Descripción de sucesos de seguridad en Windows 7 y en Windows Server 2008 R2

Seleccione idioma Seleccione idioma
Id. de artículo: 977519 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe diversos eventos relacionados con la seguridad y relacionados con la auditoría en Windows 7 y en Windows Server 2008 R2. En este artículo también proporciona información acerca de cómo interpretar estos sucesos. Todos estos eventos aparecen en el registro de seguridad y se registran con un origen de la Auditoría de seguridad. En este artículo también describe cómo recuperar datos más descriptivos acerca de los eventos individuales.

Más información

Esta sección enumeran todos los Windows 7 y Windows Server 2008 R2 relacionados con la auditoría de sucesos de seguridad por categoría y subcategoría.

Categoría: Inicio de sesión de cuenta

Subcategoría: Validación de credenciales de

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4774Se ha asignado una cuenta de inicio de sesión.
4775No se puede asignar una cuenta de inicio de sesión.
4776El equipo intentaba validar las credenciales de una cuenta.
4777El controlador de dominio no se pudo validar las credenciales de una cuenta.

Subcategoría: Servicio de autenticación de Kerberos

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4768Se solicitó un vale de autenticación Kerberos (TGT).
4771Error en la autenticación Kerberos previa.
4772Error en una solicitud de vale de autenticación Kerberos.

Subcategoría: Las operaciones de vale de servicio Kerberos

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4769Se solicitó un vale de servicio Kerberos.
4770Se ha renovado un vale de servicio Kerberos.
4773Ha fallado una solicitud de vale de servicio de Kerberos.

Categoría: Administración de cuentas de

Subcategoría: Administración de grupo de aplicaciones

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4783Se ha creado un grupo de aplicaciones básicas.
4784Se ha modificado un grupo de aplicaciones básicas.
4785Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787Un miembro no se ha agregado a un grupo de aplicaciones básicas.
4788Se ha quitado un miembro de un grupo de aplicaciones básicas.
4789Se ha eliminado un grupo de aplicaciones básicas.
4790Se ha creado un grupo de consulta LDAP.
4791Se ha modificado un grupo de aplicaciones básicas.
4792Se ha eliminado un grupo de consulta LDAP.

Subcategoría: Administración de cuentas de equipo

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4741Se ha creado una cuenta de equipo.
4742Se ha modificado una cuenta de equipo.
4743Se ha eliminado una cuenta de equipo.

Subcategoría: Administración de grupo de distribución

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4744Se ha creado un grupo local con seguridad deshabilitada.
4745Un grupo local con seguridad deshabilitada cambió.
4746Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748Se ha eliminado un grupo local con seguridad deshabilitada.
4749Se creó un grupo global con seguridad deshabilitada.
4750Un grupo global con seguridad deshabilitada cambió.
4751Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753Se ha eliminado un grupo global con seguridad deshabilitada.
4759Se ha creado un grupo universal con seguridad deshabilitada.
4760Un grupo universal con seguridad deshabilitada cambió.
4761Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.

Subcategoría: Otros eventos de administración de cuentas

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4782Se tuvo acceso el hash de contraseña de una cuenta.
4793Se llamó a la API de comprobación de directivas de contraseña.

Subcategoría: Grupo de seguridad administración

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4727Se creó un grupo global con seguridad habilitada.
4728Se ha agregado un miembro a un grupo global con seguridad habilitada.
4729Se ha quitado un miembro de un grupo global con seguridad habilitada.
4730Se ha eliminado un grupo global con seguridad habilitada.
4731Se ha creado un grupo local con seguridad habilitada.
4732Se ha agregado un miembro a un grupo local con seguridad habilitada.
4733Se ha quitado un miembro de un grupo local con seguridad habilitada.
4734Se ha eliminado un grupo local con seguridad habilitada.
4735Se cambió un grupo local con seguridad habilitada.
4737Se cambió un grupo global con seguridad habilitada.
4754Se ha creado un grupo universal con seguridad habilitada.
4755Se cambió un grupo universal con seguridad habilitada.
4756Se ha agregado un miembro a un grupo universal con seguridad habilitada.
4757Se ha quitado un miembro de un grupo universal con seguridad habilitada.
4758Se ha eliminado un grupo universal con seguridad habilitada.
4764Se cambió el tipo del grupo.

Subcategoría: Administración de cuentas de usuario

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4720Se ha creado una cuenta de usuario.
4722Se ha habilitado una cuenta de usuario.
4723Se ha intentado cambiar la contraseña de una cuenta.
4724Se intentó restablecer la contraseña de una cuenta.
4725Se deshabilitó una cuenta de usuario.
4726Se ha eliminado una cuenta de usuario.
4738Se ha modificado una cuenta de usuario.
4740Se ha bloqueado una cuenta de usuario.
4765SID History se ha agregado a una cuenta.
4766Error al intentar agregar SID History a una cuenta.
4767Se ha desbloqueado una cuenta de usuario.
4780Se ha establecido la ACL en las cuentas que son miembros de grupos de administradores.
4781Se cambió el nombre de una cuenta:
4794Se ha intentado establecer el modo de restauración de servicios de directorio.
5376Se copia de las credenciales de administrador de credenciales.
5377Las credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.

Categoría: Seguimiento detallado

Subcategoría: Actividad DPAPI

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4692Se intentó realizar la copia de seguridad de la clave maestra de protección de datos.
4693Se ha intentado iniciar la recuperación de la clave maestra de protección de datos.
4694Se intentó realizar la protección de datos protegidos auditables.
4695Se intentó realizar la desprotección de los datos auditables protegidos.

Subcategoría: La creación del proceso

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4688Se ha creado un nuevo proceso.
4696Se asignó un identificador primario para procesar.

Subcategoría: La terminación del proceso

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4689Un proceso ha terminado.

Subcategoría: Eventos RPC

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5712 Se intentó realizar una llamada a procedimiento remoto (RPC).

Categoría: Acceso DS

Subcategoría: Replicación del servicio de directorio detallado

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4928Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929Se ha quitado un contexto de nombres de origen de réplica de Active Directory.
4930Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934Se han replicado los atributos de un objeto de Active Directory.
4935Error de replicación se inicia.
4936Errores de replicación de los extremos.
4937Un objeto persistente se quitó una réplica.

Subcategoría: Acceso al servicio de directorio

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4662 Se realizó una operación en un objeto.

Subcategoría: Cambios de servicio de directorio

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5136Se ha modificado un objeto de servicio de directorio.
5137Se creó un objeto de servicio de directorio.
5138No se ha borrado un objeto de servicio de directorio.
5139Se ha movido un objeto de servicio de directorio.
5141 Se ha eliminado un objeto de servicio de directorio.

Subcategoría: Replicación del servicio de directorio

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4932Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
4933Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

Categoría: Inicio de sesión/cierre de sesión

Subcategoría: Modo extendido de IPsec

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4978Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
4979Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4980Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4981Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4982Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4983Una IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.
4984Una IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.

Subcategoría: El modo principal de IPsec

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4646Iniciada el modo de prevención DoS IKE.
4650Se ha establecido una asociación de seguridad IPsec de modo principal. No se ha habilitado el modo extendido. No se utilizó la autenticación de certificados.
4651Se ha establecido una asociación de seguridad IPsec de modo principal. No se ha habilitado el modo extendido. Se utilizó un certificado para la autenticación.
4652Error en una negociación de modo principal IPsec.
4653Error en una negociación de modo principal IPsec.
4655Se terminó una asociación de seguridad IPsec de modo principal.
4976Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
5049Se ha eliminado una asociación de seguridad IPsec.
5453Agente de directivas IPsec aplica la directiva de IPsec de almacenamiento de información de Active Directory en el equipo.

Subcategoría: El modo rápido de IPsec

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4654Error en una negociación de modo rápido IPsec.
4977Durante la negociación de modo rápido IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
5451Se ha establecido una asociación de seguridad IPsec de modo rápido.
5452Una asociación de seguridad IPsec de modo rápido finalizado.

Subcategoría: cierre de sesión

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4634 Una cuenta se ha cerrado la sesión.
4647 Cierre de sesión iniciada por el usuario.

Subcategoría: inicio de sesión

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4624Una cuenta se registró correctamente en.
4625No se pudo iniciar sesión una cuenta.
4648Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.
4675Se han filtrado los SID.

Subcategoría: Servidor de directivas de red

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
6272Servidor de directivas de red había concedido acceso a un usuario.
6273Servidor de directivas de red había denegado el acceso a un usuario.
6274Servidor de directivas de red descarta la solicitud de un usuario.
6275Servidor de directivas de red descarta la solicitud de contabilidad para un usuario.
6276Servidor de directivas de red en cuarentena a un usuario.
6277Servidor de directivas de red con acceso a un usuario pero poner a prueba porque el host no cumplía con la directiva de mantenimiento definidos.
6278Servidor de directivas de red acceso completo a un usuario porque el host cumple la directiva de mantenimiento definidos.
6279Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.
6280Servidor de directivas de red desbloquear la cuenta de usuario.

Subcategoría: Otros eventos de inicio de sesión/cierre de sesión

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4649Se detectó un ataque de reproducción.
4778Se volvió a conectar una sesión en una estación de ventana.
4779Se ha desconectado una sesión desde una estación de ventana.
4800Se ha bloqueado la estación de trabajo.
4801La estación de trabajo se ha desbloqueado.
4802Se invocó el protector de pantalla.
4803Se cerró el protector de pantalla.
5378La delegación de credenciales solicitado no se ha permitido por la directiva.
5632Se realizó una solicitud para autenticarse en una red inalámbrica.
5633Se realizó una solicitud para autenticarse en una red cableada.

Subcategoría: Inicio de sesión especial

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4964 Los grupos especiales se han asignado a un nuevo inicio de sesión.

Categoría: El acceso a objetos

Subcategoría: Aplicación de generado

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4665Se ha intentado crear un contexto de cliente de aplicación.
4666Una aplicación intentó una operación:
4667Se ha eliminado un contexto de cliente de aplicación.
4668Se puede inicializar una aplicación.

Subcategoría: Servicios de certificación de

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4868El Administrador de certificados denegó una solicitud de certificado pendiente.
4869Servicios de Certificate Server recibieron una solicitud de certificado reenviada.
4870Servicios de Certificate Server revocan un certificado.
4871Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).
4872Servicios de Certificate Server publicaron la lista de revocación de certificados (CRL).
4873Cambia una extensión de solicitud de certificado.
4874Cambiar uno o varios atributos de solicitud de certificado.
4875Servicios de Certificate Server recibieron una solicitud de cierre.
4876Se inicia la copia de seguridad de los servicios de certificado.
4877Backup de los servicios de certificado completado.
4878Inició la restauración de servicios de certificado.
4879Completada la restauración de servicios Certificate Server.
4880Inician servicios de Certificate Server.
4881Detienen servicios de Certificate Server.
4882Cambian los permisos de seguridad para servicios de Certificate Server.
4883Servicios de Certificate Server recuperaron una clave archivada.
4884Servicios de Certificate Server ha importado un certificado en su base de datos.
4885Cambia el filtro de auditoría para servicios de Certificate Server.
4886Servicios de Certificate Server recibieron una solicitud de certificado.
4887Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.
4888Servicios de Certificate Server ha denegado una petición de certificado.
4889Servicios de Certificate Server sea el estado de una solicitud de certificado pendiente.
4890Cambia la configuración del Administrador de certificados para servicios de Certificate Server.
4891Una entrada de configuración cambiada en servicios de Certificate Server.
4892Cambiar una propiedad de servicios de Certificate Server.
4893Servicios de Certificate Server archivaron una clave.
4894Servicios de Certificate Server importaron y archivaron una clave.
4895Servicios de Certificate Server publican el certificado de entidad emisora de certificados en los servicios de dominio de Active Directory.
4896Se han eliminado una o varias filas de la base de datos de certificados.
4897Separación de funciones habilitada:
4898Servicios de Certificate Server cargan una plantilla.
4899Se actualizó una plantilla de servicios de Certificate Server.
4900Seguridad de plantillas de servicios de certificado se ha actualizado.
5120Se inició el servicio de contestador OCSP.
5121Detener el servicio de contestador OCSP.
5122Una entrada de configuración que se cambió en el servicio del Respondedor de OCSP.
5123Una entrada de configuración que se cambió en el servicio del Respondedor de OCSP.
5124Una configuración de seguridad se actualizó en servicio del Respondedor de OCSP.
5125Se ha enviado una solicitud al servicio del Respondedor de OCSP.
5126Certificado de firma se actualizó automáticamente por el servicio de Respondedor de OCSP.
5127El proveedor de revocación de OCSP se actualizó correctamente la información de revocación.

Subcategoría: Recurso compartido de archivo detallado

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5145 Un objeto de recurso compartido de red se comprueba para ver si se puede conceder el cliente desea acceso.

Subcategoría: Recurso compartido de archivos

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5140Se tiene acceso a un objeto de recurso compartido de red.
5142Se ha agregado un objeto de recurso compartido de red.
5143Se ha modificado un objeto de recurso compartido de red.
5144Se ha eliminado un objeto de recurso compartido de red.
5168Comprobación de SPN de SMB/SMB2 falló.

Subcategoría: Sistema de archivos

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4664Se ha intentado crear un vínculo físico.
4985Ha cambiado el estado de una transacción.
5051Un archivo se ha virtualizado.

Subcategoría: Conexión de Filtering Platform

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5031El servicio de Firewall de Windows bloquea una aplicación de aceptar conexiones entrantes en la red.
5148La plataforma de filtrado de Windows ha detectado un ataque DoS y entrado en un modo defensivo; se descartarán los paquetes asociados con este ataque.
5149El ataque ha disminuido y se está reanudando el procesamiento normal.
5150La plataforma de filtrado de Windows ha bloqueado un paquete.
5151Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.
5154La plataforma de filtrado de Windows haya permitido que una aplicación o servicio para escuchar en un puerto para conexiones entrantes.
5155La plataforma de filtrado de Windows ha bloqueado una aplicación o servicio de escucha en un puerto para conexiones entrantes.
5156La plataforma de filtrado de Windows ha permitido una conexión.
5157La plataforma de filtrado de Windows ha bloqueado una conexión.
5158La plataforma de filtrado de Windows ha permitido un enlace a un puerto local.
5159La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Colocación de paquetes de la plataforma de filtrado

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5152 La plataforma de filtrado de Windows ha bloqueado un paquete.
5153 Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.

Subcategoría: Identificador de manipulación

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4656Se ha solicitado un identificador de objeto.
4658Se ha cerrado el identificador de objeto.
4690Se intentó duplicar un identificador a un objeto.

Subcategoría: Otros eventos de acceso a objetos

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4671Una aplicación ha intentado tener acceso a un ordinal bloqueado a través de TBS.
4691Se ha solicitado acceso indirecto a un objeto.
4698Se creó una tarea programada.
4699Se ha eliminado una tarea programada.
4700Se ha habilitado una tarea programada.
4701Una tarea programada se ha deshabilitado.
4702Se ha actualizado una tarea programada.
4702Se ha actualizado una tarea programada.
5888Ha modificado un objeto en el catálogo COM +.
5889Se ha eliminado un objeto desde el catálogo de COM +.
5890Se ha agregado un objeto en el catálogo COM +.

Subcategoría: registro

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4657 Un valor del registro se modificó.
5039 Una clave del registro se virtualiza.

Subcategoría: subcategoría varios uso especial

Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategorías son ejemplos de subcategorías que utilizar estos eventos de forma exclusiva.
Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4659Se ha solicitado un identificador para un objeto con la intención de eliminar.
4660Se ha eliminado un objeto.
4661Se ha solicitado un identificador de objeto.
4663Se ha intentado tener acceso a un objeto.

Categoría: Cambio de directiva

Subcategoría: Cambio de directiva de auditoría

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4715Se ha cambiado la directiva de auditoría (SACL) en un objeto.
4719Se ha cambiado la directiva de auditoría del sistema.
4817Se han cambiado la configuración de auditoría en un objeto.
4902Se creó la tabla de normas de auditoría por usuario.
4904Se ha intentado registrar un origen de eventos de seguridad.
4905Se ha intentado anular el registro de un origen de eventos de seguridad.
4906El valor de CrashOnAuditFail ha cambiado.
4907Se han cambiado la configuración de auditoría en el objeto.
4908Modificadas una tabla de grupos de inicio de sesión especial.
4912Se ha cambiado por la directiva de auditoría de usuario.

Subcategoría: Cambio de directiva de autenticación

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4706Se creó una nueva confianza a un dominio.
4707Se ha quitado una confianza a un dominio.
4713Se ha cambiado la directiva Kerberos.
4716Se ha modificado la información de dominio de confianza.
4717Acceso al sistema de seguridad se ha concedido a una cuenta.
4718Se ha quitado una cuenta de acceso al sistema de seguridad.
4739Se ha cambiado la directiva de dominio.
4864Se ha detectado una colisión de espacio de nombres.
4865Se ha agregado una entrada de información de confianza de bosque.
4866Se quitó una entrada de información de confianza de bosque.
4867Se modificó la entrada de información de una bosque de confianza.

Subcategoría: Cambio de directiva de autorización

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4704Se asignó un derecho de usuario.
4705Se ha quitado un derecho de usuario.
4714Directiva de grupo de agente de recuperación de datos para el sistema de archivos de cifrado (EFS) ha cambiado. Se han aplicado los cambios nuevos.

Subcategoría: Cambio de directiva de la plataforma de filtrado de

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4709Se inició el servicio de agente de directivas IPsec.
4710Se ha deshabilitado el servicio Agente de directivas IPsec.
4711Puede contener cualquiera de las siguientes acciones:
  • El motor PAStore aplicó una copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento del registro local en el equipo.
  • El motor PAStore no se pudo aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore al aplicar la directiva de IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore al aplicar la directiva de IPsec de almacenamiento de registro local en el equipo.
  • Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo.
  • El motor PAStore no se pudo cargar la directiva de IPsec en el equipo de almacenamiento de directorio.
  • El motor PAStore cargó en el equipo de directiva IPsec de almacenamiento de directorio.
  • El motor PAStore no se pudo cargar la directiva de IPsec en el equipo de almacenamiento local.
  • El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo.
  • El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
4712Agente de directivas IPsec ha encontrado un error potencialmente grave.
5040Se ha modificado la configuración de IPsec. Se ha agregado un conjunto de autenticación.
5041Se ha modificado la configuración de IPsec. Se ha modificado un conjunto de autenticación.
5042Se ha modificado la configuración de IPsec. Se ha eliminado un conjunto de autenticación.
5043Se ha modificado la configuración de IPsec. Se ha agregado una regla de seguridad de conexión.
5044Se ha modificado la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.
5045Se ha modificado la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.
5046Se ha modificado la configuración de IPsec. Se ha agregado un conjunto de cifrado.
5047Se ha modificado la configuración de IPsec. Se ha modificado un conjunto de cifrado.
5048Se ha modificado la configuración de IPsec. Se ha eliminado un conjunto de cifrado.
5440La siguiente llamada estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5441El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5442El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5443El siguiente contexto de proveedor estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5444El siguiente subnivel estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5446Se ha cambiado una llamada Windows Filtering Platform.
5448Un proveedor de plataforma de filtrado de Windows se ha cambiado.
5449Un contexto de proveedor de la plataforma de filtrado de Windows se ha cambiado.
5450Se ha cambiado un subnivel de la plataforma de filtrado de Windows.
5456El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458Agente de directivas IPsec a aplicar localmente en caché copia de la directiva de IPsec en el equipo de almacenamiento de Active Directory.
5459Agente de directivas IPsec no se pudo aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5460Agente de directivas IPsec aplica la directiva IPsec de almacenamiento del registro local en el equipo.
5461Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento del registro local en el equipo.
5462Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5463Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicado.
5465Agente de directivas IPsec recibió un control para la recarga forzada de directiva IPsec y el control se ha procesado correctamente.
5466Agente de directivas IPsec sondeó en busca de cambios en la directiva IPsec de Active Directory, determinada que no se puede conectar Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados a la directiva IPsec de Active Directory, ya que no se pudo aplicar el último sondeo.
5467Agente de directivas IPsec sondeo de cambios en la directiva de IPsec de Active Directory, determinada que Active Directory puede alcanzado y no encontró cambios en la directiva. Ya no se que se utiliza la copia en caché de la directiva IPsec de Active Directory.
5468Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas IPsec determina que Active Directory puede llegar, encontró cambios en la directiva y aplicar esos cambios. Ya no se que se utiliza la copia en caché de la directiva IPsec de Active Directory.
5471Agente de directivas IPsec carga almacenamiento local de directiva de IPsec en el equipo.
5472Agente de directivas IPsec no se pudo cargar el almacenamiento local de directiva de IPsec en el equipo.
5473Agente de directivas IPsec carga de almacenamiento de información de directorio en el equipo de directiva IPsec.
5474Agente de directivas IPsec no se pudo cargar el almacenamiento de información de directorio en el equipo de directiva IPsec.
5477Agente de directivas IPsec no se pudo agregar el filtro de modo rápido.

Subcategoría: Cambio de la directiva de nivel de reglas MPSSVC

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4944La siguiente directiva estaba activa cuando el Firewall de Windows se inicia.
4945Una regla se mostró al iniciar el Firewall de Windows.
4946Se ha modificado la lista de excepciones de Firewall de Windows. Se ha agregado una regla.
4947Se ha modificado la lista de excepciones de Firewall de Windows. Se ha modificado una regla.
4948Se ha modificado la lista de excepciones de Firewall de Windows. Se ha eliminado una regla.
4949Configuración de Firewall de Windows se han restaurado a los valores predeterminados.
4950Se ha cambiado una configuración de Firewall de Windows.
4951Firewall de Windows pasa por alto una regla, ya que no se reconoce su número de versión principal.
4952Firewall de Windows pasa por alto las partes de una regla porque no se reconoce su número de versión secundaria. Otras partes de la regla se aplicará.
4953Firewall de Windows pasa por alto una regla, ya que no se puede analizar.
4954Se han cambiado la configuración de directiva de grupo para Firewall de Windows y se han aplicado la nueva configuración.
4956Firewall de Windows cambia el perfil activo.
4957Firewall de Windows no aplicó la siguiente regla:
4958Firewall de Windows no aplicó la siguiente regla debido a la regla hace referencia a los elementos que no está configurados en este equipo:
5050Se rechazó un intento de deshabilitar el Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programación porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un programa que no es compatible con esta versión de Windows. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión del programa compatible.

Subcategoría: Otros eventos de cambio de directiva

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4909Se han cambiado la configuración de directivas locales para el TBS.
4910Se han cambiado la configuración de directiva de grupo para el TBS.
5063Se intentó una operación de proveedor de servicios criptográficos.
5064Se intentó una operación de contexto de cifrado.
5065Se intentó realizar una modificación del contexto de cifrado.
5066Se intentó una operación de la función criptográfica.
5067Se intentó realizar una modificación de la función criptográfica.
5068Se intentó una operación de proveedor de función criptográfica.
5069Se intentó una operación de propiedad de la función criptográfica.
5070Se intentó realizar una modificación de la propiedad de función criptográfica.
5447Se ha cambiado un filtro de plataforma de filtrado de Windows.
6144Directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente.
6145Se ha producido uno o más errores durante el procesamiento de directiva de seguridad de los objetos de directiva de grupo.

Subcategoría: subcategoría varios uso especial

Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos.
Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4670 Se cambiaron los permisos en un objeto.

Categoría: El uso de privilegios

Subcategoría: Uso de privilegio confidencial / uso de privilegios no sensibles,

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4672Privilegios especiales asignados al nuevo inicio de sesión.
4673Se llama a un servicio con privilegios.
4674Se intentó una operación en un objeto con privilegios.

Categoría: sistema

Subcategoría: Controlador de IPsec

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4960IPsec descartó un paquete entrante que no se pudo una comprobación de integridad. Si el problema persiste, podría indicar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961IPsec descartó un paquete entrante que no se pudo una comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción contra este equipo.
4962IPsec descartó un paquete entrante que no se pudo una comprobación de la reproducción. El paquete de entrada tenía demasiado bajo un número de secuencia para asegurarse de que no era una reproducción.
4963IPsec descartó un paquete entrante como texto sin cifrar que debería haber protegido. Si el equipo remoto está configurado con una directiva de solicitud saliente IPsec, podría resultar benignos y esperadas. Esto puede deberse por el equipo remoto, cambiar su directiva IPsec sin informar a este equipo. Esto también podría ser un intento de ataque de suplantación de identidad.
4965IPsec había recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Normalmente, esto se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se obstaculice la conectividad, pueden ignorar estos eventos.
5478Se inició el servicio de agente de directivas IPsec.
5479Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.
5480Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red no pueden obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5483El servicio de agente de directivas IPsec no se pudo inicializar el servidor RPC. No se pudo iniciar el servicio.
5484El servicio de agente de directivas IPsec un error grave y se cerró. El cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.
5485Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento de plug-and-play para interfaces de red. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red no pueden obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategoría: Otros eventos del sistema

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
5024El servicio de Firewall de Windows se inició correctamente.
5025Se detuvo el servicio de Firewall de Windows.
5027El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual.
5028Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de Windows seguirá aplicando la directiva actual.
5029El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de Windows seguirá aplicando la directiva actual.
5030No se pudo iniciar el servicio Firewall de Windows.
5032Firewall de Windows no pudo notificar al usuario que bloquea una aplicación de aceptar conexiones entrantes en la red.
5033El controlador de Firewall de Windows se inició correctamente.
5034Se ha detenido el controlador de Firewall de Windows.
5035No se pudo iniciar el controlador de Firewall de Windows.
5037El controlador de Firewall de Windows ha detectado un error en tiempo de ejecución críticos, finalizando.
5058Operación de archivo de clave.
5059Operación de clave de migración.
6400BranchCache: Se recibió una respuesta con formato incorrecto durante el descubrimiento de la disponibilidad del contenido.
6401BranchCache: Datos no válidos recibidos desde un elemento del mismo nivel. Se descartaron datos.
6403BranchCache: La memoria caché hospedada envió una respuesta con formato incorrecto para el cliente.
6404BranchCache: Memoria caché hospedada no se pudo autenticar con el certificado SSL con provisioning.
6405BranchCache: se ha producido %2 instancias del id de evento %1.
6406registrar %1 a Firewall de Windows al control de filtrado para lo siguiente: %2
6407% 1

Subcategoría: Cambio de estado de seguridad de

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4608Windows se está iniciando.
4616Se cambió la hora del sistema.
4621Administrador de recuperarse sistema CrashOnAuditFail. Ahora se permitirá a los usuarios que no son administradores para iniciar sesión. Pueden que no se han registrado algunas actividades auditables.

Subcategoría: Extensión del sistema de seguridad

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4610Se ha cargado un paquete de autenticación por la autoridad de seguridad Local.
4611Se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad Local.
4614Un paquete de notificación se ha cargado por el Administrador de cuentas de seguridad.
4622Se ha cargado un paquete de seguridad por la autoridad de seguridad Local.
4697Un servicio se instaló en el sistema.

Subcategoría: Integridad del sistema

Contraer esta tablaAmpliar esta tabla
ID. Mensaje
4612Se han agotado los recursos internos asignados para la cola de mensajes de auditoría, provocando la pérdida de algunas auditorías.
4615Uso no válido de puerto LPC.
4618Se ha producido un modelo de eventos de seguridad supervisados.
4816RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.
5038Integridad de código determinó que el valor de hash de la imagen de un archivo no es válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco.
5056Se realizó una prueba automática de cifrado.
5057Error en una operación de primitiva criptográfica.
5060Error en la operación de verificación.
5061Operación criptográfica.
5062Se realizó un cifrado que Self test en modo de núcleo.
6281Integridad de código determinó que los valores de hash de la página de un archivo de imagen no son válidos. El archivo podría ser incorrectamente firmado sin valores hash de la página o está dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible error de dispositivo de disco

Notas

  • Para devolver una más detallada de la lista de todas las auditorías de seguridad entradas de eventos, ejecute el comando siguiente en un símbolo del sistema con privilegios elevados como administrador:
    wevtutil gp auditoría una seguridad de Windows Microsoft /ge /gm:true
    En el ejemplo siguiente se muestra parte de la salida:
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • Para obtener una lista de todas las auditorías de seguridad categorías y subcategorías, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados como administrador:
    Auditpol /list /subcategory: *

Referencias

Para obtener más información acerca de la utilidad Wevtutil, visite el siguiente sitio Web de Microsoft:
http://technet2.Microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-AA55-0223b77a48221033.mspx
Para obtener más información acerca de la utilidad Auditpol, visite el siguiente sitio Web de Microsoft:
http://technet2.Microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
Para obtener más información acerca de la configuración de seguridad avanzada auditoría directiva en Windows 7 y Windows Server 2008 R2, visite el siguiente sitio Web de Microsoft:
http://technet.Microsoft.com/en-us/library/dd772712 (WS.10) .aspx
Para obtener más información acerca de la auditoría de seguridad en Windows Vista y Windows Server 2008, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
947226Descripción de sucesos de seguridad en Windows Vista y Windows Server 2008

Propiedades

Id. de artículo: 977519 - Última revisión: sábado, 4 de mayo de 2013 - Versión: 5.0
La información de este artículo se refiere a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Palabras clave: 
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 977519

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com