Description des événements de sécurité dans Windows 7 et Windows Server 2008 R2

Traductions disponibles Traductions disponibles
Numéro d'article: 977519 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article décrit différents événements relatifs à la sécurité et d'audit relatifs à la sécurité dans Windows 7 et Windows Server 2008 R2. Cet article fournit également des informations sur la façon d'interpréter ces événements. Tous ces événements apparaissent dans le journal de sécurité et sont enregistrés avec une source de L'audit de sécurité. Cet article décrit également comment récupérer les données plus descriptives sur les événements individuels.

Plus d'informations

Cette section répertorie tous les Windows 7 et Windows Server 2008 R2 sécurité Auditer les événements liés par catégorie et par sous-catégorie.

Catégorie : Connexion à un compte

Sous-catégorie : Validation des informations d'identification

Réduire ce tableauAgrandir ce tableau
ID Message
4774Un compte a été mappé pour l'ouverture de session.
4775Un compte n'a pas pu être mappé pour l'ouverture de session.
4776L'ordinateur a tenté de valider les informations d'identification pour un compte.
4777Le contrôleur de domaine n'a pas pu valider les informations d'identification pour un compte.

Sous-catégorie : Kerberos Authentication Service

Réduire ce tableauAgrandir ce tableau
ID Message
4768Un ticket d'authentification Kerberos (TGT) a été demandé.
4771Échec de la pré-authentification Kerberos.
4772Une demande de ticket d'authentification Kerberos a échoué.

Sous-catégorie : Opérations de Ticket de Service Kerberos

Réduire ce tableauAgrandir ce tableau
ID Message
4769Un ticket de service Kerberos a été demandé.
4770Un ticket de service Kerberos a été renouvelé.
4773Une demande de ticket de service Kerberos a échoué.

Catégorie : Gestion des comptes

Sous-catégorie : Gestion des groupes d'applications

Réduire ce tableauAgrandir ce tableau
ID Message
4783Un groupe d'application de base a été créé.
4784Un groupe d'application de base a été modifié.
4785Un membre a été ajouté à un groupe d'application de base.
4786Un membre a été supprimé d'un groupe d'application de base.
4787Un non membre a été ajouté à un groupe d'application de base.
4788Un tiers a été supprimé d'un groupe d'application de base.
4789Un groupe d'application de base a été supprimé.
4790Un groupe de requêtes LDAP a été créé.
4791Un groupe d'application de base a été modifié.
4792Un groupe de requêtes LDAP a été supprimé.

Sous-catégorie : Gestion du compte ordinateur

Réduire ce tableauAgrandir ce tableau
ID Message
4741Un compte d'ordinateur a été créé.
4742Un compte d'ordinateur a été modifié.
4743Un compte d'ordinateur a été supprimé.

Sous-catégorie : Gestion de groupe de Distribution

Réduire ce tableauAgrandir ce tableau
ID Message
4744Un groupe local avec sécurité désactivée a été créé.
4745Un groupe local avec sécurité désactivée a été modifié.
4746Un membre a été ajouté à un groupe local avec sécurité désactivée.
4747Un membre a été supprimé d'un groupe local avec sécurité désactivée.
4748Un groupe local avec sécurité désactivée a été supprimé.
4749Un groupe global avec sécurité désactivée a été créé.
4750Un groupe global avec sécurité désactivée a été modifié.
4751Un membre a été ajouté à un groupe global avec sécurité désactivée.
4752Un membre a été supprimé d'un groupe global avec sécurité désactivée.
4753Un groupe global avec sécurité désactivée a été supprimé.
4759Un groupe universel avec sécurité désactivée a été créé.
4760Un groupe universel avec sécurité désactivée a été modifié.
4761Un membre a été ajouté à un groupe universel avec sécurité désactivée.
4762Un membre a été supprimé d'un groupe universel avec sécurité désactivée.

Sous-catégorie : Autres événements gestion des comptes

Réduire ce tableauAgrandir ce tableau
ID Message
4782Le hachage de mot de passe un compte a été accédé.
4793L'API de vérification de la stratégie de mot de passe a été appelée.

Sous-catégorie : Groupe de sécurité Gestion

Réduire ce tableauAgrandir ce tableau
ID Message
4727Un groupe global avec sécurité activée a été créé.
4728Un membre a été ajouté à un groupe global avec sécurité activée.
4729Un membre a été supprimé d'un groupe global avec sécurité activée.
4730Un groupe global avec sécurité activée a été supprimé.
4731Un groupe local avec sécurité activée a été créé.
4732Un membre a été ajouté à un groupe local avec sécurité activée.
4733Un membre a été supprimé d'un groupe local avec sécurité activée.
4734Un groupe local avec sécurité activée a été supprimé.
4735Un groupe local avec sécurité activée a été modifié.
4737Un groupe global avec sécurité activée a été modifié.
4754Un groupe universel avec sécurité activée a été créé.
4755Un groupe universel avec sécurité activée a été modifié.
4756Un membre a été ajouté à un groupe universel avec sécurité activée.
4757Un membre a été supprimé d'un groupe universel avec sécurité activée.
4758Un groupe universel avec sécurité activée a été supprimé.
4764Type de groupe a été modifié.

Sous-catégorie : Gestion des comptes utilisateur

Réduire ce tableauAgrandir ce tableau
ID Message
4720Un compte d'utilisateur a été créé.
4722Un compte d'utilisateur a été activé.
4723Une tentative a été faite pour modifier le mot de passe d'un compte.
4724Une tentative a été faite pour réinitialiser le mot de passe d'un compte.
4725Un compte d'utilisateur a été désactivé.
4726Un compte d'utilisateur a été supprimé.
4738Un compte d'utilisateur a été modifié.
4740Un compte d'utilisateur a été verrouillé.
4765SID History a été ajouté à un compte.
4766Échec de la tentative d'ajout de SID History à un compte.
4767Un compte d'utilisateur a été déverrouillé.
4780L'ACL a été défini pour les comptes qui sont membres des groupes Administrateurs.
4781Le nom d'un compte a été modifié :
4794Une tentative a été faite pour définir le Mode de restauration des Services de répertoire.
5376Informations d'identification du Gestionnaire d'informations d'identification ont été sauvegardées.
5377Informations d'identification du Gestionnaire d'informations d'identification ont été restaurées à partir d'une sauvegarde.

Catégorie : Suivi détaillé

Sous-catégorie : DPAPI activité

Réduire ce tableauAgrandir ce tableau
ID Message
4692.Sauvegarde de la clé principale de protection des données a été tentée.
4693Tentative de restauration de la clé principale de protection des données.
4694Protection des données protégées auditables a été tentée.
4695Unprotection des données protégées auditables a été tentée.

Sous-catégorie : Création du processus

Réduire ce tableauAgrandir ce tableau
ID Message
4688Un nouveau processus a été créé.
4696Un jeton principal a été attribué à traiter.

Sous-catégorie : Fin du processus

Réduire ce tableauAgrandir ce tableau
ID Message
4689Un processus s'est arrêté.

Sous-catégorie : Les événements RPC

Réduire ce tableauAgrandir ce tableau
ID Message
5712 Un appel de procédure distante (RPC) a été tentée.

Catégorie : Accès DS

Sous-catégorie : Réplication du Service d'annuaire détaillé

Réduire ce tableauAgrandir ce tableau
ID Message
4928Un contexte d'attribution de noms de Active Directory réplica source a été établi.
4929Un contexte d'attribution de noms de Active Directory réplica source a été supprimé.
4930Un contexte d'attribution de noms de Active Directory réplica source a été modifié.
4931Un contexte d'appellation de la destination Active Directory réplica a été modifié.
4934Les attributs d'un objet Active Directory ont été répliqués.
4935Échec de la réplication commence.
4936Échec de la réplication se termine.
4937Un objet en attente a été supprimé à partir d'un réplica.

Sous-catégorie : L'accès au Service d'annuaire

Réduire ce tableauAgrandir ce tableau
ID Message
4662 Une opération a été effectuée sur un objet.

Sous-catégorie : Modifications de Service d'annuaire

Réduire ce tableauAgrandir ce tableau
ID Message
5136Un objet de service d'annuaire a été modifié.
5137Un objet de service d'annuaire a été créé.
5138Un objet de service d'annuaire a été récupéré.
5139Un objet de service d'annuaire a été déplacé.
5141 Un objet de service d'annuaire a été supprimé.

Sous-catégorie : Réplication du Service d'annuaire

Réduire ce tableauAgrandir ce tableau
ID Message
4932Synchronisation d'un réplica d'un contexte de nommage Active Directory a commencé.
4933Synchronisation d'un réplica d'un contexte de nommage Active Directory est terminée.

Catégorie : Ouverture de session/fermeture de session

Sous-catégorie : Mode étendu IPsec

Réduire ce tableauAgrandir ce tableau
ID Message
4978Lors de la négociation en mode étendu, IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
4979En mode principal IPsec et les associations de sécurité en mode étendu ont été établies.
4980En mode principal IPsec et les associations de sécurité en mode étendu ont été établies.
4981En mode principal IPsec et les associations de sécurité en mode étendu ont été établies.
4982En mode principal IPsec et les associations de sécurité en mode étendu ont été établies.
4983IPsec étendu a échoué la négociation de mode. L'association de sécurité de mode principal correspondant a été supprimée.
4984IPsec étendu a échoué la négociation de mode. L'association de sécurité de mode principal correspondant a été supprimée.

Sous-catégorie : Le Mode principal IPsec

Réduire ce tableauAgrandir ce tableau
ID Message
4646Mode de prévention DoS IKE démarré.
4650Une association de sécurité de mode principal IPsec a été établie. En mode étendu n'a pas été activé. L'authentification par certificat n'a pas été utilisée.
4651Une association de sécurité de mode principal IPsec a été établie. En mode étendu n'a pas été activé. Un certificat a été utilisé pour l'authentification.
4652Une négociation de mode principal IPsec a échoué.
4653Une négociation de mode principal IPsec a échoué.
4655Une association de sécurité de mode principal IPsec s'est terminée.
4976Au cours de la négociation de mode principal IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
5049Une association de sécurité IPsec a été supprimée.
5453Agent de stratégie IPsec applique la stratégie IPsec de stockage Active Directory sur l'ordinateur.

Sous-catégorie : Le Mode rapide IPsec

Réduire ce tableauAgrandir ce tableau
ID Message
4654Une négociation de mode rapide IPsec a échoué.
4977Lors de la négociation de mode rapide IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
5451Une association de sécurité de mode rapide IPsec a été établie.
5452Une association de sécurité de mode rapide IPsec s'est terminée.

Sous-catégorie : fermeture de session

Réduire ce tableauAgrandir ce tableau
ID Message
4634 Un compte a été déconnecté.
4647 Déconnexion initiée par l'utilisateur.

Sous-catégorie : ouverture de session

Réduire ce tableauAgrandir ce tableau
ID Message
4624L?ouverture de session d?un compte s?est correctement déroulée.
4625Un compte n'a pas pu ouvrir une session.
4648Une ouverture de session a été tentée à l'aide des informations d'identification explicites.
4675SID ont été filtrés.

Sous-catégorie : Serveur de stratégie réseau

Réduire ce tableauAgrandir ce tableau
ID Message
6272Serveur de stratégie réseau accordé l'accès à un utilisateur.
6273 valeurServeur de stratégie réseau, accès refusé à un utilisateur.
6274Serveur de stratégie réseau rejeté la demande d'un utilisateur.
6275Serveur de stratégie réseau supprimé la demande de gestion de comptes pour un utilisateur.
6276Serveur de stratégie réseau mis en quarantaine d'un utilisateur.
6277Serveur de stratégie réseau l'accès accordé à un utilisateur mais placer suspendue parce que l'hôte ne respectait pas la stratégie d'intégrité.
6278Serveur de stratégie réseau accordé un accès total à un utilisateur car l'hôte remplie de la stratégie d'intégrité.
6279Serveur de stratégie réseau verrouillé le compte d'utilisateur en raison de tentatives d'authentification ayant échoué.
6280Serveur de stratégie réseau déverrouillé le compte d'utilisateur.

Sous-catégorie : Autres événements d'ouverture de session/fermeture de session

Réduire ce tableauAgrandir ce tableau
ID Message
4649Une attaque par reconstitution a été détecté.
4778Une session a été reconnectée à un poste de fenêtre.
4779Une session a été déconnectée à partir d'une station de travail.
4800La station de travail a été verrouillée.
4801La station de travail a été déverrouillée.
4802L'économiseur d'écran a été appelé.
4803L'écran de veille a été fermée.
5378La délégation d'informations d'identification demandées a été interdite par la stratégie.
5632Une demande a été faite pour s'authentifier sur un réseau sans fil.
5633Une demande a été faite pour s'authentifier sur un réseau câblé.

Sous-catégorie : Ouverture de session spéciale

Réduire ce tableauAgrandir ce tableau
ID Message
4964 Les groupes spéciaux ont été affectés à une ouverture de session.

Catégorie : Accès aux objets

Sous-catégorie : Générés par l'Application

Réduire ce tableauAgrandir ce tableau
ID Message
4665Une tentative a été effectuée pour créer un contexte d'application client.
4666Une application a tenté une opération :
4667Un contexte d'application client a été supprimé.
4668Une application a été initialisée.

Sous-catégorie : Services de Certification

Réduire ce tableauAgrandir ce tableau
ID Message
4868Le Gestionnaire de certificats a refusé une demande de certificat en attente.
4869Les Services de certificats a reçu une demande de certificat soumise à nouveau.
4870Les Services de certificat révoqué un certificat.
4871Les Services de certificats a reçu une demande pour publier la liste de révocation de certificats (CRL).
4872Services de certificat publié la liste de révocation de certificats (CRL).
4873Une extension de demande de certificat est modifié.
4874Un ou plusieurs attributs de demande de certificat est modifié.
4875Les Services de certificats a reçu une demande d'arrêt.
4876Sauvegarde des Services de certificats a démarré.
4877Terminé la sauvegarde des Services de certificats.
4878Restauration des Services de certificats a démarré.
4879Terminé la restauration des Services de certificats.
4880Les Services de certificats a démarré.
4881Les Services de certificats s'est arrêté.
4882Les autorisations de sécurité pour les Services de certificat est modifié.
4883Les Services de certificats de récupérer une clé archivée.
4884Les Services de certificat importé un certificat dans sa base de données.
4885Le filtre d'audit des Services de certificat modifié.
4886Services de certificats ont reçu une demande de certificat.
4887Les Services de certificats approuvé une demande de certificat et émis un certificat.
4888Les Services de certificats a refusé une demande de certificat.
4889Les Services de certificats défini le statut d'une demande de certificat en attente.
4890Les paramètres du Gestionnaire de certificats pour les Services de certificat est modifié.
4891Une entrée de configuration modifiée dans les Services de certificats.
4892Modification d'une propriété des Services de certificats.
4893Les Services de certificat archivé une clé.
4894Les Services de certificat importé et archivé une clé.
4895Services de certificat publié le certificat d'autorité de certification pour les Services de domaine Active Directory.
4896Une ou plusieurs lignes ont été supprimés de la base de données de certificats.
4897Séparation de rôle activée :
4898Les Services de certificats de charger un modèle.
4899Un modèle de Services de certificats a été mis à jour.
4900Mise à jour de sécurité de modèle de Services de certificat.
5120Service du répondeur OCSP est démarré.
5121Service du répondeur OCSP est arrêté.
5122Une entrée de Configuration modifiée dans le Service du répondeur OCSP.
5123Une entrée de configuration modifiée dans le Service du répondeur OCSP.
5124Un paramètre de sécurité a été mis à jour sur le Service du répondeur OCSP.
5125Une demande a été soumise au Service du répondeur OCSP.
5126Le certificat de signature a été automatiquement mis à jour par le Service du répondeur OCSP.
5127Le fournisseur de révocation OCSP mis correctement à jour les informations de révocation.

Sous-catégorie : Partage de fichiers détaillée

Réduire ce tableauAgrandir ce tableau
ID Message
5145 Un objet de partage réseau a été vérifié pour voir si le client peut être accordé accès désiré.

Sous-catégorie : Partage de fichiers

Réduire ce tableauAgrandir ce tableau
ID Message
5140Un objet de partage réseau est accessible.
5142Un objet de partage réseau a été ajouté.
5143Un objet de partage réseau a été modifié.
5144Un objet de partage réseau a été supprimé.
5168Échec de la vérification SPN pour SMB/SMB2.

Sous-catégorie : Fichier système

Réduire ce tableauAgrandir ce tableau
ID Message
4664Une tentative a été effectuée pour créer un lien réel.
4985L'état d'une transaction a été modifié.
5051Un fichier a été virtualisé.

Sous-catégorie : Filtrage de connexion de la plateforme

Réduire ce tableauAgrandir ce tableau
ID Message
5031Le Service pare-feu Windows bloqué une application d'accepter des connexions entrantes sur le réseau.
5148La plateforme de filtrage Windows a détecté une attaque par déni de service et entré un mode de défense ; paquets associés à ce type d'attaque seront ignorées.
5149L'attaque de déni de service a cessé et repris du traitement normal.
5150La plateforme de filtrage Windows a bloqué un paquet.
5151Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet.
5154La plateforme de filtrage Windows a autorisé une application ou un service à l'écoute sur un port pour les connexions entrantes.
5155La plateforme de filtrage Windows a bloqué une application ou un service d'écoute sur un port pour les connexions entrantes.
5156La plateforme de filtrage Windows a autorisé une connexion.
5157La plateforme de filtrage Windows a bloqué une connexion.
5158La plateforme de filtrage Windows a autorisé une liaison à un port local.
5159La plateforme de filtrage Windows a bloqué une liaison à un port local.

Sous-catégorie : Rejet de paquet de plateforme de filtrage

Réduire ce tableauAgrandir ce tableau
ID Message
5152 La plateforme de filtrage Windows a bloqué un paquet.
5153 Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet.

Sous-catégorie : Poignée de Manipulation

Réduire ce tableauAgrandir ce tableau
ID Message
4656Un handle d'un objet a été demandé.
4658Le handle d'un objet a été fermé.
4690Une tentative a été faite pour dupliquer un handle à un objet.

Sous-catégorie : D'autres événements d'accès aux objets

Réduire ce tableauAgrandir ce tableau
ID Message
4671Une application a tenté d'accéder à un ordinal bloquée via le service TBS.
4691Un accès indirect à un objet a été demandé.
4698Création d'une tâche planifiée.
4699Une tâche planifiée a été supprimée.
4700Une tâche planifiée a été activée.
4701Une tâche planifiée a été désactivée.
4702Une tâche planifiée a été mis à jour.
4702Une tâche planifiée a été mis à jour.
5888Un objet dans le catalogue COM + a été modifié.
5889Un objet a été supprimé à partir du catalogue COM +.
5890Un objet a été ajouté au catalogue COM +.

Sous-catégorie : Registre

Réduire ce tableauAgrandir ce tableau
ID Message
4657 Une valeur de Registre a été modifiée.
5039 Une clé de Registre a été virtualisée.

Sous-catégorie : spécial sous-catégorie multi-usage

Remarque : L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activé. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources du système de fichiers. La l'accès aux objets : objet de noyau et de l'accès aux objets: SAM sous-catégories sont des exemples de sous-catégories qui utilisent exclusivement des ces événements.
Réduire ce tableauAgrandir ce tableau
ID Message
4659Un handle d'un objet a été demandé avec intention de le supprimer.
4660Un objet a été supprimé.
4661Un handle d'un objet a été demandé.
4663Une tentative a été faite pour accéder à un objet.

Catégorie : Changement de politique

Sous-catégorie : Modification de la stratégie d'Audit

Réduire ce tableauAgrandir ce tableau
ID Message
4715La stratégie d'audit (SACL) d'un objet a été modifiée.
4719Stratégie d'audit système a été modifiée.
4817Paramètres d'audit sur un objet ont été modifiées.
4902La table de stratégie d'audit par utilisateur a été créée.
4904Une tentative a été effectuée pour inscrire une source d'événements de sécurité.
4905Une tentative a été effectuée pour annuler l'inscription d'une source d'événements de sécurité.
4906La valeur de CrashOnAuditFail a changé.
4907Paramètres d'audit sur un objet ont été modifiées.
4908Table groupes d'ouverture de session spéciale modifiée.
4912Stratégie par utilisateur d'Audit a été modifiée.

Sous-catégorie : Modification de la stratégie d'authentification

Réduire ce tableauAgrandir ce tableau
ID Message
4706Une nouvelle relation d'approbation a été créée pour un domaine.
4707Un niveau de confiance d'un domaine a été supprimé.
4713Stratégie Kerberos a été modifié.
4716Informations de domaine approuvé a été modifiées.
4717Accès au système de sécurité a été accordé à un compte.
4718Accès au système de sécurité a été supprimé d'un compte.
4739Stratégie de domaine a été modifié.
4864Une collision d'espace de noms a été détectée.
4865Une entrée d'informations de forêt approuvée a été ajoutée.
4866Une entrée d'informations de forêt approuvée a été supprimée.
4867Une entrée d'informations de forêt approuvée a été modifiée.

Sous-catégorie : Modification de la stratégie d'autorisation

Réduire ce tableauAgrandir ce tableau
ID Message
4704Un droit d'utilisateur a été affecté.
4705Un droit d'utilisateur a été supprimé.
4714Stratégie de groupe de l'Agent de récupération de données pour le système EFS (ENCRYPTING File System) a été modifié. Les modifications ont été appliquées.

Sous-catégorie : Modification de stratégie de plateforme de filtrage

Réduire ce tableauAgrandir ce tableau
ID Message
4709Le service Agent de stratégie IPsec a démarré.
4710Le service Agent de stratégie IPsec a été désactivé.
4711Peut contenir l'une des opérations suivantes :
  • Le moteur PAStore a appliqué une copie localement mise en cache de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore a appliqué la stratégie IPsec de stockage du Registre local sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur.
  • Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire.
  • Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage directory.
  • Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local.
  • Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage local.
  • Le moteur PAStore a recherches de modifications de la stratégie IPsec active et a détecté aucune modification.
4712Agent de stratégie IPsec a rencontré un échec potentiellement grave.
5040Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été ajouté.
5041Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été modifié.
5042Une modification a été apportée aux paramètres IPsec. Un jeu d'authentification a été supprimé.
5043Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée.
5044Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée.
5045Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée.
5046Une modification a été apportée aux paramètres IPsec. Un jeu de clés de cryptage a été ajouté.
5047Une modification a été apportée aux paramètres IPsec. Un jeu de clés de cryptage a été modifié.
5048Une modification a été apportée aux paramètres IPsec. Un jeu de clés de cryptage a été supprimé.
5440 àLa légende suivante n'était pas présente lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5441Le filtre suivant n'était pas présent lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5442Le fournisseur suivant était présent au démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5443Le contexte du fournisseur suivant était présent au démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5444La couche secondaire suivante n'était pas présente lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5446Une légende de plateforme de filtrage Windows a été modifiée.
5448Un fournisseur de plateforme de filtrage Windows a été modifié.
5449Un contexte de fournisseur de plateforme de filtrage Windows a été modifié.
5450Une sous-couche de plateforme de filtrage Windows a été modifiée.
5456Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5457Agent de stratégie IPsec n'a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5458L'Agent de stratégie IPsec appliquée localement mise en cache copie de la stratégie IPsec sur l'ordinateur de stockage de Active Directory.
5459Agent de stratégie IPsec n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5460Agent de stratégie IPsec applique la stratégie IPsec de stockage du Registre local sur l'ordinateur.
5461Agent de stratégie IPsec n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur.
5462Agent de stratégie IPsec n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5463Agent de stratégie IPsec recherches de modifications de la stratégie IPsec active et a détecté aucune modification.
5464Agent de stratégie IPsec recherches de modifications de la stratégie IPsec active, a détecté des modifications et les appliquer.
5465Agent de stratégie IPsec a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et traiter le contrôle avec succès.
5466Agent de stratégie IPsec est interrogé pour les modifications apportées à la stratégie IPsec Active Directory, a déterminé que Active Directory est inaccessible et utilisera la copie mise en cache de la stratégie IPsec Active Directory. Toutes les modifications apportées à la stratégie IPsec Active Directory depuis le dernier sondage n'a pas pu être appliqué.
5467Agent de stratégie IPsec est interrogé pour les modifications apportées à la stratégie IPsec Active Directory, a déterminé que Active Directory peut être atteint et ne trouvé aucune modification apportée à la stratégie. La copie mise en cache de la stratégie IPsec Active Directory n'est plus utilisée.
5468Recherches de modifications de la stratégie IPsec Active Directory, l'Agent de stratégie IPsec déterminé que Active Directory peut être atteint, trouver les modifications apportées à la stratégie et applique les modifications. La copie mise en cache de la stratégie IPsec Active Directory n'est plus utilisée.
5471Agent de stratégie IPsec chargé la stratégie IPsec sur l'ordinateur de stockage local.
5472Agent de stratégie IPsec n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local.
5473Agent de stratégie IPsec chargé la stratégie IPsec sur l'ordinateur de stockage de répertoire.
5474Agent de stratégie IPsec n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire.
5477Agent de stratégie IPsec n'a pas pu ajouter le filtre de mode rapide.

Sous-catégorie : Modification de stratégie de niveau règle MPSSVC

Réduire ce tableauAgrandir ce tableau
ID Message
4944La stratégie suivante était active lorsque le pare-feu Windows a démarré.
4945Une règle a été répertoriée lorsque le pare-feu Windows a démarré.
4946Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée.
4947Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée.
4948Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée.
4949Paramètres du pare-feu Windows ont été restaurées aux valeurs par défaut.
4950Un paramètre du pare-feu Windows a été modifié.
4951Pare-feu Windows ignoré une règle, car son numéro de version principale n'est pas reconnu.
4952Pare-feu Windows ignoré des parties d'une règle car son numéro de version secondaire n'est pas reconnu. Autres parties de la règle seront appliquées.
4953Pare-feu Windows ignoré une règle, car il ne peut pas être analysée.
4954Paramètres de stratégie de groupe pour le pare-feu Windows ont été modifiés et les nouveaux paramètres ont été appliqués.
4956Le pare-feu Windows de modifier le profil actif.
4957Le pare-feu Windows n'a pas appliqué la règle suivante :
4958Le pare-feu Windows n'a pas appliqué la règle suivante, car la règle fait référence à des éléments non configurées sur cet ordinateur :
5050Une tentative pour désactiver par programme le pare-feu Windows à l'aide d'un appel à l'interface INetFwProfile.FirewallEnabled(FALSE) a été rejetée car cette API n'est pas pris en charge sur cette version de Windows. Cela est probablement dû à un programme qui n'est pas compatible avec cette version de Windows. Veuillez contacter le fabricant du programme pour vous assurer que vous disposez d'une version du programme compatible.

Sous-catégorie : Autres événements de modification de stratégie

Réduire ce tableauAgrandir ce tableau
ID Message
4909Les paramètres de stratégie locale pour le service TBS ont été modifiés.
4910Les paramètres de stratégie de groupe pour le service TBS ont été modifiés.
5063Une opération de fournisseur de services cryptographiques a été tentée.
5064Une opération de contexte cryptographique a été tentée.
5065Une modification de contexte cryptographique a été tentée.
5066Une opération de fonction de chiffrement a été tentée.
5067Une modification de la fonction de chiffrement a été tentée.
5068Une opération de fournisseur de fonction de chiffrement a été tentée.
5069Une opération de propriété de fonction de chiffrement a été tentée.
5070Une modification de propriété de fonction de chiffrement a été tentée.
5447Un filtre de plateforme de filtrage Windows a été modifié.
6144La stratégie de sécurité dans les objets de stratégie de groupe a été appliquée avec succès.
6145Une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe.

Sous-catégorie : spécial sous-catégorie multi-usage

Remarque : L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activé. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources du système de fichiers.
Réduire ce tableauAgrandir ce tableau
ID Message
4670 Les autorisations sur un objet ont été modifiées.

Catégorie : L'utilisation des privilèges

Sous-catégorie : L'utilisation des privilèges sensibles / utilisation de privilèges Non sensibles

Réduire ce tableauAgrandir ce tableau
ID Message
4672Privilèges spéciaux assignés à la nouvelle session.
4673Un service privilégié a été appelé.
4674Une opération a été tentée sur un objet avec privilèges.

Catégorie : système

Sous-catégorie : Pilote IPsec

Réduire ce tableauAgrandir ce tableau
ID Message
4960IPsec a abandonné un paquet entrant qui a échoué une vérification d'intégrité. Si le problème persiste, cela pourrait indiquer qu'un problème de réseau ou que les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés de l'ordinateur distant sont les mêmes que celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec.
4961IPsec a abandonné un paquet entrant qui a échoué une vérification de la relecture. Si ce problème persiste, il peut indiquer une attaque par reconstitution contre cet ordinateur.
4962IPsec a abandonné un paquet entrant qui a échoué une vérification de la relecture. Le paquet entrant avait trop faible un numéro de séquence pour vous assurer qu'il n'était pas une rediffusion.
4963IPsec a abandonné un paquet de texte en clair entrant qui devrait être sécurisé. Si l'ordinateur distant est configuré avec une stratégie de demande de IPsec sortant, cela peut être bénins et attendus. Cela peut également être provoquée par l'ordinateur distant, la modification de sa stratégie IPsec sans informer cet ordinateur. Cela peut également être une tentative d'attaque d'usurpation d'identité.
4965IPsec a reçu un paquet d'un ordinateur distant avec un Index SPI (Security Parameter Index) incorrect. Cela est généralement causé par du matériel défectueux qui endommage les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés de l'ordinateur distant sont les mêmes que celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. Dans ce cas, si la connexion n'est pas entravée, puis ces événements peuvent être ignorés.
5478Le service Agent de stratégie IPsec a démarré.
5479Les Services IPsec a été arrêté avec succès. L'arrêt des Services IPsec peut présenter davantage de risques d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels.
5480Agent de stratégie IPsec n'a pas pu obtenir la liste complète des interfaces réseau de l'ordinateur. Ceci pose un risque de sécurité potentiel car certaines interfaces réseau peut ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5483Le service Agent de stratégie IPsec n'a pas pu initialiser le serveur RPC. Le service n'a pas pu être démarré.
5484Le service Agent de stratégie IPsec a rencontré une défaillance critique et a été arrêté. L'arrêt de ce service peut présenter davantage de risques d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels.
5485Agent de stratégie IPsec n'a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Ceci pose un risque de sécurité potentiel car certaines interfaces réseau peut ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.

Sous-catégorie : Autres événements système

Réduire ce tableauAgrandir ce tableau
ID Message
5024Le service pare-feu Windows a démarré avec succès.
5025Le service pare-feu Windows a été arrêté.
5027Le service pare-feu Windows n'a pas pu récupérer la stratégie de sécurité à partir du stockage local. Le pare-feu Windows va continuer à appliquer la stratégie en cours.
5028Le pare-feu Windows n'a pas pu analyser la nouvelle stratégie de sécurité. Le pare-feu Windows va continuer à appliquer la stratégie en cours.
5029Le service pare-feu Windows n'a pas pu initialiser le pilote. Le pare-feu Windows va continuer à appliquer la stratégie en cours.
5030Impossible de démarrer le service pare-feu Windows.
5032Le pare-feu Windows n'a pas pu notifier l'utilisateur qu'il a empêché une application d'accepter les connexions entrantes sur le réseau.
5033Le pilote du pare-feu Windows a démarré avec succès.
5034Le pilote du pare-feu Windows a été arrêté.
5035Le pilote du pare-feu Windows n'a pas pu démarrer.
5037Le pilote du pare-feu Windows a détecté une erreur d'exécution critique, arrêt.
5058Opération de fichier de clé.
5059Opération de migration clés.
6400BranchCache: A reçu une réponse incorrectement formatée pendant la découverte de disponibilité du contenu.
6401BranchCache : Données non valides reçues à partir d'un homologue. Les données supprimées.
6403BranchCache : Le cache hébergé a envoyé une réponse incorrectement formatée au client.
6404BranchCache : Cache hébergé pas pu être authentifié à l'aide du certificat SSL configuré.
6405BranchCache : %2 ou les instances de l'id d'événement %1 s'est produite.
6406%1 est inscrit au pare-feu Windows pour contrôle de filtrage pour les éléments suivants : %2
64071 %

Sous-catégorie : Modification de l'état de sécurité

Réduire ce tableauAgrandir ce tableau
ID Message
4608Démarrage de Windows.
4616L'heure système a été modifié.
4621Administrateur retrouvé le système à partir de la valeur CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs pourront maintenant se connecter. Peut-être que certaines activités pouvant être auditées n'aient pas été enregistrées.

Sous-catégorie : Extension de système de sécurité

Réduire ce tableauAgrandir ce tableau
ID Message
4610Un package d'authentification a été chargé par l'autorité de sécurité locale.
4611Un processus d'ouverture de session a été enregistré avec l'autorité de sécurité locale.
4614Un package de notification a été chargé par le Gestionnaire de comptes de sécurité.
4622Un package de sécurité a été chargé par l'autorité de sécurité locale.
4697Un service a été installé dans le système.

Sous-catégorie : L'intégrité du système

Réduire ce tableauAgrandir ce tableau
ID Message
4612Les ressources internes allouées pour la file d'attente des messages d'audit ont été épuisées, entraînant la perte de certains audits.
4615Utilisation non valide de port LPC.
4618Un modèle d'événement de sécurité analysé s'est produite.
4816RPC a détecté une violation d'intégrité lors du décryptage d'un message entrant.
5038L'intégrité du code déterminé que le hachage de l'image d'un fichier n'est pas valide. Le fichier peut être endommagé en raison d'une modification non autorisée ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle.
5056Un chiffrement auto-test a été effectué.
5057Échec d'une opération de primitive cryptographique.
5060Échec de l'opération de vérification.
5061Opération de chiffrement.
5062Un mode noyau cryptographique de test a été effectué.
6281L'intégrité du code déterminé que les hachages de pages d'un fichier image ne sont pas valides. Le fichier pourrait être incorrectement signé sans les hachages de pages ou endommagés en raison d'une modification non autorisée. Les hachages non valides peuvent indiquer une erreur de périphérique de disque potentielle

Remarques

  • Pour renvoyer une plus détaillée la liste de toutes les écritures événements audit de sécurité, exécutez la commande suivante à une invite de commandes avec élévation de privilèges en tant qu'administrateur.
    wevtutil gp Microsoft-Windows-Security-audit /ge /gm:true
    L'exemple suivant montre une partie de la sortie :
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • Pour retourner une liste de tous les audits de sécurité catégories et sous-catégories, exécutez la commande suivante à une invite de commandes avec élévation de privilèges en tant qu'administrateur :
    AuditPol /list /subcategory: *

Références

Pour plus d'informations sur l'utilitaire Wevtutil, visitez le site Web de Microsoft à l'adresse suivante :
http://technet2.Microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Pour plus d'informations sur l'utilitaire Auditpol, visitez le site Web de Microsoft à l'adresse suivante :
http://technet2.Microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
Pour plus d'informations sur les paramètres de sécurité avancés d'Audit stratégie dans Windows 7 et Windows Server 2008 R2, visitez le site Web de Microsoft à l'adresse suivante :
http://technet.Microsoft.com/en-us/library/dd772712 (ws.10).aspx
Pour plus d'informations sur l'audit de sécurité dans Windows Vista et Windows Server 2008, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
947226 Description des événements de sécurité dans Windows Vista et Windows Server 2008

Propriétés

Numéro d'article: 977519 - Dernière mise à jour: mercredi 9 octobre 2013 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Entreprise
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Service Pack 1
Mots-clés : 
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 977519
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com