Cet article décrit les divers liés à la sécurité liés à l'audit des événements et dans Windows 7 et dans Windows Server 2008 R2. Cet article fournit également des informations sur la façon d'interpréter ces événements. Tous ces événements apparaissent dans le journal de sécurité et sont enregistrés avec une source de
L'audit de sécurité. Cet article décrit également comment récupérer des données plus descriptives sur les événements individuels.
Cette section répertorie tous les Windows 7 et Windows Server 2008 R2 sécurité d'audit les événements liés par catégorie et sous-catégorie.
Catégorie : Connexion de compte
Sous-catégorie : Validation des informations d'identification
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4774 | Un compte a été mappé pour l'ouverture de session. |
| 4775 | Un compte n'a pas pu être mappé pour l'ouverture de session. |
| 4776 | L'ordinateur a tenté de valider les informations d'identification d'un compte. |
| 4777 | Le contrôleur de domaine n'a pas pu valider les informations d'identification d'un compte. |
Sous-catégorie : Service d'authentification Kerberos
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4768 | Un ticket d'authentification Kerberos (TGT, Ticket Granting TICKET) a été demandé. |
| 4771 | Échec de la pré-authentification Kerberos. |
| 4772 | Une demande de ticket d'authentification Kerberos a échoué. |
Sous-catégorie : Opérations de ticket de Service Kerberos
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4769 | Un ticket de service Kerberos a été demandé. |
| 4770 | Un ticket de service Kerberos a été renouvelé. |
| 4773 | Une demande de ticket de service Kerberos a échoué. |
Catégorie : Gestion des comptes
Sous-catégorie : Groupe d'applications de gestion
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4783 | Un groupe d'application de base a été créé. |
| 4784 | Un groupe d'application de base a été modifié. |
| 4785 | Un membre a été ajouté à un groupe d'application de base. |
| 4786 | Un membre a été supprimé d'un groupe d'application de base. |
| 4787 | Un membre non a été ajouté à un groupe d'application de base. |
| 4788 | Un membre non a été supprimé à partir d'un groupe d'application de base. |
| 4789 | Un groupe d'application de base a été supprimé. |
| 4790 | Un groupe de requête LDAP a été créé. |
| 4791 | Un groupe d'application de base a été modifié. |
| 4792 | Un groupe de requête LDAP a été supprimé. |
Sous-catégorie : Gestion des comptes ordinateur
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4741 | Un compte d'ordinateur a été créé. |
| 4742 | Un compte d'ordinateur a été modifié. |
| 4743 | Un compte d'ordinateur a été supprimé. |
Sous-catégorie : Gestion de groupe de distribution
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4744 | Un groupe local avec sécurité désactivée a été créé. |
| 4745 | Un groupe local avec sécurité désactivée a été modifié. |
| 4746 | Un membre a été ajouté à un groupe local de sécurité est désactivée. |
| 4747 | Un membre a été supprimé d'un groupe local de sécurité est désactivée. |
| 4748 | Un groupe local avec sécurité désactivée a été supprimé. |
| 4749 | Un groupe global avec sécurité désactivée a été créé. |
| 4750 | Un groupe global avec sécurité désactivée a été modifié. |
| 4751 | Un membre a été ajouté à un groupe global de sécurité est désactivée. |
| 4752 | Un membre a été supprimé d'un groupe global avec sécurité désactivée. |
| 4753 | Un groupe global avec sécurité désactivée a été supprimé. |
| 4759 | Un groupe universel avec sécurité désactivée a été créé. |
| 4760 | Un groupe universel avec sécurité désactivée a été modifié. |
| 4761 | Un membre a été ajouté à un groupe universel de sécurité est désactivée. |
| 4762 | Un membre a été supprimé d'un groupe universel de sécurité est désactivée. |
Sous-catégorie : Autres événements de gestion des comptes
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4782 | Le hachage du mot de passe un compte a accédé. |
| 4793 | L'API de vérification de stratégie de mot de passe a été appelée. |
Sous-catégorie : Gestion de groupe de sécurité
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4727 | Un groupe global avec sécurité activée a été créé. |
| 4728 | Un membre a été ajouté à un groupe global avec sécurité activée. |
| 4729 | Un membre a été supprimé d'un groupe global avec sécurité activée. |
| 4730 | Un groupe global avec sécurité activée a été supprimé. |
| 4731 | Un groupe local avec sécurité activée a été créé. |
| 4732 | Un membre a été ajouté à un groupe local avec sécurité activée. |
| 4733 | Un membre a été supprimé d'un groupe local avec sécurité activée. |
| 4734 | Un groupe local avec sécurité activée a été supprimé. |
| 4735 | Un groupe local avec sécurité activée a été modifié. |
| 4737 | Un groupe global avec sécurité activée a été modifié. |
| 4754 | Un groupe universel avec sécurité activée a été créé. |
| 4755 | Un groupe universel avec sécurité activée a été modifié. |
| 4756 | Un membre a été ajouté à un groupe universel avec sécurité activée. |
| 4757 | Un membre a été supprimé d'un groupe universel dont la sécurité est activée. |
| 4758 | Un groupe universel avec sécurité activée a été supprimé. |
| 4764 | Le type d'un groupe a été modifié. |
Sous-catégorie : Gestion des comptes utilisateur
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4720 | Un compte d'utilisateur a été créé. |
| 4722 | Un compte d'utilisateur a été activé. |
| 4723 | Une tentative a été effectuée pour modifier le mot de passe d'un compte. |
| 4724 | Une tentative a été effectuée pour réinitialiser le mot de passe d'un compte. |
| 4725 | Un compte d'utilisateur a été désactivé. |
| 4726 | Un compte d'utilisateur a été supprimé. |
| 4738 | Un compte d'utilisateur a été modifié. |
| 4740 | Un compte d'utilisateur a été verrouillé. |
| 4765 | L'historique SID a été ajouté à un compte. |
| 4766 | Une tentative d'ajout de l'historique SID pour un compte a échoué. |
| 4767 | Un compte d'utilisateur a été déverrouillé. |
| 4780 | La liste de contrôle d'accès a été définie sur les comptes qui sont membres des groupes d'administrateurs. |
| 4781 | Le nom d'un compte a été modifié : |
| 4794 | Une tentative a été effectuée pour définir le mode restauration Active Directory. |
| 5376 | Informations d'identification du Gestionnaire d'informations d'identification ont été sauvegardées. |
| 5377 | Informations d'identification du Gestionnaire d'informations d'identification ont été restaurées à partir d'une sauvegarde. |
Catégorie : Suivi détaillé
Sous-catégorie : DPAPI activité
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4692 | Sauvegarde de clé principale de protection des données a été tentée. |
| 4693 | Récupération de clé principale de protection des données a été tentée. |
| 4694 | Protection des données protégées auditables a été tentée. |
| 4695 | Unprotection des données protégées auditables a été tentée. |
Sous-catégorie : Création de processus
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4688 | Un nouveau processus a été créé. |
| 4696 | Un jeton principal a été affecté à traiter. |
Sous-catégorie : Arrêt du processus
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4689 | Un processus s'est arrêté. |
Sous-catégorie : Événements RPC
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5712 | Un appel de procédure distante (RPC) a été tentée. |
Catégorie : DSAccess de la boîte de dialogue
Sous-catégorie : Réplication du service d'annuaire détaillé
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4928 | Un contexte de nommage Active Directory réplica source a été établi. |
| 4929 | Un contexte de nommage Active Directory réplica source a été supprimé. |
| 4930 | Un contexte de nommage Active Directory réplica source a été modifié. |
| 4931 | Un contexte de nommage Active Directory réplica destination a été modifié. |
| 4934 | Attributs d'un objet Active Directory ont été répliqués. |
| 4935 | Échec de la réplication commence. |
| 4936 | Échec de la réplication se termine. |
| 4937 | Un objet en attente a été supprimé à partir d'un réplica. |
Sous-catégorie : L'accès au service d'annuaire
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4662 | Une opération a été effectuée sur un objet. |
Sous-catégorie : Modification de service d'annuaire
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5136 | Un objet du service d'annuaire a été modifié. |
| 5137 | Un objet du service d'annuaire a été créé. |
| 5138 | Un objet du service d'annuaire a été restauré. |
| 5139 | Un objet du service d'annuaire a été déplacé. |
| 5141 | Un objet du service d'annuaire a été supprimé. |
Sous-catégorie : Réplication du service d'annuaire
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4932 | Synchronisation d'un réplica d'un contexte de nommage Active Directory a commencé. |
| 4933 | Synchronisation d'un réplica d'un contexte de nommage Active Directory s'est terminée. |
Catégorie : Ouverture/fermeture de session
Sous-catégorie : IPsec Extended Mode
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4978 | Durant la négociation de mode étendu, IPsec a reçu un paquet de négociation non valide. Si le problème persiste, il peut s'agir d'un problème réseau ou d'une tentative de modifier ou de relire cette négociation. |
| 4979 | Associations de sécurité de mode étendu et de mode principal IPsec ont été établies. |
| 4980 | Associations de sécurité de mode étendu et de mode principal IPsec ont été établies. |
| 4981 | Associations de sécurité de mode étendu et de mode principal IPsec ont été établies. |
| 4982 | Associations de sécurité de mode étendu et de mode principal IPsec ont été établies. |
| 4983 | Un IPsec étendu échouée de la négociation de mode. L'association de sécurité de mode principal correspondante a été supprimée. |
| 4984 | Un IPsec étendu échouée de la négociation de mode. L'association de sécurité de mode principal correspondante a été supprimée. |
Sous-catégorie : En mode principal IPsec
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4646 | Mode de prévention DoS IKE démarré. |
| 4650 | Une association de sécurité de mode principal IPsec a été établie. Mode étendu n'a pas été activé. L'authentification par certificat n'a pas été utilisée. |
| 4651 | Une association de sécurité de mode principal IPsec a été établie. Mode étendu n'a pas été activé. Un certificat a été utilisé pour l'authentification. |
| 4652 | Une négociation de mode principal IPsec a échoué. |
| 4653 | Une négociation de mode principal IPsec a échoué. |
| 4655 | Une association de sécurité de mode principal IPsec s'est terminée. |
| 4976 | Au cours de négociation de mode principal IPsec a reçu un paquet de négociation non valide. Si le problème persiste, il peut s'agir d'un problème réseau ou d'une tentative de modifier ou de relire cette négociation. |
| 5049 | Une association de sécurité IPsec a été supprimée. |
| 5453 | Agent de stratégie appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur. |
Sous-catégorie : En mode rapide IPsec
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4654 | Une négociation de mode rapide IPsec a échoué. |
| 4977 | Au cours de négociation de mode rapide IPsec a reçu un paquet de négociation non valide. Si le problème persiste, il peut s'agir d'un problème réseau ou d'une tentative de modifier ou de relire cette négociation. |
| 5451 | Une association de sécurité de mode rapide IPsec a été établie. |
| 5452 | Une association de sécurité de mode rapide IPsec s'est terminée. |
Sous-catégorie : fermeture de session
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4634 | Un compte a été déconnecté. |
| 4647 | Utilisateur a lancé la fermeture de session. |
Sous-catégorie : ouverture de session
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4624 | Un compte a été ouvert avec succès une session. |
| 4625 | Un compte n'a pas réussi à ouvrir une session. |
| 4648 | Une ouverture de session a été tentée à l'aide des informations d'identification explicites. |
| 4675 | SID ont été filtrées. |
Sous-catégorie : Network Policy Server
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 6272 | Serveur de stratégie de réseau autorisé à accéder à un utilisateur. |
| 6273 | Serveur de stratégie de réseau, accès refusé à un utilisateur. |
| 6274 | Serveur de stratégie de réseau supprimé la demande pour un utilisateur. |
| 6275 | Serveur de stratégie de réseau supprimé la demande de comptabilité pour un utilisateur. |
| 6276 | Serveur de stratégie de réseau mis en quarantaine un utilisateur. |
| 6277 | Serveur de stratégie de réseau autorisés à accéder à un utilisateur, mais placez sur probation, car l'ordinateur hôte ne respectait pas la stratégie d'intégrité défini. |
| 6278 | Serveur de stratégie de réseau accordé un accès complet à un utilisateur car l'ordinateur hôte remplie de la stratégie d'intégrité défini. |
| 6279 | Serveur de stratégie de réseau verrouillé le compte d'utilisateur en raison de tentatives répétées de l'authentification a échoué. |
| 6280 | Serveur de stratégie de réseau déverrouillé le compte d'utilisateur. |
Sous-catégorie : Autres événements ouverture/fermeture de session
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4649 | Une attaque par reconstitution a été détecté. |
| 4778 | Une session a été reconnectée à une station de fenêtre. |
| 4779 | Une session a été déconnectée à partir d'une station de fenêtre. |
| 4800 | La station de travail a été verrouillée. |
| 4801 | La station de travail a été déverrouillée. |
| 4802 | L'écran de veille a été appelé. |
| 4803 | L'écran de veille a été fermée. |
| 5378 | La délégation des informations d'identification demandé a été interdite par la stratégie. |
| 5632 | Une demande a été effectuée pour s'authentifier sur un réseau sans fil. |
| 5633 | Une demande a été effectuée pour s'authentifier sur un réseau câblé. |
Sous-catégorie : Ouverture de session spécial
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4964 | Groupes spéciaux ont été affectés à une nouvelle ouverture de session. |
Catégorie : Accès aux objets
Sous-catégorie : Application générée
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4665 | Une tentative a été effectuée pour créer un contexte de client d'application. |
| 4666 | Une application a tenté une opération : |
| 4667 | Un contexte de client d'application a été supprimé. |
| 4668 | Une application a été initialisée. |
Sous-catégorie : Services de certification
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4868 | Le Gestionnaire de certificats ont refusé une demande de certificat en attente. |
| 4869 | Les services de certificats ont reçu une demande de certificat soumise à nouveau. |
| 4870 | Les services de certificats ont révoqué un certificat. |
| 4871 | Les services de certificats ont reçu une demande pour publier la liste de révocation de certificats (CRL). |
| 4872 | Les services de certificats ont publié la liste de révocation de certificats (CRL). |
| 4873 | Une extension de demande de certificat modifiée. |
| 4874 | Un ou plusieurs attributs de demande de certificat est modifié. |
| 4875 | Les services de certificats ont reçu une demande d'arrêt. |
| 4876 | Sauvegarde des services de certificats a démarré. |
| 4877 | Terminé la sauvegarde des services de certificats. |
| 4878 | Restauration des services de certificats a démarré. |
| 4879 | Terminé la restauration des services de certificats. |
| 4880 | Les services de certificats a démarré. |
| 4881 | Les services de certificats s'est arrêté. |
| 4882 | Autorisations de sécurité pour Certificate Services modifié. |
| 4883 | Les services de certificats ont récupéré une clé archivée. |
| 4884 | Les services de certificats ont importé un certificat dans sa base de données. |
| 4885 | Le filtre d'audit pour les services de certificats est modifié. |
| 4886 | Les services de certificats ont reçu une demande de certificat. |
| 4887 | Les services de certificats ont approuvé une demande de certificat et émis un certificat. |
| 4888 | Les services de certificats ont refusé une demande de certificat. |
| 4889 | Les services de certificats ont défini le statut d'une demande de certificat en attente. |
| 4890 | Les paramètres du Gestionnaire de certificats pour les services de certificats ont changé. |
| 4891 | Une entrée de configuration est modifiée dans les services de certificats. |
| 4892 | Modification d'une propriété des services de certificats. |
| 4893 | Les services de certificats ont archivé une clé. |
| 4894 | Les services de certificats ont importé et archivé une clé. |
| 4895 | Les services de certificats ont publié le certificat d'autorité de certification pour les services de domaine Active Directory. |
| 4896 | Une ou plusieurs lignes ont été supprimés de la base de données de certificats. |
| 4897 | Séparation de rôle activée : |
| 4898 | Les services de certificats de charger un modèle. |
| 4899 | Un modèle Certificate Services a été mis à jour. |
| 4900 | Sécurité de modèle de certificat Services a été mis à jour. |
| 5 120 | Service du répondeur OCSP est démarré. |
| 5121 | Service du répondeur OCSP est arrêté. |
| 5122 | Une entrée de configuration modifiée dans le service du répondeur OCSP. |
| 5123 | Une entrée de configuration modifiée dans le service du répondeur OCSP. |
| Macao 5124 | Un paramètre de sécurité a été mis à jour le service du répondeur OCSP. |
| 5125 | Une demande a été envoyée au service du répondeur OCSP. |
| 5126 | Certificat de signature a été automatiquement mis à jour par le service du répondeur OCSP. |
| 5127 | Le fournisseur de révocation OCSP a correctement mis à jour les informations de révocation. |
Sous-catégorie : Partage de fichiers détaillée
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5145 | Un objet de partage réseau a été vérifié pour voir si le client peut être accordé souhaité d'accès. |
Sous-catégorie : Partage de fichiers
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5140 | Un objet de partage réseau est accessible. |
| 5142 | Un objet de partage réseau a été ajouté. |
| 5143 | Un objet de partage réseau a été modifié. |
| 5144 | Un objet de partage réseau a été supprimé. |
| 5168 | Vérification de SPN pour SMB/SMB2 a échoué. |
Sous-catégorie : Système de fichiers
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4664 | Une tentative a été effectuée pour créer un lien réel. |
| 4985 | L'état d'une transaction a été modifié. |
| 5051 | Un fichier a été virtualisé. |
Sous-catégorie : Filtrage de connexion de plate-forme
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5031 | Le service pare-feu Windows bloqué une application d'accepter les connexions entrantes sur le réseau. |
| 5148 | La plateforme de filtrage Windows a détecté une attaque par déni de service et entré un mode défensive ; paquets associés à cette attaque seront ignorées. |
| 5149 | L'attaque de refus de service écartée et sort de son traitement normal. |
| 5150 | La plateforme de filtrage Windows a bloqué un paquet. |
| 5151 | Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet. |
| 5154 | La plateforme de filtrage Windows a autorisé une application ou un service d'écouter un port pour les connexions entrantes. |
| 5155 | La plateforme de filtrage Windows a bloqué une application ou un service d'écouter sur un port pour les connexions entrantes. |
| 5156 | La plateforme de filtrage Windows a autorisé une connexion. |
| 5157 | La plateforme de filtrage Windows a bloqué une connexion. |
| 5158 | La plateforme de filtrage Windows a autorisé une liaison à un port local. |
| 5159 | La plateforme de filtrage Windows a bloqué une liaison à un port local. |
Sous-catégorie : Filtering Platform Packet directe
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5152 | La plateforme de filtrage Windows a bloqué un paquet. |
| 5153 | Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet. |
Sous-catégorie : Handle de manipulation
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4656 | Un handle à un objet a été demandé. |
| 4658 | Le handle à un objet a été fermé. |
| 4690 | Une tentative a été effectuée pour dupliquer un handle à un objet. |
Sous-catégorie : Autres objets Access événements
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4671 | Une application a tenté d'accéder à un ordinal bloquée via le TBS. |
| 4691 | Accès indirect à un objet a été demandé. |
| 4698 | Une tâche planifiée a été créée. |
| 4699 | Une tâche planifiée a été supprimée. |
| 4700 | Une tâche planifiée a été activée. |
| 4701 | Une tâche planifiée a été désactivée. |
| 4702 | Une tâche planifiée a été mis à jour. |
| 4702 | Une tâche planifiée a été mis à jour. |
| 5888 | Un objet dans le catalogue COM + a été modifié. |
| 5889 | Un objet a été supprimé à partir du catalogue COM +. |
| 5890 | Un objet a été ajouté au catalogue COM +. |
Sous-catégorie : Registre
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4657 | Une valeur de Registre a été modifiée. |
| 5039 | Une clé de Registre a été virtualisée. |
Sous-catégorie : spécial sous-catégorie Multi-use
Remarque L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activée. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources système de fichiers. Le
l'accès aux objets : objet de noyau et
l'accès aux objets: SAM sous-catégories sont des exemples de sous-catégories qui utilisent ces événements en mode exclusif.
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4659 | Un handle à un objet a été demandé avec intention de supprimer. |
| 4660 | Un objet a été supprimé. |
| 4661 | Un handle à un objet a été demandé. |
| 4663 | Une tentative a été faite pour accéder à un objet. |
Catégorie : Modification de la stratégie
Sous-catégorie : Modification de la stratégie d'audit
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4715 | La stratégie d'audit (SACL, System Access Control List) sur un objet a été modifiée. |
| 4719 | Stratégie d'audit système a été modifiée. |
| 4817 | Paramètres d'audit sur un objet ont été modifiés. |
| 4902 | La table des stratégies d'audit par utilisateur a été créée. |
| 4904 | Une tentative a été effectuée pour inscrire une source d'événements de sécurité. |
| 4905 | Une tentative a été effectuée pour annuler l'inscription d'une source d'événements de sécurité. |
| 4906 | La valeur CrashOnAuditFail a changé. |
| 4907 | Paramètres d'audit sur objet ont été modifiés. |
| 4908 | Table de groupes d'ouverture de session spéciale modifiée. |
| 4912 | Par la stratégie d'audit de l'utilisateur a été modifiée. |
Sous-catégorie : Modification de la stratégie d'authentification
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4706 | Une nouvelle relation d'approbation a été créée pour un domaine. |
| 4707 | Une approbation à un domaine a été supprimée. |
| 4713 | Stratégie Kerberos a été modifié. |
| 4716 | Informations de domaine approuvé a été modifiées. |
| 4717 | Accès au système de sécurité a été accordé à un compte. |
| 4718 | Accès au système de sécurité a été supprimé à partir d'un compte. |
| 4739 | Stratégie de domaine a été modifié. |
| 4864 | Une collision d'espace de noms a été détectée. |
| 4865 | Une entrée d'informations de forêt approuvée a été ajoutée. |
| 4866 | Une entrée d'informations de forêt approuvée a été supprimée. |
| 4867 | Une entrée d'informations de forêt approuvée a été modifiée. |
Sous-catégorie : Modification de la stratégie d'autorisation
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4704 | Un droit d'utilisateur a été affecté. |
| 4705 | Un droit d'utilisateur a été supprimé. |
| 4714 | Stratégie de groupe de l'Agent de récupération de données pour le système EFS (ENCRYPTING File System) a changé. Les nouvelles modifications ont été appliquées. |
Sous-catégorie : Modification de la stratégie de plateforme de filtrage
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4709 | Le service Agent de stratégie a été démarré. |
| 4710 | Le service Agent de stratégie a été désactivé. |
| 4711 | Peut contenir l'une des opérations suivantes : - Le moteur PAStore a appliqué la copie localement mise en cache de stratégie IPsec de stockage Active Directory sur l'ordinateur.
- Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur.
- Le moteur PAStore a appliqué la stratégie IPsec de stockage du Registre local sur l'ordinateur.
- Le moteur PAStore n'a pas pu appliquer la copie localement mise en cache de stratégie IPsec de stockage Active Directory sur l'ordinateur.
- Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage de Active Directory sur l'ordinateur.
- Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur.
- Le moteur PAStore n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur.
- Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire.
- Le moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage de répertoire.
- Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local.
- Le moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage local.
- Le moteur PAStore a effectué un sondage pour détecter des modifications apportées à la stratégie IPsec active et a détecté aucune modification.
|
| 4712 | Agent de stratégie IPsec a rencontré un échec potentiellement grave. |
| 5040 | Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été ajouté. |
| 5041 | Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été modifié. |
| 5042 | Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été supprimé. |
| 5043 | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée. |
| 5044 | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée. |
| 5045 | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée. |
| 5046 | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été ajouté. |
| 5047 | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été modifié. |
| 5048 | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été supprimé. |
| 5440 | La légende suivante était présente au démarrage de la Windows Filtering Platform moteur de filtrage de base. |
| 5441 | Le filtre suivant était présent au démarrage de la Windows Filtering Platform moteur de filtrage de base. |
| 5442 | Le fournisseur suivant était présent au démarrage de la Windows Filtering Platform moteur de filtrage de base. |
| 5443 | Le contexte du fournisseur suivant était présent au démarrage de la Windows Filtering Platform moteur de filtrage de base. |
| 5444 | Le sub-layer suivant était présente au démarrage de la Windows Filtering Platform moteur de filtrage de base. |
| 5446 | Une légende de la plateforme de filtrage Windows a été modifiée. |
| 5448 | Un fournisseur de la plateforme de filtrage Windows a été modifié. |
| 5449 | Un contexte de fournisseur de plateforme de filtrage Windows a été modifié. |
| 5450 | Une plateforme de filtrage Windows sub-layer a été modifié. |
| 5456 | Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur. |
| 5457 | Agent de stratégie n'a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l'ordinateur. |
| 5458 | Agent de stratégie appliqués localement copie mise en cache de stratégie IPsec sur l'ordinateur de stockage Active Directory. |
| 5459 | Agent de stratégie n'a pas pu appliquer la copie localement mise en cache de stratégie IPsec de stockage Active Directory sur l'ordinateur. |
| 5460 | Agent de stratégie appliqué la stratégie IPsec de stockage du Registre local sur l'ordinateur. |
| 5461 | Agent de stratégie n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur. |
| 5462 | Agent de stratégie n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur. Utilisez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer le problème. |
| 5463 | Agent de stratégie un sondage pour détecter des modifications apportées à la stratégie IPsec active et a détecté aucune modification. |
| 5464 | Agent de stratégie un sondage pour détecter des modifications apportées à la stratégie IPsec active, a détecté des modifications et les imputés. |
| 5465 | Agent de stratégie a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et le contrôle a été traitée correctement. |
| 5466 | Agent de stratégie un sondage pour détecter des modifications apportées à la stratégie Active Directory IPsec, a détecté que Active Directory est inaccessible et utilisera la copie mise en cache de la stratégie Active Directory IPsec à la place. Toutes les modifications apportées à la stratégie Active Directory IPsec depuis le dernier sondage n'a pas pu être appliqué. |
| 5467 | Agent de stratégie un sondage pour détecter des modifications apportées à la stratégie Active Directory IPsec, a détecté que Active Directory peut être atteint et n'a trouvé aucune modification apportée à la stratégie. La copie mise en cache de la stratégie Active Directory IPsec est plus utilisée. |
| 5468 | Agent de stratégie un sondage pour détecter des modifications apportées à la stratégie Active Directory IPsec, déterminé que Active Directory peut être atteint, trouver les modifications apportées à la stratégie et appliqué ces modifications. La copie mise en cache de la stratégie Active Directory IPsec est plus utilisée. |
| 5471 | Agent de stratégie chargé la stratégie IPsec sur l'ordinateur de stockage local. |
| 5472 | Agent de stratégie n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local. |
| 5473 | Agent de stratégie chargé la stratégie IPsec sur l'ordinateur de stockage de répertoire. |
| 5474 | Agent de stratégie n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire. |
| 5477 | Agent de stratégie n'a pas pu ajouter le filtre de mode rapide. |
Sous-catégorie : Modification de la stratégie de niveau règle MPSSVC
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4944 | La stratégie suivante était active lorsque le pare-feu Windows est démarré. |
| 4945 | Une règle a été répertoriée lorsque le pare-feu Windows est démarré. |
| 4946 | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée. |
| 4947 | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée. |
| 4948 | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée. |
| 4949 | Paramètres du pare-feu Windows ont été restaurés à leurs valeurs par défaut. |
| 4950 | Un paramètre du pare-feu Windows a été modifié. |
| 4951 | Pare-feu Windows ignoré une règle, car son numéro de version principale n'est pas reconnu. |
| 4952 | Pare-feu Windows ignoré des parties d'une règle, car son numéro de version secondaire n'est pas reconnu. Autres parties de la règle seront appliquées. |
| 4953 | Pare-feu Windows ignoré une règle, car il n'a pas pu être analysé. |
| 4954 | Les paramètres de stratégie de groupe pour le pare-feu Windows ont été modifiées et les nouveaux paramètres ont été appliqués. |
| 4956 | Pare-feu Windows de modifier le profil actif. |
| 4957 | Pare-feu Windows n'a pas appliqué la règle suivante : |
| 4958 | Pare-feu Windows n'a pas appliqué la règle suivante dans la mesure où la règle fait référence aux éléments ne pas configurés sur cet ordinateur : |
| 5050 | Une tentative pour désactiver par programme le pare-feu de Windows à l'aide d'un appel à INetFwProfile.FirewallEnabled(FALSE) interface a été rejetée car cette API n'est pas pris en charge sur cette version de Windows. Cela est probablement dû à un programme qui n'est pas compatible avec cette version de Windows. Veuillez contacter le fabricant du programme pour vous assurer que vous avez une version d'un programme compatible. |
Sous-catégorie : Autres événements de modification de stratégie
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4909 | Les paramètres de stratégie locale pour le TBS ont été modifiés. |
| 4910 | Les paramètres de stratégie de groupe pour le TBS ont été modifiés. |
| 5063 | Une opération de fournisseur de services cryptographiques a été tentée. |
| 5064 | Une opération de contexte cryptographique a été tentée. |
| 5065 | Une modification de contexte cryptographique a été tentée. |
| 5066 | Une opération de la fonction de chiffrement a été tentée. |
| 5067 | Une modification de la fonction de chiffrement a été tentée. |
| 5068 | Une opération de fournisseur de fonction de chiffrement a été tentée. |
| 5069 | Une opération de propriété de fonction de chiffrement a été tentée. |
| 5070 | Une modification de propriété de fonction de chiffrement a été tentée. |
| 5447 | Un filtre de la plateforme de filtrage Windows a été modifié. |
| 6144 | Stratégie de sécurité dans les objets de stratégie de groupe a été appliquée avec succès. |
| 6145 | Un ou plusieurs erreurs se sont produites lors du traitement de stratégie de sécurité dans les objets de stratégie de groupe. |
Sous-catégorie : spécial sous-catégorie Multi-use
Remarque L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activée. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources système de fichiers.
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4670 | Autorisations sur un objet ont été modifiées. |
Catégorie : Utilisation des privilèges
Sous-catégorie : Utilisation des privilèges sensibles / l'utilisation des privilèges non sensibles
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4672 | Privilèges spéciaux attribués à nouvelle ouverture de session. |
| 4673 | Un service privilégié a été appelé. |
| 4674 | Une opération a été tentée sur un objet privilégié. |
Catégorie : système
Sous-catégorie : Le pilote IPsec
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4960 | IPsec ignoré un paquet entrant a échoué une vérification d'intégrité. Si le problème persiste, il peut s'agir d'un problème réseau ou qui les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés à partir de l'ordinateur distant sont identiques à celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. |
| 4961 | IPsec ignoré un paquet entrant Échec de la vérification de relecture. Si le problème persiste, il peut s'agir d'une attaque de relecture sur cet ordinateur. |
| 4962 | IPsec ignoré un paquet entrant Échec de la vérification de relecture. Le paquet entrant avait trop faible une souche de numéros pour vous assurer qu'il n'était pas une relecture. |
| 4963 | IPsec ignoré un paquet entrant clair qui devrait être sécurisé. Si l'ordinateur distant est configuré avec une stratégie de demande sortant IPsec, il peut s'agir bénins et attendus. Cela peut également être provoqué par l'ordinateur distant, la modification de sa stratégie IPsec sans informer cet ordinateur. Il peut également s'agir d'une tentative d'attaque d'usurpation de contenu. |
| 4965 | IPsec a reçu un paquet à partir d'un ordinateur distant avec un index de paramètre incorrect sécurité (SPI). Cela est dû généralement matériel défectueux qui endommage des paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés à partir de l'ordinateur distant sont identiques à celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. Dans ce cas, si la connectivité n'est pas altérée, puis ces événements peuvent être ignorés. |
| 5478 | Le service Agent de stratégie a été démarré. |
| 5479 | Les services IPsec a été arrêté avec succès. L'arrêt des IPsec Services peut mettre l'ordinateur au plus grand risque d'attaque du réseau ou exposer l'ordinateur des risques de sécurité potentiels. |
| 5480 | Agent de stratégie n'a pas pu obtenir la liste complète des interfaces réseau sur l'ordinateur. Ceci pose un risque potentiel car certaines interfaces réseau peut ne pas Obtient la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer le problème. |
| 5483 | Le service Agent de stratégie n'a pas pu initialiser son serveur RPC. Le service n'a pas pu être démarré. |
| 5484 | Le service Agent de stratégie IPsec a rencontré une défaillance critique et a été arrêté. L'arrêt de ce service peut mettre l'ordinateur au plus grand risque d'attaque du réseau ou exposer l'ordinateur des risques de sécurité potentiels. |
| 5485 | Agent de stratégie n'a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Ceci pose un risque potentiel car certaines interfaces réseau peut ne pas Obtient la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer le problème. |
Sous-catégorie : Autres événements de système
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 5024 | Le service pare-feu Windows a démarré avec succès. |
| 5025 | Le service pare-feu Windows a été arrêté. |
| 5027 | Le service pare-feu Windows n'a pas pu extraire la stratégie de sécurité à partir du stockage local. Service continuera d'appliquer la stratégie actuelle. |
| 5028 | Pare-feu Windows n'a pas pu analyser la nouvelle stratégie de sécurité. Service continuera d'appliquer la stratégie actuelle. |
| 5029 | Le service de pare-feu Windows n'a pas pu initialiser le pilote. Service continuera d'appliquer la stratégie actuelle. |
| 5030 | Le service pare-feu Windows n'a pas pu démarrer. |
| 5032 | Pare-feu Windows n'a pas pu notifier l'utilisateur qu'il a bloqué une application d'accepter les connexions entrantes sur le réseau. |
| 5033 | Le pilote du pare-feu Windows a démarré. |
| 5034 | Le pilote du pare-feu Windows a été arrêté. |
| 5035 | Le pilote du pare-feu Windows n'a pas pu démarrer. |
| 5037 | Le pilote du pare-feu Windows a détecté une erreur d'exécution critique, arrêt. |
| 5058 | Opération de fichier de clé. |
| 5059 | Opération de migration clés. |
| 6400 | BranchCache : Réception d'une réponse incorrectement formatée lors de la découverte de disponibilité du contenu. |
| 6401 | BranchCache : Réception des données non valides à partir d'un homologue. Données ignorées. |
| 6403 | BranchCache : Le cache hébergé envoyé une réponse incorrectement formatée pour le client. |
| 6404 | BranchCache : Cache hébergé n'a pas pu être authentifié à l'aide du certificat SSL configuré. |
| 6405 | BranchCache : %2 les instances de l'id d'événement %1 s'est produite. |
| 6406 | %1 est inscrit pour le pare-feu Windows au contrôle de filtrage pour les éléments suivants : %2 |
| 6407 | 1 % |
Sous-catégorie : Changement d'état de sécurité
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4608 | Démarrage de Windows. |
| 4616 | L'heure système a été modifié. |
| 4621 | Administrateur récupéré système à partir de la valeur CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs va maintenant être autorisés à ouvrir une session. Peuvent certaines activités pouvant être auditées n'ont pas été enregistrées. |
Sous-catégorie : Système de sécurité
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4610 | Un package d'authentification a été chargé par l'autorité de sécurité locale. |
| 4611 | Un processus d'ouverture de session a été inscrit avec l'autorité de sécurité locale. |
| 4614 | Un package de notification a été chargé par le Gestionnaire de comptes de sécurité. |
| 4622 | Un package de sécurité a été chargé par l'autorité de sécurité locale. |
| 4697 | Un service a été installé dans le système. |
Sous-catégorie : L'intégrité des systèmes
Réduire ce tableauAgrandir ce tableau
| ID | Message |
|---|
| 4612 | Les ressources internes allouées pour la mise en file d'attente de messages d'audit ont été épuisées, entraînant la perte de certaines des audits. |
| 4615 | Utilisation incorrecte de port LPC. |
| 4618 | Un modèle d'événement de sécurité analysé s'est produite. |
| 4816 | RPC a détecté une violation d'intégrité lors du décryptage d'un message entrant. |
| 5038 | L'intégrité du code a déterminé que le hachage de l'image d'un fichier n'est pas valide. Le fichier peut être endommagé en raison de modifications non autorisées ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle. |
| 5056 | Un chiffrement auto-test a été effectuée. |
| 5057 | Échec d'une opération de primitive cryptographique. |
| 5060 | Échec de l'opération de vérification. |
| 5061 | Opération de chiffrement. |
| 5062 | Un mode noyau cryptographique auto test a été effectué. |
| 6281 | L'intégrité du code déterminé que les hachages de pages d'un fichier image ne sont pas valides. Le fichier pourrait être incorrectement signé sans hachages de pages ou endommagé en raison de modifications non autorisées. Les hachages non valides peuvent indiquer une erreur de périphérique de disque potentielle |
Notes
Pour plus d'informations sur l'utilitaire Wevtutil, reportez-vous au site Web de Microsoft à l'adresse suivante :
Pour plus d'informations sur l'utilitaire Auditpol, reportez-vous au site Web de Microsoft à l'adresse suivante :
Pour plus d'informations sur les paramètres de sécurité avancés d'audit stratégie dans Windows 7 et Windows Server 2008 R2, reportez-vous au site Web de Microsoft à l'adresse suivante :
Pour plus d'informations sur l'audit de sécurité dans Windows Vista et Windows Server 2008, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
947226
(http://support.microsoft.com/kb/947226/
)
Description des événements de sécurité dans Windows Vista et Windows Server 2008
Numéro d'article: 977519 - Dernière mise à jour: mardi 17 novembre 2009 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Windows 7 Entreprise
- Windows 7 Professionnel
- Windows 7 Édition Integrale
| kbmt kbeventlog kbexpertiseinter kbsurveynew kbinfo KB977519 KbMtfr |
Traduction automatiqueIMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante:
977519
(http://support.microsoft.com/kb/977519/en-us/
)
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début
