Este artigo descreve vários relacionadas com segurança e relacionadas com a auditoria de eventos no Windows 7 e no Windows Server 2008 R2. Este artigo também fornece informações sobre como interpretar estes eventos. Todos os estes eventos aparecem no registo de segurança e iniciaram sessão com uma origem de
Auditoria de segurança. Este artigo também descreve como obter dados mais descritivos sobre eventos individuais.
Esta secção lista todos os Windows 7 e Windows Server 2008 R2 segurança auditoria eventos relacionados com por categoria e subcategoria.
Categoria: Início de sessão de conta
Subcategoria: Validação de credenciais
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4774 | Uma conta foi mapeada para o início de sessão. |
| 4775 | Não foi possível mapear uma conta de início de sessão. |
| 4776 | O computador tentou validar as credenciais para uma conta. |
| 4777 | Uma falha do controlador de domínio validar as credenciais para uma conta. |
Subcategoria: Serviços de autenticação Kerberos
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4768 | Foi pedida uma permissão de autenticação Kerberos (TGT). |
| 4771 | Falha de pré-autenticação Kerberos. |
| 4772 | Falhou um pedido de permissão de autenticação Kerberos. |
Subcategoria: Operações de permissão de serviços Kerberos
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4769 | Foi pedida uma permissão de serviço Kerberos. |
| 4770 | Foi renovada uma permissão de serviço Kerberos. |
| 4773 | Falhou um pedido de permissão de serviço Kerberos. |
Categoria: Gestão de contas
Subcategoria: Gestão de grupos de aplicações
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4783 | Um grupo básico de aplicações foi criado. |
| 4784 | Um grupo básico de aplicações foi alterado. |
| 4785 | Foi adicionado um membro a um grupo de aplicações básicas. |
| 4786 | Foi removido um membro de um grupo básico de aplicações. |
| 4787 | Um membro não foi adicionado a um grupo de aplicações básicas. |
| 4788 | Um membro não foi removido de um grupo básico de aplicações. |
| 4789 | Foi eliminado um grupo básico de aplicações. |
| 4790 | Um grupo de consulta LDAP foi criado. |
| 4791 | Um grupo básico de aplicações foi alterado. |
| 4792 | Foi eliminado um grupo de consulta LDAP. |
Subcategoria: Gestão de contas de computador
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4741 | Foi criada uma conta de computador. |
| 4742 | Foi alterada uma conta de computador. |
| 4743 | Foi eliminada uma conta de computador. |
Subcategoria: Gestão de grupos de distribuição
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4744 | Foi criado um grupo local com a segurança desactivada. |
| 4745 | Foi alterado um grupo local com a segurança desactivada. |
| 4746 | Foi adicionado um membro a um grupo local com a segurança desactivada. |
| 4747 | Foi removido um membro de um grupo local com a segurança desactivada. |
| 4748 | Foi eliminado um grupo local com a segurança desactivada. |
| 4749 | Foi criado um grupo global com a segurança desactivada. |
| 4750 | Foi alterado um grupo global de segurança desactivada. |
| 4751 | Foi adicionado um membro a um grupo global com a segurança desactivada. |
| 4752 | Foi removido um membro de um grupo global com a segurança desactivada. |
| 4753 | Foi eliminado um grupo global de segurança desactivada. |
| 4759 | Foi criado um grupo universal com a segurança desactivada. |
| 4760 | Foi alterado um grupo universal com a segurança desactivada. |
| 4761 | Foi adicionado um membro a um grupo universal com a segurança desactivada. |
| 4762 | Foi removido um membro de um grupo universal com a segurança desactivada. |
Subcategoria: Outros conta gestão eventos
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4782 | O hash da palavra-passe uma conta foi acedido. |
| 4793 | A password política verificação API foi chamada. |
Subcategoria: Gestão de grupos de segurança
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4727 | Foi criado um grupo global com segurança activada. |
| 4728 | Foi adicionado um membro a um grupo global com segurança activada. |
| 4729 | Foi removido um membro de um grupo global com segurança activada. |
| 4730 | Foi eliminado um grupo global com segurança activada. |
| 4731 | Foi criado um grupo local com segurança activada. |
| 4732 | Foi adicionado um membro a um grupo local com segurança activada. |
| 4733 | Foi removido um membro de um grupo local com segurança activada. |
| 4734 | Foi eliminado um grupo local com segurança activada. |
| 4735 | Foi alterado um grupo local com segurança activada. |
| 4737 | Foi alterado um grupo global com segurança activada. |
| 4754 | Foi criado um grupo universal com segurança activada. |
| 4755 | Foi alterado um grupo universal com segurança activada. |
| 4756 | Foi adicionado um membro a um grupo universal com segurança activada. |
| 4757 | Foi removido um membro de um grupo universal com segurança activada. |
| 4758 | Foi eliminado um grupo universal com segurança activada. |
| 4764 | Tipo de um grupo foi alterado. |
Subcategoria: Gestão de contas de utilizador
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4720 | Foi criada uma conta de utilizador. |
| 4722 | Uma conta de utilizador foi activada. |
| 4723 | Foi efectuada uma tentativa para alterar a palavra-passe da conta. |
| 4724 | Foi efectuada uma tentativa para repor palavra-passe da conta. |
| 4725 | Uma conta de utilizador foi desactivada. |
| 4726 | Foi eliminada uma conta de utilizador. |
| 4738 | Uma conta de utilizador foi alterada. |
| 4740 | Uma conta de utilizador foi bloqueada. |
| 4765 | Histórico do SID foi adicionado a uma conta. |
| 4766 | Falha ao tentar adicionar o histórico SID a uma conta. |
| 4767 | Uma conta de utilizador foi desbloqueada. |
| 4780 | Foi definida a ACL em contas que sejam membros de grupos de administradores. |
| 4781 | O nome de uma conta foi alterado: |
| 4794 | Foi efectuada uma tentativa para definir o modo de restauro dos serviços de directório. |
| 5376 | Gestor de credencial credenciais foram incluídos na cópia. |
| 5377 | Gestor de credencial credenciais foram restauradas a partir de uma cópia de segurança. |
Categoria: Rastreio detalhado
Subcategoria: Actividade da DPAPI
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4692 | Foi tentada a cópia de segurança da chave principal de protecção de dados. |
| 4693 | Foi tentada a recuperação de chave principal de protecção de dados. |
| 4694 | Foi tentada a protecção de dados protegidas auditáveis. |
| 4695 | Foi tentada unprotection dos dados protegidos auditáveis. |
Subcategoria: Criação do processo
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4688 | Foi criado um novo processo. |
| 4696 | Foi atribuído um token primário a processar. |
Subcategoria: Terminação do processo
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4689 | Um processo terminou. |
Subcategoria: Eventos RPC
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5712 | Foi tentada uma chamada de procedimento remoto (RPC). |
Categoria: Acesso DS
Subcategoria: Replicação de serviço de directório detalhado
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4928 | Um contexto de nomeação de origem do Active Directory réplica foi estabelecido. |
| 4929 | Um contexto de nomeação de origem do Active Directory réplica foi removido. |
| 4930 | Um contexto de nomeação de origem do Active Directory réplica foi modificado. |
| 4931 | Um contexto de nomeação de destino do Active Directory réplica foi modificado. |
| 4934 | Atributos de um objecto do Active Directory foram replicados. |
| 4935 | Inicia a replicação falha. |
| 4936 | Falha de replicação termina. |
| 4937 | Um objecto lentos foi removido de uma réplica. |
Subcategoria: Directory Service Access
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4662 | Foi efectuada uma operação num objecto. |
Subcategoria: Alterações de serviço de directório
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5136 | Um objecto do serviço de directório foi modificado. |
| 5137 | Foi criado um objecto de serviço de directório. |
| 5138 | Um objecto do serviço de directório foi não eliminado. |
| 5139 | Um objecto do serviço de directório foi movido. |
| 5141 | Um objecto do serviço de directório foi eliminado. |
Subcategoria: Replicação de serviço de directório
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4932 | Sincronização de uma réplica de um contexto de nomeação do Active Directory começou. |
| 4933 | Sincronização de uma réplica de um contexto de nomeação do Active Directory foi concluída. |
Categoria: Iniciar/terminar sessão
Subcategoria: Modo expandido IPsec
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4978 | Durante a negociação de modo expandido, o IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação. |
| 4979 | Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido. |
| 4980 | Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido. |
| 4981 | Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido. |
| 4982 | Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido. |
| 4983 | Um IPsec expandido negociação em modo falhou. A associação de segurança de modo principal correspondente foi eliminada. |
| 4984 | Um IPsec expandido negociação em modo falhou. A associação de segurança de modo principal correspondente foi eliminada. |
Subcategoria: Modo de principal de IPsec
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4646 | Modo de prevenção de IKE iniciado. |
| 4650 | Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Autenticação de certificados não foi utilizada. |
| 4651 | Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Foi utilizado um certificado para autenticação. |
| 4652 | Uma negociação de modo principal IPsec falhou. |
| 4653 | Uma negociação de modo principal IPsec falhou. |
| 4655 | Uma associação de segurança de modo principal IPsec terminou. |
| 4976 | Durante a negociação de modo principal IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação. |
| 5049 | Foi eliminada uma associação de segurança IPsec. |
| 5453 | Agente de política de IPsec aplicado a política de IPsec de armazenamento do Active Directory no computador. |
Subcategoria: Modo rápido IPsec
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4654 | Uma negociação de modo rápido IPsec falhou. |
| 4977 | Durante a negociação de modo rápido IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação. |
| 5451 | Foi estabelecida uma associação de segurança de modo rápido IPsec. |
| 5452 | Uma associação de segurança de modo rápido IPsec terminou. |
Subcategoria: terminar sessão
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4634 | Uma conta foi terminada. |
| 4647 | O utilizador iniciou a fim de sessão. |
Subcategoria: início de sessão
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4624 | Uma conta com êxito foi iniciada. |
| 4625 | Uma conta não conseguiu iniciar sessão. |
| 4648 | Foi tentado um início de sessão utilizando credenciais explícitas. |
| 4675 | SID foram filtrados. |
Subcategoria: Servidor de políticas de rede
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 6272 | Servidor de políticas de rede concedido acesso a um utilizador. |
| 6273 | Servidor de políticas de rede negado o acesso a um utilizador. |
| 6274 | Servidor de políticas de rede rejeitado o pedido de um utilizador. |
| 6275 | Servidor de políticas de rede rejeitado o pedido de gestão de contas para um utilizador. |
| 6276 | Servidor de políticas de rede colocados em quarentena um utilizador. |
| 6277 | Servidor de políticas de rede acesso concedido a um utilizador mas colocá-la na probation porque o anfitrião não respeita a política de saúde definido. |
| 6278 | Servidor de políticas de rede concedido acesso total a um utilizador porque o anfitrião cumprido a política de saúde definido. |
| 6279 | Servidor de políticas de rede bloqueado a conta de utilizador devido a tentativas de autenticação falhadas repetidos. |
| 6280 | Servidor de políticas de rede desbloqueado a conta de utilizador. |
Subcategoria: Outros eventos de início/fim de sessão
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4649 | Foi detectado um ataque de reprodução. |
| 4778 | Foi restabelecida uma sessão para uma estação de janela. |
| 4779 | Uma sessão foi desligada de uma estação de janela. |
| 4800 | A estação de trabalho foi bloqueada. |
| 4801 | A estação de trabalho foi desbloqueada. |
| 4802 | A protecção de ecrã foi invocada. |
| 4803 | A protecção de ecrã foi dispensada. |
| 5378 | A delegação de credenciais pedida não foi permitida pela política. |
| 5632 | Foi efectuado um pedido para autenticar uma rede sem fios. |
| 5633 | Foi efectuado um pedido para autenticar uma rede com fios. |
Subcategoria: Início de sessão especial
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4964 | Grupos especiais atribuídos a um novo início de sessão. |
Categoria: Acesso a objectos
Subcategoria: Aplicação gerada
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4665 | Foi efectuada uma tentativa para criar um contexto de cliente da aplicação. |
| 4666 | Uma aplicação tentou uma operação: |
| 4667 | Um contexto de cliente da aplicação foi eliminado. |
| 4668 | Uma aplicação foi inicializada. |
Subcategoria: Serviços de certificação
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4868 | O Gestor de certificados negado um pedido de certificado pendente. |
| 4869 | Os serviços de certificados receberam um pedido de certificado reenviado. |
| 4870 | Serviços de certificados revogado um certificado. |
| 4871 | Os serviços de certificados receberam um pedido para publicar a lista de revogação de certificado (CRL). |
| 4872 | Os serviços de certificados publicaram a lista de revogação de certificados (CRL). |
| 4873 | Uma extensão do pedido de certificado alterado. |
| 4874 | Um ou mais atributos de pedido de certificado alterado. |
| 4875 | Os serviços de certificados receberam um pedido para encerrar. |
| 4876 | Cópia de segurança de serviços de certificados iniciado. |
| 4877 | Certificado cópia de segurança de serviços foi concluída. |
| 4878 | Iniciar o restauro dos serviços de certificado. |
| 4879 | Concluída de restauro dos serviços de certificados. |
| 4880 | Serviços de certificados iniciado. |
| 4881 | Parar os serviços de certificados. |
| 4882 | Alterar as permissões de segurança para os serviços de certificados. |
| 4883 | Serviços de certificados obtidos de uma chave arquivada. |
| 4884 | Serviços de certificados importados um certificado para a respectiva base de dados. |
| 4885 | O filtro de auditoria para os serviços de certificados alterado. |
| 4886 | Os serviços de certificados receberam um pedido de certificado. |
| 4887 | Os serviços de certificados aprovou um pedido de certificado e emitiram um certificado. |
| 4888 | Serviços de certificados negado um pedido de certificado. |
| 4889 | Serviços de certificados definir o estado de um pedido de certificado como pendente. |
| 4890 | As definições de Gestor de certificados para os serviços de certificados alteradas. |
| 4891 | Uma entrada de configuração alterada no serviços de certificados. |
| 4892 | Alterar uma propriedade dos serviços de certificados. |
| 4893 | Serviços de certificados arquivaram uma chave. |
| 4894 | Os serviços de certificados importados e arquivaram uma chave. |
| 4895 | Os serviços de certificados publicaram o certificado da AC aos serviços de domínio do Active Directory. |
| 4896 | Uma ou mais linhas foram eliminadas da base de dados do certificado. |
| 4897 | Separação de funções activada: |
| 4898 | Serviços de certificados carregado um modelo. |
| 4899 | Um modelo de serviços de certificados foi actualizado. |
| 4900 | Segurança de modelo dos serviços de certificado foi actualizada. |
| 5120 | Serviço de resposta de OCSP iniciado. |
| 5121 | Serviço de resposta de OCSP parado. |
| 5122 | Uma entrada de configuração alterada no serviço de resposta de OCSP. |
| 5123 | Uma entrada de configuração alterada no serviço de resposta de OCSP. |
| 5124 | Uma definição de segurança foi actualizada no serviço de resposta de OCSP. |
| 5125 | Foi submetido um pedido ao serviço de resposta de OCSP. |
| 5126 | Certificado de assinatura foi actualizado automaticamente pelo serviço de resposta de OCSP. |
| 5127 | O fornecedor de revogação de OCSP actualizado com êxito as informações de revogação. |
Subcategoria: Partilha de ficheiros detalhado
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5145 | Um objecto de partilha de rede estava marcado para ver se o cliente pode ser concedido acesso pretendido. |
Subcategoria: Partilha de ficheiros
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5140 | Um objecto de partilha de rede foi acedido. |
| 5142 | Foi adicionado um objecto de partilha de rede. |
| 5143 | Um objecto de partilha de rede foi modificado. |
| 5144 | Um objecto de partilha de rede foi eliminado. |
| 5168 | Falhou a verificação de spn para SMB/SMB2. |
Subcategoria: Sistema de ficheiros
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4664 | Foi efectuada uma tentativa de criar uma ligação rígida. |
| 4985 | O estado de uma transacção foi alterado. |
| 5051 | Um ficheiro foi virtualized. |
Subcategoria: Ligação de plataforma de filtragem
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5031 | O serviço Firewall do Windows bloqueou uma aplicação de aceitar ligações a receber na rede. |
| 5148 | Plataforma de filtragem do Windows tiver detectado um ataque do tipo denial-of-Service e introduzido um modo defensivo; pacotes associados este ataque serão rejeitadas. |
| 5149 | O ataque do tipo denial-of-Service tem subsided e processamento normal é a ser retomado. |
| 5150 | Plataforma de filtragem do Windows bloqueou um pacote. |
| 5151 | Um filtro de plataforma de filtragem do Windows mais restritivo bloqueou um pacote. |
| 5154 | Plataforma de filtragem do Windows foi permitida uma aplicação ou serviço para escutar numa porta de ligações a receber. |
| 5155 | Plataforma de filtragem do Windows bloqueou uma aplicação ou serviço do está à escuta numa porta para ligações a receber. |
| 5156 | Plataforma de filtragem do Windows foi permitida uma ligação. |
| 5157 | Plataforma de filtragem do Windows bloqueou uma ligação. |
| 5158 | Plataforma de filtragem do Windows permitiu um vincular a uma porta local. |
| 5159 | Plataforma de filtragem do Windows bloqueou um vincular a uma porta local. |
Subcategoria: Filtering Platform pacotes ignorados
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5152 | Plataforma de filtragem do Windows bloqueou um pacote. |
| 5153 | Um filtro de plataforma de filtragem do Windows mais restritivo bloqueou um pacote. |
Subcategoria: Manipulação de processar
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4656 | Um identificador para um objecto foi pedido. |
| 4658 | O identificador para um objecto foi fechado. |
| 4690 | Foi efectuada uma tentativa de duplicar um identificador para um objecto. |
Subcategoria: Outros objecto eventos de acesso
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4671 | Uma aplicação tentou aceder a um ordinal bloqueado através de TBS. |
| 4691 | Acesso indirecto a um objecto foi pedido. |
| 4698 | Uma tarefa agendada foi criada. |
| 4699 | Uma tarefa agendada foi eliminada. |
| 4700 | Uma tarefa agendada foi activada. |
| 4701 | Uma tarefa agendada foi desactivada. |
| 4702 | Uma tarefa agendada foi actualizada. |
| 4702 | Uma tarefa agendada foi actualizada. |
| 5888 | Um objecto no catálogo do COM + foi modificado. |
| 5889 | Um objecto foi eliminado do catálogo do COM +. |
| 5890 | Um objecto foi adicionado ao catálogo do COM +. |
Subcategoria: registo
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4657 | Um valor de registo foi modificado. |
| 5039 | Uma chave de registo foi virtualized. |
Subcategoria: especial subcategoria Multi-use
Nota O seguinte evento poderá ser gerado por qualquer gestor de recursos quando o respectiva subcategoria está activada. Por exemplo, o seguinte evento poderá ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros. O
Object Access: objecto kernel e
acesso a objectos: SAM subcategorias são exemplos de subcategorias utilizam exclusivamente a estes eventos.
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4659 | Foi pedido um identificador para um objecto com intenção de o eliminar. |
| 4660 | Um objecto foi eliminado. |
| 4661 | Um identificador para um objecto foi pedido. |
| 4663 | Foi efectuada uma tentativa para aceder a um objecto. |
Categoria: Alteração da política
Subcategoria: Alteração da política de auditoria
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4715 | A política de auditoria (SACL) num objecto foi alterada. |
| 4719 | Política de auditoria de sistema foi alterada. |
| 4817 | Foram alteradas as definições de auditoria num objecto. |
| 4902 | A tabela de políticas de auditoria por utilizador foi criada. |
| 4904 | Foi efectuada uma tentativa de registar uma origem de evento de segurança. |
| 4905 | Foi efectuada uma tentativa para anular o registo de uma origem de evento de segurança. |
| 4906 | O valor CrashOnAuditFail foi alterado. |
| 4907 | Foram alteradas as definições de auditoria no objecto. |
| 4908 | Tabela de logon de grupos especial modificada. |
| 4912 | Por política de auditoria do utilizador foi alterada. |
Subcategoria: Alteração da política de autenticação
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4706 | Uma nova fidedignidade foi criada para um domínio. |
| 4707 | Uma fidedignidade para um domínio foi removida. |
| 4713 | Política Kerberos foi alterada. |
| 4716 | Informações de domínio fidedigno foi modificadas. |
| 4717 | Foi concedido o acesso de segurança do sistema para uma conta. |
| 4718 | Acesso de segurança do sistema foi removido de uma conta. |
| 4739 | Política de domínio foi alterada. |
| 4864 | Foi detectada uma colisão de espaço de nomes. |
| 4865 | Foi adicionada uma entrada de informações de floresta fidedigna. |
| 4866 | Uma entrada de informações de floresta fidedigna foi removida. |
| 4867 | Uma entrada de informações de floresta fidedigna foi modificada. |
Subcategoria: Alteração da política de autorização
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4704 | Foi atribuído um direito de utilizador. |
| 4705 | Foi removido um direito de utilizador. |
| 4714 | Política de grupo de agente de recuperação de dados para encriptação de ficheiros (EFS) foi alterada. As novas alterações foram aplicadas. |
Subcategoria: Alteração da política de plataforma de filtragem
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4709 | O serviço de agente de política IPsec foi iniciado. |
| 4710 | O serviço do agente de política IPsec foi desactivado. |
| 4711 | Pode conter qualquer um dos seguintes procedimentos: - O motor PAStore aplicou a cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador.
- O motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador.
- O motor PAStore aplicou a política IPsec de armazenamento no registo local no computador.
- Falha do motor PAStore ao aplicar cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador.
- Falha do motor PAStore ao aplicar política de IPsec de armazenamento do Active Directory no computador.
- Falha do motor PAStore ao aplicar a política IPsec de armazenamento no registo local no computador.
- Falha do motor PAStore ao aplicar algumas regras da política IPsec activa no computador.
- Falha do motor PAStore ao carregar a política IPsec no computador de armazenamento de directório.
- O motor PAStore carregou a política IPsec no computador de armazenamento de directório.
- Falha do motor PAStore ao carregar a política IPsec no computador de armazenamento local.
- O motor PAStore carregou a política IPsec no computador de armazenamento local.
- O motor PAStore consultou alterações à política IPsec activa e detectou sem alterações.
|
| 4712 | Agente de política IPsec detectou uma falha potencialmente grave. |
| 5040 | Foi efectuada uma alteração às definições de IPsec. Foi adicionado um conjunto de autenticação. |
| 5041 | Foi efectuada uma alteração às definições de IPsec. Um conjunto de autenticação foi modificado. |
| 5042 | Foi efectuada uma alteração às definições de IPsec. Um conjunto de autenticação foi eliminado. |
| 5043 | Foi efectuada uma alteração às definições de IPsec. Foi adicionada uma regra de segurança de ligação. |
| 5044 | Foi efectuada uma alteração às definições de IPsec. Uma regra de segurança de ligação foi modificada. |
| 5045 | Foi efectuada uma alteração às definições de IPsec. Uma regra de segurança de ligação foi eliminada. |
| 5046 | Foi efectuada uma alteração às definições de IPsec. Foi adicionado um conjunto de criptografia. |
| 5047 | Foi efectuada uma alteração às definições de IPsec. Um conjunto de criptografia foi modificado. |
| 5048 | Foi efectuada uma alteração às definições de IPsec. Um conjunto de criptografia foi eliminado. |
| 5440 | A chamada seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado. |
| 5441 | O seguinte filtro estava presente quando o Windows Filtering Platform Base filtragem motor iniciado. |
| 5442 | O seguinte fornecedor estava presente quando o Windows Filtering Platform Base filtragem motor iniciado. |
| 5443 | O contexto do fornecedor seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado. |
| 5444 | Sub-layer seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado. |
| 5446 | Uma chamada de plataforma de filtragem do Windows foi alterada. |
| 5448 | Um fornecedor de plataforma de filtragem do Windows foi alterado. |
| 5449 | Contexto do fornecedor um plataforma de filtragem do Windows foi alterado. |
| 5450 | Sub-layer uma plataforma de filtragem do Windows foi alterado. |
| 5456 | O motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador. |
| 5457 | Agente de política de IPsec Falha ao aplicar política de IPsec de armazenamento do Active Directory no computador. |
| 5458 | Agente de política de IPsec aplicados localmente cópia da política IPsec no computador de armazenamento do Active Directory em cache. |
| 5459 | Agente de política de IPsec Falha ao aplicar a cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador. |
| 5460 | Agente de política de IPsec aplicado a política IPsec de armazenamento no registo local no computador. |
| 5461 | Agente de política de IPsec Falha ao aplicar a política IPsec de armazenamento no registo local no computador. |
| 5462 | Agente de política de IPsec Falha ao aplicar algumas regras da política IPsec activa no computador. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema. |
| 5463 | Agente de política de IPsec consultou alterações à política IPsec activa e detectou sem alterações. |
| 5464 | Agente de política de IPsec consultou alterações à política IPsec activa, detectou alterações e aplicou-as. |
| 5465 | Agente de política de IPsec recebeu um controlo para recarregamento forçado da política IPsec e processado com êxito o controlo. |
| 5466 | Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory não pode ser acedido e irá utilizar a cópia em cache da política IPsec do Active Directory em vez disso. Quaisquer alterações efectuadas a política IPsec Active Directory desde a última consulta não puderam ser aplicada. |
| 5467 | Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory pode ser atingido e não encontrou alterações à política. A cópia em cache da política IPsec Active Directory já não está a ser utilizada. |
| 5468 | Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory pode ser acedido, encontrou alterações à política e aplicou essas alterações. A cópia em cache da política IPsec Active Directory já não está a ser utilizada. |
| 5471 | Agente de política de IPsec carregou a política IPsec no computador de armazenamento local. |
| 5472 | Agente de política de IPsec Falha ao carregar a política IPsec no computador de armazenamento local. |
| 5473 | Agente de política de IPsec carregou a política IPsec no computador de armazenamento de directório. |
| 5474 | Agente de política de IPsec Falha ao carregar a política IPsec no computador de armazenamento de directório. |
| 5477 | Agente de política de IPsec Falha ao adicionar o filtro de modo rápido. |
Subcategoria: Alteração da política de nível de regra MPSSVC
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4944 | A seguinte política estava activa quando a Firewall do Windows foi iniciado. |
| 4945 | Uma regra foi listada quando a Firewall do Windows foi iniciado. |
| 4946 | Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi adicionada. |
| 4947 | Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi modificada. |
| 4948 | Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi eliminada. |
| 4949 | As definições do Firewall do Windows foram restauradas para os valores predefinidos. |
| 4950 | Foi alterada uma definição de Firewall do Windows. |
| 4951 | Firewall do Windows ignorada uma regra porque o respectivo número de versão principal não é reconhecido. |
| 4952 | Firewall do Windows ignorada partes de uma regra porque o respectivo número de versão secundário não é reconhecido. Outras partes da regra serão aplicadas. |
| 4953 | Firewall do Windows ignorada uma regra, porque não foi possível analisar. |
| 4954 | As definições de política de grupo para O Firewall do Windows foram alteradas e as novas definições foram aplicadas. |
| 4956 | Firewall do Windows alterados no perfil activo. |
| 4957 | Firewall do Windows não aplicou a seguinte regra: |
| 4958 | Firewall do Windows não aplicou a seguinte regra porque a regra referido itens não configurados neste computador: |
| 5050 | Uma tentativa para desactivar programaticamente o Firewall do Windows utilizando uma chamada para INetFwProfile.FirewallEnabled(FALSE) interface foi rejeitada porque esta API não é suportado nesta versão do Windows. Isto é provavelmente devido a um programa que é incompatível com esta versão do Windows. Contacte o fabricante do programa para Certifique-se de que tem uma versão do programa compatível. |
Subcategoria: Outros política eventos de alteração
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4909 | As definições de política local para o TBS foram alteradas. |
| 4910 | As definições de política de grupo para o TBS foram alteradas. |
| 5063 | Foi tentada uma operação de fornecedor criptográfico. |
| 5064 | Foi tentada uma operação de contexto criptográfico. |
| 5065 | Foi tentada uma modificação de contexto criptográfico. |
| 5066 | Foi tentada uma operação de função criptográfica. |
| 5067 | Foi tentada uma modificação de função criptográfica. |
| 5068 | Foi tentada uma operação de fornecedor de função criptográfica. |
| 5069 | Foi tentada uma operação de propriedade de função criptográfica. |
| 5070 | Foi tentada uma modificação da propriedade de função criptográfica. |
| 5447 | Foi alterado um filtro de plataforma de filtragem do Windows. |
| 6144 | A política de segurança nos objectos de política de grupo foi aplicada com êxito. |
| 6145 | Ocorreram um ou mais erros ao processar a política de segurança nos objectos de política de grupo. |
Subcategoria: especial subcategoria Multi-use
Nota O seguinte evento poderá ser gerado por qualquer gestor de recursos quando o respectiva subcategoria está activada. Por exemplo, o seguinte evento poderá ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros.
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4670 | Permissões num objecto foram alterados. |
Categoria: Utilização de privilégios
Utilização de privilégios sensíveis subcategoria: / Utilizar privilégios de não distinção
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4672 | Privilégios especiais atribuídos a novo início de sessão. |
| 4673 | Foi chamado um serviço privilegiado. |
| 4674 | Foi tentada uma operação num objecto privilegiado. |
Categoria: sistema
Subcategoria: Controlador de IPsec
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4960 | IPsec ignorado um pacote de entrada falhou uma verificação de integridade. Se este problema persistir, poderá indicar que um problema de rede ou que pacotes estão a ser modificados em trânsito para este computador. Verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec. |
| 4961 | IPsec ignorado um pacote de entrada falhou uma verificação de reprodução. Se este problema persistir, poderá indicar um ataque de reprodução contra este computador. |
| 4962 | IPsec ignorado um pacote de entrada falhou uma verificação de reprodução. O pacote de entrada tinha demasiado baixo um número de sequência para garantir que não era uma reprodução. |
| 4963 | IPsec ignorado um pacote de entrada de texto simples que deveria ter sido protegido. Se o computador remoto estiver configurado com uma política de pedido de saída IPsec, este poderá ser benigno e esperado. Isto também pode ser causado pelo computador remoto, alterar a respectiva política de IPsec sem informar neste computador. Isto também poderia ser uma tentativa de ataque de fraude. |
| 4965 | IPsec recebeu um pacote a partir de um computador remoto com um incorrecto Security Parameter índice (SPI). Normalmente, esta situação é causada por hardware funcionar incorrectamente que é danificando pacotes. Se estes erros persistirem, verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec. Nesse caso, se não for impeded conectividade, em seguida, estes eventos podem ser ignorados. |
| 5478 | O serviço de agente de política IPsec foi iniciado. |
| 5479 | Serviços IPsec foi encerrado com êxito. O encerramento de serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. |
| 5480 | Agente de política de IPsec Falha ao obter a lista completa de interfaces de rede no computador. Isto representa um risco de segurança potencial porque algumas das interfaces de rede não poderão obter a protecção fornecida pelos filtros de IPsec aplicados. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema. |
| 5483 | O serviço agente de política de IPsec Falha ao inicializar o respectivo servidor RPC. Não foi possível iniciar o serviço. |
| 5484 | O serviço do agente de política IPsec detectou uma falha grave e foi encerrado. O encerramento do serviço pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. |
| 5485 | Agente de política de IPsec não conseguiu processar alguns filtros de IPsec num evento plug-and-play para interfaces de rede. Isto representa um risco de segurança potencial porque algumas das interfaces de rede não poderão obter a protecção fornecida pelos filtros de IPsec aplicados. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema. |
Subcategoria: Outros eventos do sistema
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 5024 | O serviço Firewall do Windows foi iniciado com êxito. |
| 5025 | O serviço Firewall do Windows foi parado. |
| 5027 | O serviço Firewall do Windows não conseguiu obter a política de segurança do armazenamento local. Firewall do Windows continuará para impor a política actual. |
| 5028 | Firewall do Windows não conseguiu analisar a nova política de segurança. Firewall do Windows continuará para impor a política actual. |
| 5029 | O serviço Firewall do Windows não conseguiu inicializar o controlador. Firewall do Windows continuará para impor a política actual. |
| 5030 | Não foi possível iniciar o serviço Firewall do Windows. |
| 5032 | Firewall do Windows não conseguiu notificar o utilizador que bloqueado uma aplicação de aceitar ligações a receber na rede. |
| 5033 | O controlador da Firewall do Windows foi iniciado com êxito. |
| 5034 | O controlador da Firewall do Windows foi parado. |
| 5035 | Não foi possível iniciar o controlador da Firewall do Windows. |
| 5037 | O controlador da Firewall do Windows detectou um erro de tempo de execução crítico, terminar. |
| 5058 | Operação de ficheiro de chave. |
| 5059 | Operação de migração de chaves. |
| 6400 | BranchCache: Recebida uma resposta formatada incorrectamente ao descobrir a disponibilidade de conteúdo. |
| 6401 | BranchCache: Recebidos dados inválidos de um peer. Dados eliminados. |
| 6403 | BranchCache: A cache hospedado enviou uma resposta formatada incorrectamente para o cliente. |
| 6404 | BranchCache: Alojada cache não pode ser autenticado utilizando o certificado SSL provisioned. |
| 6405 | BranchCache: Ocorreu a instância (s) de id de evento %1 %2. |
| 6406 | %1 registado ao Firewall do Windows para controlo de filtragem para o seguinte: %2 |
| 6407 | 1 % |
Subcategoria: Alteração de estado de segurança
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4608 | Windows está a iniciar. |
| 4616 | A hora do sistema foi alterada. |
| 4621 | Administrador recuperou de sistema de CrashOnAuditFail. Os utilizadores que não são administradores agora serão permitidos para iniciar sessão. Algumas actividades auditáveis podem não ter sido gravada. |
Subcategoria: Extensão de sistema de segurança
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4610 | Um pacote de autenticação foi carregado pela autoridade de segurança local. |
| 4611 | Um processo de início de sessão fidedigno foi registado com a autoridade de segurança local. |
| 4614 | Um pacote de notificação foi carregado pelo Gestor de contas de segurança. |
| 4622 | Um pacote de segurança foi carregado pela autoridade de segurança local. |
| 4697 | Um serviço foi instalado no sistema. |
Subcategoria: Integridade do sistema
Reduzir esta tabelaExpandir esta tabela
| ID | Mensagem |
|---|
| 4612 | Tem sido esgotados recursos internos atribuídos para a colocação em fila de mensagens de auditoria, conduzindo a perda de algumas auditorias. |
| 4615 | Utilização inválida da porta LPC. |
| 4618 | Ocorreu um padrão de eventos de segurança monitorizada. |
| 4816 | RPC detectou uma violação de integridade ao desencriptar uma mensagem a receber. |
| 5038 | Código de integridade determinou que o hash de imagem de um ficheiro não é válido. O ficheiro pode estar danificado devido a modificação não autorizada ou hash inválido pode indicar um potencial erro de dispositivo de disco. |
| 5056 | Um teste automático criptográfico foi efectuado. |
| 5057 | Falhou uma operação criptográfica primitiva. |
| 5060 | Falha na operação de verificação. |
| 5061 | Operação criptográfica. |
| 5062 | Um modo de kernel criptográfico autoteste foi efectuado. |
| 6281 | Código de integridade determinado os hashes de página de um ficheiro de imagem não são válidos. O ficheiro pode ser incorrectamente assinado sem hashes de página ou danificado devido a modificação não autorizada. Os hashes inválidos poderá indicar um potencial erro de dispositivo de disco |
Notas
Para mais informações sobre o utilitário Wevtutil, visite o seguinte Web site da Microsoft:
Para mais informações sobre o utilitário AuditPol, visite o seguinte Web site da Microsoft:
Para obter mais informações sobre definições avançadas de segurança auditoria política no Windows Server 2008 R2 e no Windows 7, visite o seguinte Web site da Microsoft:
Para obter mais informações sobre a auditoria de segurança no Windows Vista e Windows Server 2008, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
947226
(http://support.microsoft.com/kb/947226/
)
Descrição de eventos de segurança no Windows Vista e no Windows Server 2008
Artigo: 977519 - Última revisão: terça-feira, 17 de Novembro de 2009 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Windows 7 Enterprise
- Windows 7 Professional
- Windows 7 Ultimate
| kbmt kbeventlog kbexpertiseinter kbsurveynew kbinfo KB977519 KbMtpt |
Tradução automáticaIMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo:
977519
(http://support.microsoft.com/kb/977519/en-us/
)
Voltar ao topo
