsec 快速模式安全关联。
5452已结束的 IPsec 快速模式安全关联。

子类别: 注销

收起该表格展开该表格
ID消息
4634帐户被注销。
4647用户启动注销过程。

子类别: 登录

收起该表格展开该表格
ID消息
4624成功登录帐户。
4625帐户登录失败。
4648试图使用显式凭据登录。
4675已筛选的 Sid。
注意网络策略服务器子类别中的所有事件都都只能在 Windows Vista Service Pack 1,并且 Windows Server 2008 中可用。

子类别: 网络策略服务器

收起该表格展开该表格
ID消息
6272网络策略服务器向用户授予访问权限。
6273网络策略服务器拒绝用户访问。
6274网络策略服务器放弃用户的请求。
6275网络策略服务器丢弃记帐请求的用户。
6276网络策略服务器隔离用户。
6277网络策略服务器向用户授予访问权限,但因为主机不符合该定义的健康策略,则会将其置于试用。
6278网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。
6279网络策略服务器被锁定的用户帐户,由于重复的失败的验证尝试。
6280网络策略服务器已解锁用户帐户。

子类别: 其他登录/注销事件

收起该表格展开该表格
ID消息
4649检测到的重播攻击。
4778到窗口站重新连接会话。
4779从窗口站,会话已断开连接。
4800被锁定的工作站。
4801交互式地使用计算机。
4802屏幕保护程序被调用。
4803已关闭屏幕保护程序。
5378请求的凭据委派了由策略不允许。
5632已请求对无线网络进行身份验证。
5633对请求进行身份验证的有线网络。

子类别: 特殊的登录

收起该表格展开该表格
ID消息
4964特殊组已分配给一个新的登录。

类别: 对象访问

子类别: 应用程序生成

收起该表格展开该表格
ID消息
4665尝试创建应用程序客户端上下文。
4666应用程序试图执行的操作:
4667应用程序客户端上下文已被删除。
4668应用程序已初始化。

子类别: 证书服务

收起该表格展开该表格
ID消息
4868证书管理器拒绝了挂起的证书申请。
4869证书服务收到重新提交的证书申请。
4870证书服务吊销了证书。
4871证书服务收到发行证书吊销列表 (CRL) 的请求。
4872证书服务发行了证书吊销列表 (CRL)。
4873更改了证书申请扩展。
4874一个或多个证书请求属性已更改。
4875证书服务收到关闭请求。
4876证书服务备份已启动。
4877证书服务备份已完成。
4878已开始证书服务还原。
4879证书服务还原已完成。
4880证书服务已启动。
4881证书服务已停止。
4882证书服务的安全权限已更改。
4883证书服务检索到存档的密钥。
4884证书服务将证书导入它的数据库。
4885证书服务的审核筛选已更改。
4886证书服务收到了一个证书申请。
4887证书服务批准了证书申请并颁发了证书。
4888证书服务拒绝证书请求。
4889证书服务将证书申请的状态设置为挂起。
4890证书服务的证书管理器设置已更改。
4891在证书服务中更改一个配置项。
4892证书服务的属性已更改。
4893证书服务存档了密钥。
4894证书服务导入和存档了密钥。
4895证书服务发布到 活动目录(AD) 域服务的 CA 证书。
4896已从证书数据库删除一行或多行。
4897启用角色分离:
4898证书服务加载模板。
4899证书服务模板进行了更新。
4900证书服务模板安全进行了更新。
5120OCSP 响应程序服务已启动。
5121OCSP 响应程序服务已停止。
5122OCSP 响应程序服务在更改一个配置项。
5123OCSP 响应程序服务在更改一个配置项。
5124OCSP 响应程序服务已更新安全设置。
5125请求已提交到 OCSP 响应程序服务。
5126OCSP 响应程序服务已自动更新签名证书。
5127OCSP 吊销提供程序已成功更新的吊销信息。

子类别: 文件共享

收起该表格展开该表格
ID消息
5140访问网络共享对象。

子类别: 文件系统

收起该表格展开该表格
ID消息
4664尝试创建硬链接。
4985交易记录的状态已更改。
5051文件的虚拟化。

子类别: 筛选平台连接

收起该表格展开该表格
ID消息
5031Windows 防火墙服务阻止接受传入连接在网络上的应用程序。
5154要在端口上侦听传入连接的应用程序或服务,已允许 Windows 筛选平台。
5155Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。
5156Windows 筛选平台已允许一个连接。
5157Windows 筛选平台已阻止连接。
5158Windows 筛选平台已允许的绑定到本地端口。
5159Windows 筛选平台已阻止绑定到本地端口。

子类别: 筛选平台数据包丢弃

收起该表格展开该表格
ID消息
5152Windows 筛选平台被阻止的数据包。
5153更严格的筛选的 Windows 平台过滤器已阻止数据包。

子类别: 句柄操作

收起该表格展开该表格
ID消息
4656请求的对象的句柄。
4658已关闭的对象句柄。
4690尝试复制对象的句柄。

子类别: 其他对象访问事件

收起该表格展开该表格
ID消息
4671应用程序试图访问被阻止的序号,通过进行 tbs。
4691请求的对象的间接访问。
4698创建计划的任务。
4699计划的任务已被删除。
4700启用计划的任务。
4701已禁用计划的任务。
4702已更新的计划的任务。
5888在 COM + 目录中的对象的修改。
5889从 COM + 目录中删除对象。
5890对象已添加到 COM + 目录中。

子类别: 注册表

收起该表格展开该表格
ID消息
4657已修改的注册表值。
5039注册表项被虚拟化。

子类别: 特殊的多用途子类别

注意及其子类别启用时,以下事件可能会生成任何资源管理器。例如,通过注册表资源管理器或文件系统资源管理器中,可能会生成下面的事件。"对象的访问: 内核对象"和"对象的访问: SAM"子类别都是以独占方式使用这些事件的子类别。
收起该表格展开该表格
ID消息
4659意图要删除请求的对象的句柄。
4660对象已被删除。
4661请求的对象的句柄。
4663试图访问的对象。

类别: 策略更改

子类别: 审核策略更改

收起该表格展开该表格
ID消息
4715已更改对象上的审核策略 (SACL)。
4719系统审核策略已更改。
4902每用户审核策略表已创建。
4904尝试注册安全事件源。
4905尝试取消安全事件源注册。
4906禁用组值已更改。
4907已更改对象上的审核设置。
4908修改特殊组登录表。
4912每个用户审核策略已更改。

子类别: 身份验证策略更改

收起该表格展开该表格
ID消息
4706向域创建新的信任。
4707已删除对一个域的信任。
4713Kerberos 策略已更改。
4716已修改受信任的域的信息。
4717授予帐户系统安全访问权限。
4718帐户已删除系统安全访问权限。
4864检测到的命名空间冲突。
4865添加受信任的林信息条目。
4866已删除受信任的林信息项。
4867已修改受信任的林信息项。

子类别: 授权策略更改

收起该表格展开该表格
ID消息
4704已分配用户权限。
4705已删除了用户权限。
4714加密的数据恢复策略已更改。

子类别: 筛选平台策略更改

收起该表格展开该表格
ID消息
4709IPsec 服务已启动。
4710IPsec 服务已被禁用。
4711可能包含下列之一:
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。
  • PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎轮询的活动 IPsec 策略的更改,并检测到任何更改。
4712IPsec 服务遇到了一个潜在的严重故障。
5040对 IPsec 设置进行更改。已添加身份验证设置。
5041对 IPsec 设置进行更改。身份验证设置已修改。
5042对 IPsec 设置进行更改。身份验证设置已被删除。
5043对 IPsec 设置进行更改。添加的连接安全规则。
5044对 IPsec 设置进行更改。连接安全规则进行了修改。
5045对 IPsec 设置进行更改。连接安全规则已被删除。
5046对 IPsec 设置进行更改。添加加密设置。
5047对 IPsec 设置进行更改。加密设置进行了修改。
5048对 IPsec 设置进行更改。加密设置已被删除。
5440下面标注时 Windows 筛选平台基本筛选引擎启动时出现。
5441下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。
5442下列提供程序是在 Windows 筛选平台基本筛选引擎启动时才可用。
5443以下的提供程序上下文已在 Windows 筛选平台基本筛选引擎启动时才可用。
5444下面的子图层时 Windows 筛选平台基本筛选引擎启动时出现。
5446已更改 Windows 筛选平台标注。
5448已更改 Windows 筛选平台提供商。
5449筛选的 Windows 平台提供程序上下文已被更改。
5450已更改 Windows 筛选平台子图层。
5456PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5457PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5458PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5459PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5460PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
5461PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
5462PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。
5463PAStore 引擎轮询的活动 IPsec 策略的更改,并检测到任何更改。
5464PAStore 引擎对活动的 IPsec 策略更改轮询、 检测到的更改,并用于 IPsec 服务。
5465PAStore 引擎接收用于 IPsec 策略的强制重新加载的控件,并成功处理该控件。
5466PAStore 引擎轮询更改活动目录 IPsec 策略,Active Directory 无法到达,并将改为使用活动目录 IPsec 策略缓存的副本已确定。由于上次轮询不能应用到活动目录 IPsec 策略中做的任何更改。
5467对活动目录 IPsec 策略中,已确定可以达到,并找到该策略没有更改 活动目录(AD) 更改轮询 PAStore 引擎。不再使用的活动目录 IPsec 策略缓存的副本。
5468PAStore 引擎轮询更改活动目录 IPsec 策略,取决于 活动目录(AD) 可以达到、 找到更改策略,并应用这些更改。不再使用的活动目录 IPsec 策略缓存的副本。
5471PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
5472PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
5473PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
5474PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
5477PAStore 引擎添加快速模式筛选器失败。

子类别: mpssvc 规则级别策略更改

收起该表格展开该表格
ID消息
4944当启动 Windows 防火墙时,以下策略处于活动状态。
4945开始 Windows 防火墙时,已列出规则。
4946已向 Windows 防火墙例外列表进行了更改。添加的规则。
4947已向 Windows 防火墙例外列表进行了更改。规则进行了修改。
4948已向 Windows 防火墙例外列表进行了更改。规则已被删除。
4949Windows 防火墙设置都恢复为默认值。
4950Windows 防火墙设置已更改。
4951规则已被忽略,因为 Windows 防火墙未识别的主要版本号。
4952由于 Windows 防火墙无法识别的次要版本号部分的规则已忽略。将执行该规则的其他部分。
4953规则已被忽略通过 Windows 防火墙,因为它无法分析该规则。
4954Windows 防火墙组策略设置已更改。已应用新设置。
4956Windows 防火墙已更改活动配置文件。
4957Windows 防火墙未应用以下规则:
4958因为规则引用了未在此计算机上配置的项目,Windows 防火墙未应用以下规则:
5050尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持在 Windows Vista 上。这很可能会出现由于不与 Windows Vista 兼容的程序。请联系该程序的制造商联系,以确保您拥有的 Windows Vista 兼容的程序版本。

子类别: 其他策略更改事件

收起该表格展开该表格
ID消息
4909TBS 的本地策略设置已更改。
4910TBS 的组策略设置已更改。
5063加密提供程序操作。
5064尝试加密上下文操作。
5065试图执行加密上下文修改。
5066加密函数操作。
5067试图执行加密函数修改。
5068尝试加密函数提供程序操作。
5069尝试加密函数属性操作。
5070试图执行加密函数属性修改。
5447Windows 筛选平台筛选器已更改。
6144已成功应用的组策略对象中的安全策略。
6145处理组策略对象中的安全策略时,出现了一个或多个错误。

子类别: 特殊的多用途子类别

注意及其子类别启用时,以下事件可能会生成任何资源管理器。例如,通过注册表资源管理器或文件系统资源管理器中,可能会生成下面的事件。
收起该表格展开该表格
ID消息
4670已更改对象上的权限。

类别: 特权使用

子类别: 敏感权限使用 / 非敏感权限使用

收起该表格展开该表格
ID消息
4672分配给新的登录特权。
4673调用特权的服务。
4674试图在特权对象上执行操作。

类别: 系统

子类别: IPsec 驱动程序

收起该表格展开该表格
ID消息
4960IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表明存在网络问题或该数据包修改传输到这台计算机中。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现互操作性问题。
4961IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。
4962IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保没有重播。
4963IPsec 丢弃应该保护的入站的明文数据包。这通常是由于更改而不通知此计算机的 IPsec 策略的远程计算机。这也可能是欺骗的攻击企图。
4965IPsec 远程计算机具有不正确的安全参数索引 (SPI) 中收到的数据包。这通常被由于被破坏的数据包的故障硬件。如果这些错误仍然存在,请验证来自远程计算机所发送的数据包都接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现互操作性问题。在这种情况下,如果连接不被阻碍,然后这些事件可以被忽略。
5478IPsec 服务已成功启动。
5479IPsec 服务已成功关闭。IPsec 服务关闭可以将网络攻击的风险更高的计算机,或将计算机暴露给潜在的安全风险。
5480IPsec 服务无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。
5483IPsec 服务无法初始化 RPC 服务器。IPsec 服务无法启动。
5484IPsec 服务遇到一个严重失败,已关闭。IPsec 服务关闭可以将网络攻击的风险更高的计算机,或将计算机暴露给潜在的安全风险。
5485IPsec 服务无法处理网络接口上的即插即用播放事件一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。

子类别: 其他系统事件

收起该表格展开该表格
ID消息
5024Windows 防火墙服务已成功启动。
5025Windows 防火墙服务已停止。
5027Windows 防火墙服务无法从本地存储区中检索的安全策略。该服务将继续执行当前的策略。
5028Windows 防火墙服务无法分析新的安全策略。服务将继续执行目前的策略。
5029Windows 防火墙服务无法初始化该驱动程序。该服务将继续执行当前的策略。
5030Windows 防火墙服务无法启动。
5032Windows 防火墙不能通知用户它阻止接受传入连接在网络上的应用程序。
5033Windows 防火墙驱动程序已成功启动。
5034Windows 防火墙驱动程序已停止。
5035Windows 防火墙驱动程序启动失败。
5037Windows 防火墙驱动程序检测到严重的运行时错误。正在终止。
5058密钥文件操作。
5059关键的迁移操作。

子类别: 安全状态更改

收起该表格展开该表格
ID消息
4608Windows 正在启动。
4616更改系统时间。
4621管理员从禁用组中恢复系统。现在将允许非管理员用户登录。可能尚未记录一些可审核的活动。

子类别: 安全系统扩展

收起该表格展开该表格
ID消息
4610已由本地安全机构加载身份验证程序包。
4611受信任的登录进程已被本地安全机构注册。
4614安全帐户管理器已加载通知程序包。
4622安全程序包已由本地安全机构加载。
4697在系统中已安装的服务。

子类别: 系统完整性

收起该表格展开该表格
ID消息
4612进行审核消息进行排队而分配的内部资源已用完,从而导致丢失的一些审计。
4615使用 LPC 端口无效。
4618监视的安全事件模式出现。
4816RPC 检测到解密传入消息时存在完整性冲突。
5038代码完整性已确定映像散列的文件是无效的。该文件可能被破坏,由于未经授权的修改或无效的哈希可能表明存在潜在的磁盘设备错误。
5056执行加密的自检程序。
5057加密基元操作失败。
5060验证操作失败。
5061加密操作。
5062已执行内核模式加密自检。
注释
  • 返回一个更详细的列表中的所有安全审核事件条目,在提升的命令提示符下以管理员身份运行以下命令:
    wevtutil Microsoft 的 Windows 的安全审核的 gp /ge /gm:true
    下面的示例显示输出的一部分:
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • 若要返回列表中的所有安全审核类别和子类别,下面的命令在提升的命令提示符作为管理员运行:
    auditpol /list /subcategory: *

参考

有关 Wevtutil 实用程序的详细信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
有关 Auditpol 实用程序的详细信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true
有关如何使用组策略来配置详细的安全审核设置的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
921469 如何使用组策略来配置详细的安全审核设置的基于 Windows Vista 和 Windows Server 2008 基于 Windows Server 2008 域中,在 Windows Server 2003 域中,或在 Windows 2000 域中的计算机
有关 Windows Vista 安全指南的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/bb629420.aspx

属性

文章编号: 947226 - 最后修改: 2014年2月9日 - 修订: 8.0
这篇文章中的信息适用于:
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
关键字:?
kbexpertiseadvanced kbinfo kbmt KB947226 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 947226
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com