Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2

Traduções deste artigo Traduções deste artigo
ID do artigo: 977519 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve vários eventos relacionados a segurança e auditoria relacionados no Windows 7 e no Windows Server 2008 R2. Este artigo também fornece informações sobre como interpretar esses eventos. Todos esses eventos aparecem no log de segurança e serão registrados com uma origem de Auditoria de segurança. Este artigo também descreve como recuperar dados mais descritivos sobre eventos individuais.

Mais Informações

Esta seção lista todos os Windows 7 e Windows Server 2008 R2 relacionadas a auditoria eventos de segurança por categoria e subcategoria.

Categoria: Logon de conta

Subcategoria: Validação de credenciais

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4774Uma conta foi mapeada para logon.
4775Uma conta não pôde ser mapeada para o logon.
4776O computador tentado validar as credenciais de uma conta.
4777O controlador de domínio não pôde validar as credenciais de uma conta.

Subcategoria: Serviço de autenticação do Kerberos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4768Foi solicitado um tíquete de autenticação Kerberos (TGT).
4771Falha na pré-autenticação Kerberos.
4772Uma solicitação de permissão de autenticação Kerberos falha.

Subcategoria: Operações de tíquete de serviço Kerberos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4769Um tíquete de serviço Kerberos foi solicitado.
4770Um tíquete de serviço Kerberos foi renovado.
4773Uma solicitação de tíquete de serviço Kerberos falha.

Categoria: Gerenciamento de contas

Subcategoria: Gerenciamento de grupo de aplicativos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4783Foi criado um grupo de aplicativos básico.
4784Um grupo de aplicativos básico foi alterado.
4785Um membro foi adicionado a um grupo de aplicativos básico.
4786Um membro foi removido de um grupo de aplicativos básico.
4787Não-membro foi adicionado a um grupo de aplicativos básico.
4788Não-membro foi removido de um grupo de aplicativos básico.
4789Um grupo de aplicativos básico foi excluído.
4790Foi criado um grupo de consulta LDAP.
4791Um grupo de aplicativos básico foi alterado.
4792Um grupo de consulta LDAP foi excluído.

Subcategoria: Gerenciamento de contas de computador

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4741Foi criada uma conta de computador.
4742Uma conta de computador foi alterada.
4743Uma conta de computador foi excluída.

Subcategoria: Gerenciamento de grupo de distribuição

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4744Um grupo local com segurança desabilitada foi criado.
4745Um grupo local com segurança desabilitada foi alterado.
4746Um membro foi adicionado a um grupo local com segurança desabilitada.
4747Um membro foi removido de um grupo local com segurança desabilitada.
4748Um grupo local com segurança desabilitada foi excluído.
4749Um grupo global com segurança desabilitada foi criado.
4750Um grupo global com segurança desabilitada foi alterado.
4751Um membro foi adicionado a um grupo global com segurança desabilitada.
4752Um membro foi removido de um grupo global com segurança desativada.
4753Um grupo global com segurança desabilitada foi excluído.
4759Um grupo universal com segurança desabilitada foi criado.
4760Um grupo universal com segurança desabilitada foi alterado.
4761Um membro foi adicionado a um grupo universal com segurança desativada.
4762Um membro foi removido de um grupo universal com segurança desativada.

Subcategoria: Outros eventos de gerenciamento de conta

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4782O hash de senha de uma conta foi acessado.
4793A API de verificação de diretiva de senha foi chamada.

Subcategoria: Gerenciamento de grupo de segurança

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4727Um grupo global com segurança ativada foi criado.
4728Um membro foi adicionado a um grupo global com segurança ativada.
4729Um membro foi removido de um grupo global com segurança ativada.
4730Um grupo global com segurança habilitada foi excluído.
4731Um grupo local com segurança habilitada foi criado.
4732Um membro foi adicionado a um grupo local com segurança ativada.
4733Um membro foi removido de um grupo local com segurança ativada.
4734Um grupo local com segurança habilitada foi excluído.
4735Um grupo local com segurança habilitada foi alterado.
4737Um grupo global com segurança ativada foi alterado.
4754Um grupo universal com segurança habilitada foi criado.
4755Um grupo universal com segurança habilitada foi alterado.
4756Um membro foi adicionado a um grupo universal com segurança habilitada.
4757Um membro foi removido de um grupo universal com segurança habilitada.
4758Um grupo universal com segurança habilitada foi excluído.
4764Tipo de grupo foi alterado.

Subcategoria: Gerenciamento de contas de usuário

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4720Uma conta de usuário foi criada.
4722Uma conta de usuário foi habilitada.
4723Foi feita uma tentativa para alterar a senha da conta.
4724Foi feita uma tentativa para redefinir a senha da conta.
4725Uma conta de usuário foi desativada.
4726Uma conta de usuário foi excluída.
4738Uma conta de usuário foi alterada.
4740Uma conta de usuário foi bloqueada.
4765History SID foi adicionado a uma conta.
4766Falha ao tentar adicionar History SID para uma conta.
4767Uma conta de usuário foi desbloqueada.
4780A ACL foi definida nas contas que são membros dos grupos de administradores.
4781O nome de uma conta foi alterado:
4794Foi feita uma tentativa para definir o modo de restauração de serviços de diretório.
5376Credenciais do Gerenciador de credenciais foram feitas backup.
5377Credenciais do Gerenciador de credenciais foram restauradas de um backup.

Categoria: Controle detalhado

Subcategoria: Atividade DPAPI

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4692Tentativa de backup da chave de mestra de proteção de dados.
4693Tentativa de recuperação de chave do mestre de proteção dos dados.
4694Proteção dos dados protegidos auditáveis foi tentada.
4695Unprotection dos dados protegidos auditáveis foi tentada.

Subcategoria: Criação de processo

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4688Um novo processo foi criado.
4696Foi atribuído um token primário para processar.

Subcategoria: Encerramento do processo

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4689Um processo foi encerrado.

Subcategoria: Eventos RPC

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5712 Foi tentada uma Remote Procedure Call (RPC).

Categoria: Acesso DS

Subcategoria: Replicação do serviço de diretório detalhadas

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4928Um contexto de nomeação de origem do Active Directory réplica foi estabelecido.
4929Um contexto de nomeação de origem do Active Directory réplica foi removido.
4930Um contexto de nomeação de origem do Active Directory réplica foi modificado.
4931Um contexto de nomeação de destino do Active Directory réplica foi modificado.
4934Os atributos de um objeto do Active Directory foram replicados.
4935Falha de duplicação começa.
4936Falha de duplicação termina.
4937Um objeto remanescentes foi removido de uma réplica.

Subcategoria: Acesso ao serviço de diretório

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4662 Foi executada uma operação em um objeto.

Subcategoria: Alterações do serviço de diretório

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5136Um objeto de serviço de diretório foi modificado.
5137Um objeto de serviço de diretório foi criado.
5138Um objeto de serviço de diretório foi desfeita a exclusão.
5139Um objeto de serviço de diretório foi movido.
5141 Um objeto de serviço de diretório foi excluído.

Subcategoria: Replicação do serviço de diretório

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4932Sincronização de uma réplica de um contexto de nomeação do Active Directory foi iniciada.
4933Sincronização de uma réplica de um contexto de nomeação do Active Directory foi finalizada.

Categoria: Logon/Logoff

Subcategoria: IPsec estendido de modo

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4978Durante a negociação de modo estendido, o IPsec recebeu um pacote de negociação inválido. Se o problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação.
4979Associações de segurança de modo estendido e de modo principal de IPsec foram estabelecidas.
4980Associações de segurança de modo estendido e de modo principal de IPsec foram estabelecidas.
4981Associações de segurança de modo estendido e de modo principal de IPsec foram estabelecidas.
4982Associações de segurança de modo estendido e de modo principal de IPsec foram estabelecidas.
4983IPsec estendido Falha na negociação de modo. A associação de segurança de modo principal correspondente foi excluída.
4984IPsec estendido Falha na negociação de modo. A associação de segurança de modo principal correspondente foi excluída.

Subcategoria: O modo principal de IPsec

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4646Modo de prevenção IKE DoS iniciado.
4650Uma associação de segurança de modo principal de IPsec foi estabelecida. Modo estendido não foi ativado. Autenticação de certificado não foi usada.
4651Uma associação de segurança de modo principal de IPsec foi estabelecida. Modo estendido não foi ativado. Um certificado foi usado para autenticação.
4652Uma falha na negociação de modo principal de IPsec.
4653Uma falha na negociação de modo principal de IPsec.
4655Uma associação de segurança de modo principal de IPsec foi encerrada.
4976Durante a negociação de modo principal IPsec recebeu um pacote de negociação inválido. Se o problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação.
5049Uma associação de segurança IPsec foi excluída.
5453Agente de diretiva IPsec aplicada a diretiva de IPsec de armazenamento do Active Directory no computador.

Subcategoria: Modo rápido do IPsec

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4654Uma falha na negociação de modo rápido de IPsec.
4977Durante a negociação de modo rápido IPsec recebeu um pacote de negociação inválido. Se o problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação.
5451Uma associação de segurança de modo rápido IPsec foi estabelecida.
5452Uma associação de segurança de modo rápido IPsec foi encerrada.

Subcategoria: Logoff

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4634 Uma conta foi desconectada.
4647 O usuário iniciou logoff.

Subcategoria: Logon

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4624Uma conta foi conectada com êxito.
4625Uma conta Falha ao fazer logon.
4648Um tentativa de logon usando credenciais explícitas.
4675SIDs foram filtrados.

Subcategoria: Servidor de diretivas de rede

Recolher esta tabelaExpandir esta tabela
ID Mensagem
6272Servidor de diretivas de rede acesso concedido a um usuário.
6273Servidor de diretivas de rede negado acesso a um usuário.
6274Servidor de diretivas de rede descartados a solicitação de um usuário.
6275Servidor de diretivas de rede descartados a solicitação de estatísticas para um usuário.
6276Servidor de diretivas de rede em quarentena um usuário.
6277Servidor de diretivas de rede acesso concedido a um usuário, mas colocá-la na experiência porque o host não atendeu a diretiva de integridade definidas.
6278Servidor de diretivas de rede concedido acesso total a um usuário porque o host atendidas a diretiva de integridade definidas.
6279Servidor de diretivas de rede bloqueado a conta de usuário devido a tentativas de autenticação repetidos com falha.
6280Servidor de diretivas de rede desbloquear a conta de usuário.

Subcategoria: Outros eventos de Logon/Logoff

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4649Foi detectado um ataque de repetição.
4778Uma sessão foi reconectada a uma estação de janela.
4779Uma sessão foi desconectada de uma estação de janela.
4800A estação de trabalho foi bloqueada.
4801A estação de trabalho foi desbloqueada.
4802A proteção de tela foi invocada.
4803A proteção de tela foi descartada.
5378A delegação de credenciais solicitada não foi permitida pela diretiva.
5632Foi feita uma solicitação para autenticar para uma rede sem fio.
5633Foi feita uma solicitação para autenticar para uma rede com fio.

Subcategoria: Logon especial

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4964 Os grupos especiais foram atribuídos a um novo logon.

Categoria: Acesso a objetos

Subcategoria: Aplicativo gerado

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4665Foi feita uma tentativa para criar um contexto de cliente do aplicativo.
4666Um aplicativo tentou uma operação:
4667Um contexto de cliente do aplicativo foi excluído.
4668Um aplicativo foi inicializado.

Subcategoria: Serviços de certificação

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4868O Gerenciador de certificados negou uma solicitação de certificado pendente.
4869Os serviços de certificado receberam uma solicitação de certificado enviado novamente.
4870Serviços de certificados revogaram um certificado.
4871Os serviços de certificado receberam uma solicitação para publicar a lista de certificados revogados (CRL).
4872Serviços de certificados publicaram a lista de certificados revogados (CRL).
4873Uma extensão de solicitação de certificado foi alterada.
4874Um ou mais atributos de solicitação de certificado alterado.
4875Serviços de certificados receberam um pedido de desligamento.
4876Backup dos serviços de certificado iniciado.
4877Backup de serviços de certificado concluído.
4878Restauração de serviços de certificado iniciada.
4879Concluída a restauração dos serviços de certificados.
4880Serviços de certificados iniciado.
4881Serviços de certificados interrompido.
4882Alterar as permissões de segurança para serviços de certificados.
4883Serviços de certificados recuperaram uma chave arquivada.
4884Serviços de certificados importaram um certificado para seu banco de dados.
4885O filtro de auditoria dos serviços de certificados foi alterado.
4886Os serviços de certificado receberam uma solicitação de certificado.
4887Serviços de certificados aprovaram uma solicitação de certificado e emitiram um certificado.
4888Serviços de certificados negaram uma solicitação de certificado.
4889Serviços de certificados definiram o status de uma solicitação de certificado como pendente.
4890Alterar as configurações do Gerenciador de certificados dos serviços de certificados.
4891Uma entrada de configuração foi alterada nos serviços de certificados.
4892Uma propriedade dos serviços de certificados foi alterada.
4893Serviços de certificados arquivaram uma chave.
4894Serviços de certificados importaram e arquivaram uma chave.
4895Serviços de certificados publicaram o certificado da CA nos serviços de domínio Active Directory.
4896Uma ou mais linhas foram excluídas do banco de dados do certificado.
4897Separação de funções ativada:
4898Serviços de certificados carregado um modelo.
4899Um modelo de serviços de certificados foi atualizado.
4900Segurança de modelo de serviços de certificados foi atualizada.
5120Serviço de Respondente OCSP iniciado.
5121Serviço de Respondente OCSP interrompido.
5122Uma entrada de configuração alterada no serviço de Respondente OCSP.
5123Uma entrada de configuração alterada no serviço de Respondente OCSP.
5124Uma configuração de segurança foi atualizada em serviço de Respondente OCSP.
5125Uma solicitação foi enviada para o serviço de Respondente OCSP.
5126Certificado de assinatura foi atualizado automaticamente pelo serviço de Respondente OCSP.
5127O provedor de revogação OCSP atualizado com êxito as informações de revogação.

Subcategoria: Compartilhamento de arquivos detalhada

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5145 Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber desejado acesso.

Subcategoria: Compartilhamento de arquivos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5140Um objeto de compartilhamento de rede foi acessado.
5142Um objeto de compartilhamento de rede foi adicionado.
5143Um objeto de compartilhamento de rede foi modificado.
5144Um objeto de compartilhamento de rede foi excluído.
5168Falha na verificação de SPN para SMB/SMB2.

Subcategoria: Sistema de arquivos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4664Foi feita uma tentativa para criar um vínculo físico.
4985O estado de uma transação foi alterado.
5051Um arquivo foi virtualizado.

Subcategoria: Conexão de plataforma de filtragem

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5031O serviço de Firewall do Windows bloqueou um aplicativo de aceitar conexões de entrada na rede.
5148A plataforma de filtragem do Windows detectou um ataque DoS e inseriu um modo defensivo; pacotes associados a esse ataque serão descartadas.
5149O ataque DoS desaparecer e processamento normal está sendo recomeçado.
5150A Windows Filtering Platform bloqueou um pacote.
5151Um filtro mais restritivo do Windows Filtering Platform bloqueou um pacote.
5154A Windows Filtering Platform permitiu que um aplicativo ou serviço para escutar em uma porta para conexões de entrada.
5155A Windows Filtering Platform bloqueou um aplicativo ou serviço de escuta em uma porta para conexões de entrada.
5156A Windows Filtering Platform permitiu uma conexão.
5157A Windows Filtering Platform bloqueou uma conexão.
5158A Windows Filtering Platform permitiu uma ligação a uma porta local.
5159A Windows Filtering Platform bloqueou uma ligação a uma porta local.

Subcategoria: Descarte de pacote de plataforma de filtragem

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5152 A Windows Filtering Platform bloqueou um pacote.
5153 Um filtro mais restritivo do Windows Filtering Platform bloqueou um pacote.

Subcategoria: Alça manipulação

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4656Um identificador para um objeto foi solicitado.
4658O identificador para um objeto foi fechado.
4690Foi feita uma tentativa para duplicar um identificador para um objeto.

Subcategoria: Outros eventos de acesso a objetos

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4671Um aplicativo tentou acessar um ordinal bloqueado por meio de TBs.
4691Acesso indireto a um objeto foi solicitado.
4698Uma tarefa agendada foi criada.
4699Uma tarefa agendada foi excluída.
4700Uma tarefa agendada foi ativada.
4701Uma tarefa agendada foi desabilitada.
4702Uma tarefa agendada foi atualizada.
4702Uma tarefa agendada foi atualizada.
5888Um objeto no catálogo COM+ foi modificado.
5889Um objeto foi excluído do catálogo COM+.
5890Um objeto foi adicionado no catálogo COM+.

Subcategoria: registro

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4657 Um valor do registro foi modificado.
5039 Uma chave do registro foi virtualizada.

Subcategoria: subcategoria de múltiplos uso especial

Observação O seguinte evento pode ser gerado por um Gerenciador de recursos quando a subcategoria está habilitada. Por exemplo, o seguinte evento pode ser gerado pelo Gerenciador de recursos de registro ou pelo Gerenciador de recursos de sistema de arquivos. O de acesso a objetos: objeto de Kernel e de acesso a objetos: SAM subcategorias são exemplos de subcategorias que usam esses eventos exclusivamente.
Recolher esta tabelaExpandir esta tabela
ID Mensagem
4659Um identificador para um objeto foi solicitado com a intenção de excluir.
4660Um objeto foi excluído.
4661Um identificador para um objeto foi solicitado.
4663Foi feita uma tentativa para acessar um objeto.

Categoria: Alteração de política

Subcategoria: Alteração de diretiva de auditoria

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4715A diretiva de auditoria (SACL) em um objeto foi alterada.
4719Diretiva de auditoria do sistema foi alterada.
4817As configurações de auditoria em um objeto foram alteradas.
4902A tabela de diretivas de auditoria por usuário foi criada.
4904Foi feita uma tentativa para registrar uma fonte de eventos de segurança.
4905Foi feita uma tentativa para cancelar o registro de uma fonte de eventos de segurança.
4906O valor CrashOnAuditFail foi alterado.
4907As configurações de auditoria no objeto foram alteradas.
4908Tabela de grupos de Logon especial modificada.
4912Por usuário diretiva de auditoria foi alterada.

Subcategoria: Alteração de diretiva de autenticação

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4706Uma nova relação de confiança foi criada em um domínio.
4707Uma relação de confiança para um domínio foi removida.
4713Diretiva Kerberos foi alterada.
4716Informações de domínio confiável foi modificadas.
4717Acesso ao sistema de segurança foi concedido a uma conta.
4718Acesso ao sistema de segurança foi removido de uma conta.
4739Diretiva de domínio foi alterada.
4864Foi detectada uma colisão de espaço para nome.
4865Foi adicionada uma entrada de informações de floresta confiáveis.
4866Uma entrada de informações de floresta confiáveis foi removida.
4867Uma entrada de informações de floresta confiáveis foi modificada.

Subcategoria: Alteração de diretiva de autorização

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4704Um direito de usuário foi atribuído.
4705Um direito de usuário foi removido.
4714Diretiva de grupo de agente de recuperação de dados para o sistema de arquivos com criptografia (EFS) foi alterado. As novas alterações foram aplicadas.

Subcategoria: Alteração de diretiva de plataforma de filtragem

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4709O serviço agente de diretiva IPsec foi iniciado.
4710O serviço agente de diretiva IPsec foi desabilitado.
4711Pode conter qualquer um dos seguintes procedimentos:
  • O PAStore Engine aplicou a cópia localmente em cache da diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine aplicou a diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine aplicou a diretiva IPsec de armazenamento de registro local no computador.
  • PAStore Engine não pôde aplicar a cópia localmente em cache da diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine não pôde aplicar a diretiva IPsec de armazenamento do Active Directory no computador.
  • O PAStore Engine não pôde aplicar a diretiva IPsec de armazenamento de registro local no computador.
  • O PAStore Engine não pôde aplicar algumas regras da diretiva IPsec ativa no computador.
  • O PAStore Engine não pôde carregar diretiva de IPsec no computador de armazenamento de diretório.
  • O PAStore Engine carregou a diretiva de IPsec no computador de armazenamento de diretório.
  • O PAStore Engine não pôde carregar diretiva de IPsec no computador de armazenamento local.
  • O PAStore Engine carregou a diretiva IPsec no computador de armazenamento local.
  • O PAStore Engine pesquisou as alterações na diretiva IPsec ativa e não detectou alterações.
4712Agente de diretiva IPsec encontrou uma falha potencialmente séria.
5040Uma alteração foi feita para as configurações de IPsec. Um conjunto de autenticação foi adicionado.
5041Uma alteração foi feita para as configurações de IPsec. Um conjunto de autenticação foi modificado.
5042Uma alteração foi feita para as configurações de IPsec. Um conjunto de autenticação foi excluído.
5043Uma alteração foi feita para as configurações de IPsec. Uma regra de segurança de conexão foi adicionada.
5044Uma alteração foi feita para as configurações de IPsec. Uma regra de segurança de conexão foi modificada.
5045Uma alteração foi feita para as configurações de IPsec. Uma regra de segurança de conexão foi excluída.
5046Uma alteração foi feita para as configurações de IPsec. Um conjunto de criptografia foi adicionado.
5047Uma alteração foi feita para as configurações de IPsec. Um conjunto de criptografia foi modificado.
5048Uma alteração foi feita para as configurações de IPsec. Um conjunto de criptografia foi excluído.
5440O texto explicativo seguinte estava presente quando o Windows filtragem plataforma mecanismo de filtragem Base iniciado.
5441O seguinte filtro estava presente quando o Windows filtragem plataforma mecanismo de filtragem Base iniciado.
5442O provedor a seguir estava presente quando o Windows filtragem plataforma mecanismo de filtragem Base iniciado.
5443O seguinte contexto de provedor estava presente quando o Windows filtragem plataforma mecanismo de filtragem Base iniciado.
5444A seguinte camada sub estava presente quando o Windows filtragem plataforma mecanismo de filtragem Base iniciado.
5446Um texto explicativo Windows Filtering Platform foi alterado.
5448Um provedor Windows Filtering Platform foi alterado.
5449Um contexto de provedor Windows Filtering Platform foi alterado.
5450Uma camada de subsistema do Windows Filtering Platform foi alterada.
5456O PAStore Engine aplicou a diretiva IPsec de armazenamento do Active Directory no computador.
5457Agente de diretiva IPsec Falha ao aplicar a diretiva IPsec de armazenamento do Active Directory no computador.
5458Agente de diretiva IPsec aplicadas localmente em cache a cópia da diretiva de IPsec no computador de armazenamento do Active Directory.
5459Agente de diretiva IPsec Falha ao aplicar a cópia localmente em cache da diretiva IPsec de armazenamento do Active Directory no computador.
5460Agente de diretiva IPsec aplicada a diretiva IPsec de armazenamento de registro local no computador.
5461Agente de diretiva IPsec Falha ao aplicar a diretiva IPsec de armazenamento de registro local no computador.
5462Agente de diretiva IPsec Falha ao aplicar algumas regras da diretiva IPsec ativa no computador. Use o snap-in Monitor de segurança IP para diagnosticar o problema.
5463Agente de diretiva IPsec sondou as alterações na diretiva IPsec ativa e não detectou alterações.
5464Agente de diretiva IPsec sondou as alterações na diretiva IPsec ativa, detectou alterações e aplicou.
5465Agente de diretiva IPsec recebeu um controle para a recarga forçada da diretiva IPsec e processou o controle com êxito.
5466Agente de diretiva IPsec sondou as alterações na diretiva IPsec do Active Directory, determinada que o Active Directory não pode ser alcançado e usará a cópia em cache da diretiva IPsec do Active Directory, em vez disso. Todas as alterações feitas na diretiva IPsec do Active Directory desde a última pesquisa não puderam ser aplicada.
5467Agente de diretiva IPsec sondou as alterações na diretiva IPsec do Active Directory, determinada que Active Directory pode ser atingido e não localizou alterações na diretiva. A cópia em cache da diretiva IPsec do Active Directory não está sendo usada.
5468Agente de diretiva IPsec sondou as alterações na diretiva IPsec do Active Directory, determinado Active Directory pode ser alcançado, localizou alterações na diretiva e aplicou tais alterações. A cópia em cache da diretiva IPsec do Active Directory não está sendo usada.
5471Agente de diretiva IPsec carregado diretiva IPsec no computador de armazenamento local.
5472Agente de diretiva IPsec Falha ao carregar diretiva de IPsec no computador de armazenamento local.
5473Agente de diretiva IPsec carregou a diretiva IPsec no computador de armazenamento de diretório.
5474Agente de diretiva IPsec Falha ao carregar diretiva de IPsec no computador de armazenamento de diretório.
5477Agente de diretiva IPsec não pôde adicionar o filtro de modo rápido.

Subcategoria: Alteração na diretiva de nível de regra MPSSVC

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4944A seguinte diretiva estava ativa quando o Firewall do Windows é iniciado.
4945Uma regra aparecia quando o Firewall do Windows é iniciado.
4946Uma alteração foi feita à lista de exceção do Firewall do Windows. Uma regra foi adicionada.
4947Uma alteração foi feita à lista de exceção do Firewall do Windows. Uma regra foi modificada.
4948Uma alteração foi feita à lista de exceção do Firewall do Windows. Uma regra foi excluída.
4949As configurações do Firewall do Windows foram restauradas para os valores padrão.
4950Uma configuração do Firewall do Windows foi alterada.
4951O Firewall do Windows ignorado uma regra porque seu número de versão principal não é reconhecido.
4952O Firewall do Windows ignorado partes de uma regra porque seu número de versão secundária não é reconhecido. Outras partes da regra serão aplicadas.
4953O Firewall do Windows ignorado uma regra porque não pôde ser analisada.
4954Configurações de diretiva de grupo para o Firewall do Windows foram alteradas e as novas configurações foram aplicadas.
4956O Firewall do Windows alterado o perfil ativo.
4957O Firewall do Windows não aplicou a regra a seguir:
4958O Firewall do Windows não aplicou a seguinte regra porque a regra chamada itens não configurados neste computador:
5050Uma tentativa para desativar o Firewall do Windows usando uma chamada para INetFwProfile.FirewallEnabled(FALSE) interface programaticamente foi rejeitada porque esta API não é suportada nesta versão do Windows. Isso ocorre provavelmente devido a um programa que é incompatível com esta versão do Windows. Entre em contato com o fabricante do programa para certificar-se de que você possui uma versão do programa compatível.

Subcategoria: Outros eventos de alteração de diretiva

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4909As configurações de diretiva local para o TBS foram alteradas.
4910As configurações de diretiva de grupo para o TBS foram alteradas.
5063Foi tentada uma operação do provedor de criptografia.
5064Foi tentada uma operação de contexto de criptografia.
5065Foi tentada uma modificação de contexto de criptografia.
5066Foi tentada uma operação de função criptográfica.
5067Foi tentada uma modificação de função criptográfica.
5068Foi tentada uma operação de provedor de função criptográfica.
5069Foi tentada uma operação de propriedade de função criptográfica.
5070Foi tentada uma modificação de propriedade de função criptográfica.
5447Um filtro Windows Filtering Platform foi alterado.
6144Diretiva de segurança nos objetos de diretiva de grupo foi aplicada com êxito.
6145Um ou mais erros ocorreram durante o processamento da diretiva de segurança nos objetos de diretiva de grupo.

Subcategoria: subcategoria de múltiplos uso especial

Observação O seguinte evento pode ser gerado por um Gerenciador de recursos quando a subcategoria está habilitada. Por exemplo, o seguinte evento pode ser gerado pelo Gerenciador de recursos de registro ou pelo Gerenciador de recursos de sistema de arquivos.
Recolher esta tabelaExpandir esta tabela
ID Mensagem
4670 Permissões em um objeto foram alteradas.

Categoria: Uso de privilégios

Subcategoria: Uso de privilégios confidenciais / uso de privilégios não confidenciais

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4672Privilégios especiais atribuídos ao novo logon.
4673Foi chamado um serviço privilegiado.
4674Foi tentada uma operação em um objeto privilegiado.

Categoria: sistema

Subcategoria: Driver de IPsec

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4960O IPsec descartou um pacote de entrada que falharam uma verificação de integridade. Se o problema persistir, pode indicar que um problema de rede ou que pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Esse erro também pode indicar problemas de interoperabilidade com outras implementações de IPsec.
4961O IPsec descartou um pacote de entrada que falharam uma verificação de repetição. Se o problema persistir, isso pode indicar um ataque de repetição contra o computador.
4962O IPsec descartou um pacote de entrada que falharam uma verificação de repetição. O pacote de entrada tinha muito baixa um número de seqüência para garantir que não era uma repetição.
4963O IPsec descartou um pacote de entrada de texto claro que deviam estar seguros. Se o computador remoto estiver configurado com uma diretiva de solicitação de saída IPsec, isso pode ser benignos e esperados. Isso pode ser causado pelo computador remoto alterando sua diretiva IPsec sem informar este computador. Isso também pode ser uma tentativa de ataque de falsificação.
4965IPsec recebeu um pacote de um computador remoto com um incorreto segurança parâmetro Index (SPI). Isso geralmente é causado por hardware com defeito que está corrompendo pacotes. Se os erros persistirem, verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Esse erro também pode indicar problemas de interoperabilidade com outras implementações de IPsec. Nesse caso, se a conectividade não é impedida, em seguida, esses eventos podem ser ignorados.
5478O serviço agente de diretiva IPsec foi iniciado.
5479Os Serviços IPsec foi desligado com êxito. O desligamento dos Serviços IPsec pode colocar o computador em um risco maior de ataque à rede ou expor o computador a possíveis riscos de segurança.
5480Agente de diretiva IPsec não pôde obter a lista completa de interfaces de rede no computador. Isso representa um risco de segurança potencial porque algumas interfaces de rede talvez não obtenham a proteção desejada com os filtros IPsec aplicados. Use o snap-in Monitor de segurança IP para diagnosticar o problema.
5483O serviço agente de diretiva IPsec Falha ao inicializar o servidor RPC. O serviço não pôde ser iniciado.
5484O serviço agente de diretiva IPsec encontrou uma falha crítica e foi desligado. O desligamento do serviço pode colocar o computador em um risco maior de ataque à rede ou expor o computador a possíveis riscos de segurança.
5485Agente de diretiva IPsec não pôde processar alguns filtros IPsec em um evento plug and play para interfaces de rede. Isso representa um risco de segurança potencial porque algumas interfaces de rede talvez não obtenham a proteção desejada com os filtros IPsec aplicados. Use o snap-in Monitor de segurança IP para diagnosticar o problema.

Subcategoria: Outros eventos do sistema

Recolher esta tabelaExpandir esta tabela
ID Mensagem
5024O serviço de Firewall do Windows iniciado com êxito.
5025O serviço de Firewall do Windows foi interrompido.
5027O serviço de Firewall do Windows não pôde recuperar a diretiva de segurança do armazenamento local. O Firewall do Windows continuará a impor a diretiva atual.
5028O Firewall do Windows não pôde analisar a nova diretiva de segurança. O Firewall do Windows continuará a impor a diretiva atual.
5029O serviço de Firewall do Windows não conseguiu inicializar o driver. O Firewall do Windows continuará a impor a diretiva atual.
5030O serviço de Firewall do Windows não conseguiu iniciar.
5032O Firewall do Windows não conseguiu notificar o usuário que bloqueou um aplicativo de aceitar conexões de entrada na rede.
5033O Driver do Firewall do Windows iniciado com êxito.
5034O Driver do Firewall do Windows foi interrompido.
5035O Driver do Firewall do Windows não conseguiu iniciar.
5037O Driver do Firewall do Windows detectou um erro de tempo de execução crítico, encerrando.
5058Operação de arquivo de chave.
5059Operação de migração de chave.
6400BranchCache: Recebeu uma resposta formatada incorretamente ao detectar a disponibilidade do conteúdo.
6401BranchCache: Dados inválidos recebidos de um ponto. Dados descartados.
6403BranchCache: Cache hospedado enviou uma resposta formatada incorretamente para o cliente.
6404BranchCache: Cache hospedado não pôde ser autenticado usando o certificado SSL provisionado.
6405BranchCache: instância (s) de %2 de %1 a identificação de evento ocorreu.
6406%1 registrado no Firewall do Windows para controle de filtragem para os seguintes itens: %2
64071%

Subcategoria: Alteração de estado de segurança

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4608Windows está sendo inicializado.
4616A hora do sistema foi alterada.
4621Administrador recuperado sistema de CrashOnAuditFail. Os usuários que não são administradores agora poderão fazer logon. Algumas atividades passíveis de auditoria podem não ter sido gravada.

Subcategoria: Extensão do sistema de segurança

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4610Um pacote de autenticação foi carregado pela autoridade de segurança Local.
4611Um processo de logon confiável foi registrado com a autoridade de segurança Local.
4614Um pacote de notificação foi carregado pelo Gerenciador de conta de segurança.
4622Um pacote de segurança foi carregado pela autoridade de segurança Local.
4697Um serviço foi instalado no sistema.

Subcategoria: Integridade do sistema

Recolher esta tabelaExpandir esta tabela
ID Mensagem
4612Os recursos internos alocados para o enfileiramento de mensagens de auditoria foram exauridos, levando à perda de algumas auditorias.
4615Uso inválido de porta LPC.
4618Ocorreu um padrão de eventos de segurança monitorados.
4816RPC detectou uma violação de integridade ao descriptografar uma mensagem de entrada.
5038Integridade do código determinou que o hash de imagem de um arquivo não é válido. O arquivo pode estar corrompido devido à modificação não autorizada ou hash inválido pode indicar um possível erro de dispositivo de disco.
5056Um autoteste criptográfico foi executado.
5057Falha em uma operação de primitiva criptográfica.
5060Falha na operação de verificação.
5061Operação de criptografia.
5062Um modo de kernel criptográfico autoteste foi realizado.
6281Integridade do código determinou que os hashes de página de um arquivo de imagem não são válidos. O arquivo pode ser corrompido devido à modificação não autorizada ou assinados sem hashes de página incorretamente. O hash inválido pode indicar um possível erro de dispositivo de disco

Anotações

  • Para retornar uma mais detalhada lista de todas as entradas do evento de auditoria de segurança, execute o seguinte comando em um prompt de comando elevado como administrador:
    wevtutil gp Microsoft-Windows-Security-auditoria /ge /gm:true
    O exemplo a seguir mostra parte da saída:
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • Para retornar uma lista de todos os auditoria de segurança categorias e subcategorias, execute o seguinte comando em um prompt de comando elevado como administrador:
    auditpol /list /subcategory: *

Referências

Para obter mais informações sobre o utilitário Wevtutil, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Para obter mais informações sobre o utilitário Auditpol, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
Para obter mais informações sobre configurações de segurança avançadas auditoria diretiva no Windows 7 e Windows Server 2008 R2, visite o seguinte site da Microsoft:
http://technet.microsoft.com/en-us/library/dd772712 (WS
Para obter mais informações sobre auditoria de segurança no Windows Vista e Windows Server 2008, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
947226 Descrição de eventos de segurança no Windows Vista e no Windows Server 2008

Propriedades

ID do artigo: 977519 - Última revisão: quinta-feira, 10 de outubro de 2013 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Palavras-chave: 
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 977519

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com