Описание событий системы безопасности в Windows 7 и Windows Server 2008 R2

Переводы статьи Переводы статьи
Код статьи: 977519 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описывается различных событий связанных с аудитом и связанные с безопасностью, в Windows 7 и Windows Server 2008 R2. Также сведения о том, как интерпретировать эти события. Все события в журнале безопасности и регистрируются с помощью источника аудита безопасности. В этой статье также описывается извлечение более описательные данные об отдельных событиях.

Дополнительная информация

В этом разделе перечислены все Windows 7 и Windows Server 2008 R2 безопасности Аудит событий, связанных с по категории и подкатегории.

Категория: Учетной записи входа в систему

Подкатегория: Проверка учетных данных

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4774Для входа в систему учетная запись была сопоставлена.
4775Не удалось сопоставить учетную запись для входа в систему.
4776Была предпринята попытка проверить учетные данные для учетной записи компьютера.
4777Не удается проверить учетные данные для учетной записи контроллера домена.

Подкатегории: Служба проверки подлинности Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4768Была запрошена проверка подлинности билета (TGT) Kerberos.
4771Ошибка предварительной проверки подлинности Kerberos.
4772Ошибка запроса билета проверки подлинности Kerberos.

Подкатегории: Операции билет службы Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4769Билет службы Kerberos был запрошен.
4770Билет службы Kerberos был обновлен.
4773Не удалось выполнить запрос билета службы Kerberos.

Категория: Управление учетными записями

Подкатегории: Управление группой приложений

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4783Основная группа приложения был создан.
4784Основная группа приложения был изменен.
4785Член добавлен к основной группе приложения.
4786Член удален из группы основных приложений.
4787Основная группа приложения был добавлен не являющихся членами.
4788Не член был удален из группы основных приложений.
4789Основная группа приложения был удален.
4790Группы запросов LDAP был создан.
4791Основная группа приложения был изменен.
4792 утилитаГруппы запросов LDAP был удален.

Подкатегории: Управление учетной записью компьютера

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4741Была создана учетная запись компьютера.
4742Изменена учетная запись компьютера.
4743Учетная запись компьютера была удалена.

Подкатегории: Управление группой распространения

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4744Создана локальная группа безопасности отключена.
4745Изменена локальная группа безопасности отключена.
4746Член добавлен к локальной группе безопасности отключена.
4747Член удален из локальной группы с отключенной проверкой безопасности.
4748Удалена локальная группа безопасности отключена.
4749Создана глобальная группа с отключенной проверкой безопасности.
4750Изменена глобальная группа с отключенной проверкой безопасности.
4751Член добавлен к глобальной группы с отключенной проверкой безопасности.
4752Член удален из глобальной группы с отключенной проверкой безопасности.
4753Удалена глобальная группа с отключенной проверкой безопасности.
4759Создана универсальная группа с отключенной проверкой безопасности.
4760Изменена универсальная группа с отключенной проверкой безопасности.
4761Член добавлен к универсальной группе с отключенной проверкой безопасности.
4762Член удален из универсальной группы с отключенной проверкой безопасности.

Подкатегория: Другие события управления учетными записями

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4782Получен хэш пароля учетной записи.
4793Был вызван API проверку политики паролей.

Подкатегории: Управление группой безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4727Создана глобальная группа с включенной безопасностью.
4728Член добавлен к глобальной группы с включенной безопасностью.
4729Член удален из глобальной группы с включенной безопасностью.
4730Удалена глобальная группа с включенной безопасностью.
4731Создана локальная группа с включенной безопасностью.
4732Член добавлен к локальной группы с включенной безопасностью.
4733Член удален из локальной группы с включенной безопасностью.
4734Удалена локальная группа с включенной безопасностью.
4735Локальная группа с включенной безопасностью изменена.
4737Изменена глобальная группа с включенной безопасностью.
4754Создана универсальная группа с проверкой безопасности.
4755Изменена универсальная группа с включенной безопасностью.
4756Член добавлен к универсальной группе с проверкой безопасности.
4757Член удален из универсальной группы с включенной безопасностью.
4758Удалена универсальная группа с проверкой безопасности.
4764Изменен тип группы.

Подкатегории: Управление учетными записями пользователей

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4720Была создана учетная запись пользователя.
4722Учетная запись пользователя была включена.
4723Предпринята попытка изменить пароль учетной записи.
4724Предпринята попытка выполнить сброс пароля учетной записи.
4725Учетная запись пользователя была отключена.
4726Учетная запись пользователя была удалена.
4738Учетная запись пользователя была изменена.
4740Учетная запись пользователя заблокирована.
4765Журнал SID был добавлен в учетную запись.
4766Ошибка при попытке добавления журнала SID для учетной записи.
4767Учетная запись пользователя была разблокирована.
4780Список управления Доступом был установлен на учетные записи, которые являются членами группы Администраторы.
4781Было изменено имя учетной записи:
4794Была попытка установить режим восстановления служб каталогов.
5376Диспетчер учетных данных учетные данные были заархивированы.
5377Диспетчер учетных данных учетные данные были восстановлены из резервной копии.

Категория: Подробное отслеживание

Подкатегории: Активность DPAPI

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4692Попытка выполнить резервное копирование главного ключа защиты данных.
4693Была предпринята попытка восстановления основной ключ защиты данных.
4694Предпринята попытка защиты проверяемых защищенных данных.
4695Была предпринята попытка unprotection проверяемых защищенных данных.

Подкатегории: Создание процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4688Был создан новый процесс.
4696Основной маркер был назначен для обработки.

Подкатегории: Завершение процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4689Процесс завершен.

Подкатегории: События RPC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5712 Попытка выполнения удаленного вызова процедур (RPC).

Категория: Доступ к службе Каталогов

Подкатегория: Подробная репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4928Было установлено именования контекст источника репликации Active Directory.
4929Удален именования контекст источника репликации Active Directory.
4930Именования контекст источника репликации Active Directory был изменен.
4931Изменения службы каталогов Active Directory реплики конечного контекста именования.
4934Атрибуты объекта Active Directory были реплицированы.
4935Начинается сбой репликации.
4936Сбой репликации заканчивается.
4937Устаревшие объект был удален из реплики.

Подкатегория: Доступ к службе каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4662 Операция была выполнена для объекта.

Подкатегории: Изменения в службе каталога

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5136Объект службы каталогов была изменена.
5137Был создан объект службы каталогов.
5138Объект службы каталогов был возращен после удаления.
5139Объект службы каталогов была перемещена.
5141 Объект службы каталогов был удален.

Подкатегория: Репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4932Синхронизация репликации Active Directory, начал контекста именования.
4933Синхронизация репликации Active Directory, завершения контекста именования.

Категория: Вход/выход

Подкатегории: Расширенный режим IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4978Во время согласования расширенного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
4979Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4980Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4981Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4982Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4983IPsec расширенный режим сбой согласования. Соответствующее сопоставление безопасности основного режима, был удален.
4984IPsec расширенный режим сбой согласования. Соответствующее сопоставление безопасности основного режима, был удален.

Подкатегория: IPsec основного режима

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4646Запущен режим предотвращения IKE DoS.
4650Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не был включен. Сертификат проверки подлинности не используется.
4651Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не был включен. Сертификат был использован для проверки подлинности.
4652Ошибка при согласовании основного режима IPsec.
4653Ошибка при согласовании основного режима IPsec.
4655Завершить сопоставление безопасности основного режима IPsec.
4976Во время согласования основного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5049Сопоставление безопасности IPsec была удалена.
5453Агент политики IPsec на компьютере применить политику IPsec из хранилища службы каталогов Active Directory.

Подкатегория: Режим быстрого IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4654Ошибка при согласовании быстрого режима IPsec.
4977Во время согласования быстрого режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5451Было установлено сопоставление безопасности быстрого режима IPsec.
5452Завершить сопоставление безопасности быстрого режима IPsec.

Подкатегория: выход из системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4634 Учетной записью выполнен выход.
4647 Пользователь инициировал выхода из системы.

Подкатегория: вход в систему

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4624Учетная запись была успешно войти в систему.
4625Не удалось войти в систему с такой учетной записью.
4648Попытка входа в систему, используя правильные учетные данные.
4675ИД безопасности были отфильтрованы.

Подкатегории: Сервер политики сети

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
6272Сервер политики сети пользователю предоставлен доступ.
6273Сервер политики сети пользователю отказано в доступе.
6274Сервер политики сети отменены запроса от пользователя.
6275Сервер политики сети Отклонено запросов учета для пользователя.
6276Сервер политики сети на карантин пользователя.
6277Сервер политики сети доступ к пользователю, но поместить его на надзора, так как узел не соответствует политике работоспособности, установленным.
6278Сервер политики сети предоставляется полный доступ для пользователя, так как узел политики работоспособности, установленным.
6279Сервер политики сети заблокирован из-за повторяющихся неудачных попыток проверки подлинности учетной записи пользователя.
6280Сервер политики сети разблокировать учетную запись пользователя.

Подкатегория: Другие события входа и выхода

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4649Обнаружен атаки с повторением пакетов.
4778Сеанс был подключен к станции.
4779Сеанс был отключен от станции.
4800Рабочая станция была заблокирована.
4801Рабочая станция была разблокирована.
4802Заставка был вызван.
4803Закрытия экранной заставки.
5378Запрошенные учетные данные делегирование запрещено политикой.
5632Был сделан запрос для проверки подлинности в беспроводной сети.
5633Был сделан запрос на проверку подлинности для проводной сети.

Подкатегории: Специальный вход

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4964 Специальные группы были назначены для нового сеанса входа.

Категория: Доступ к объекту

Подкатегории: Создано приложением

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4665Предпринята попытка создать контекст клиентских приложений.
4666Приложения, попытка выполнить операцию:
4667Контекст клиента приложения был удален.
4668Приложения был инициализирован.

Подкатегории: Службы сертификации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4868Менеджер сертификатов запретил ожидающего запроса сертификата.
4869Службы сертификатов получили запрос сертификата повторно отправлено.
4870Службы сертификации отозвали сертификат.
4871Службы сертификатов получили запрос для публикации списка отзыва сертификатов (CRL).
4872Службы сертификации публикации списка отзыва сертификатов (CRL).
4873Изменить расширение запроса сертификата.
4874Изменить один или несколько атрибутов запроса сертификата.
4875Службы сертификатов получили запрос на завершение работы.
4876Начата архивация служб сертификатов.
4877Завершена архивация служб сертификатов.
4878Начато восстановление служб сертификатов.
4879Завершено восстановление служб сертификатов.
4880Запустить службы сертификации.
4881Остановить службы сертификации.
4882Изменение разрешений безопасности для служб сертификации.
4883Службы сертификации получить архивированного ключа.
4884Службы сертификации импортировать сертификат в базу данных.
4885Изменить фильтр аудита для служб сертификации.
4886Службы сертификатов получили запрос сертификата.
4887Службы сертификации запроса на сертификат одобрен и выдан сертификат.
4888Службы сертификации отклонили запрос сертификата.
4889Службы сертификации установить статус запроса сертификата на ожидание.
4890Изменить параметры диспетчера сертификатов для служб сертификации.
4891Запись конфигурации из состава служб сертификации.
4892Изменение свойства служб сертификации.
4893Службы сертификации архивации ключа.
4894Службы сертификации импорта и архивировать ключ.
4895Службы сертификации сертификат ЦС опубликованы в доменных службах Active Directory.
4896Одна или несколько строк были удалены из базы данных сертификатов.
4897Разделение ролей включено:
4898Службы сертификации загрузить шаблон.
4899Шаблон службы сертификации был обновлен.
4900Защита шаблонов сертификатов служб была обновлена.
5120Служба респондента OCSP запущена.
5121Служба респондента OCSP остановлена.
5122Запись конфигурации в службе сетевого ответчика OCSP.
5123Запись конфигурации в службе сетевого ответчика OCSP.
5124Параметр безопасности были обновлены для службы сетевого ответчика OCSP.
5125Служба респондента OCSP передан запрос.
5126Сертификат подписи автоматически обновляется в службе сетевого ответчика OCSP.
5127Поставщик отзыва OCSP успешно обновлены сведения об отзыве.

Подкатегория: Подробные общей папки

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5145 Объект сетевого общего ресурса проверялся, чтобы узнать, может ли клиенту быть предоставлен доступ.

Подкатегория: Файловый ресурс общего доступа

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5140Получен объект сетевого общего ресурса.
5142Добавлен объект сетевого общего ресурса.
5143Измененный объект сетевого общего ресурса.
5144Удален объект сетевого общего ресурса.
5168Сбой при проверке имени участника-службы для SMB/SMB2.

Подкатегория: Файловая система

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4664Предпринята попытка создать жесткую связь.
4985Изменилось состояние транзакции.
5051Файл был виртуальным.

Подкатегория: Подключение платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5031Служба брандмауэра Windows заблокировала приложения от приема входящих подключений по сети.
5148Платформа фильтрации Windows обнаружила атаки DoS и защитного режима; пакеты, связанные с этой атаки, будут отменены.
5149Атаки DoS subsided и возобновления нормальной обработки.
5150Платформа фильтрации Windows заблокировал пакет.
5151Более строгий фильтр платформы фильтрации Windows заблокировал пакет.
5154Платформа фильтрации Windows разрешает приложением или службой для прослушивания порта для входящих подключений.
5155Платформа фильтрации Windows блокирует приложение или служба прослушивает порт для входящих подключений.
5156Платформа фильтрации Windows разрешает подключение.
5157Платформа фильтрации Windows блокирует подключение.
5158Платформа фильтрации Windows разрешает привязку к локальному порту.
5159Платформа фильтрации Windows заблокировал привязки к локальному порту.

Подкатегория: Отбрасывание пакета платформой фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5152 Платформа фильтрации Windows заблокировал пакет.
5153 Более строгий фильтр платформы фильтрации Windows заблокировал пакет.

Подкатегория: Дескриптор манипуляции

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4656Дескриптор объекта был запрошен.
4658Дескриптор объекта закрыт.
4690Предпринята попытка дублирование дескриптора объекта.

Подкатегория: Другие события доступа к объектам

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4671Приложение обратилось к заблокированных порядковый номер через TBS.
4691Запрошен косвенный доступ к объекту.
4698Запланированная задача была создана.
4699Запланированная задача удалена.
4700Запланированная задача была включена.
4701Запланированная задача была отключена.
4702Запланированная задача была обновлена.
4702Запланированная задача была обновлена.
5888Измененный объект в каталоге COM +.
5889Объект был удален из каталога COM +.
5890Объект был добавлен в каталог COM +.

Подкатегория: реестр

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4657 Значение реестра было изменено.
5039 Раздел реестра был виртуальным.

Подкатегория: специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы. Доступ к объекту: объект ядра и доступ к объекту: SAM подкатегорий являются примерами подкатегорий, которые монопольное использование этих событий.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4659Дескриптор объекта была запрошена с таким расчетом, чтобы удалить.
4660Объект был удален.
4661Дескриптор объекта был запрошен.
4663Предпринята попытка получить доступ к объекту.

Категория: Изменение политики

Подкатегории: Изменение политики аудита

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4715Изменена политика аудита (SACL) для объекта.
4719Изменена политика аудита системы.
4817Были изменены параметры аудита для объекта.
4902Была создана таблица политики аудита отдельного пользователя.
4904Предпринята попытка зарегистрировать источник событий безопасности.
4905Предпринята попытка удалить регистрацию источника событий безопасности.
4906Значение CrashOnAuditFail изменилось.
4907Были изменены параметры аудита для объекта.
4908Изменение специальной таблицы группы входа в систему.
4912Согласно политике аудита пользователя был изменен.

Подкатегории: Изменение политики проверки подлинности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4706Создания нового доверия к домену.
4707Доверие к домену был удален.
4713Изменена политика Kerberos.
4716Были изменены сведения доверенного домена.
4717Учетной записи предоставлен доступ к системе безопасности.
4718Доступ к системе безопасности был удален из учетной записи.
4739Изменена политика домена.
4864Обнаружен конфликт имен.
4865Добавлена запись информацию доверия леса.
4866Запись сведений доверенного леса был удален.
4867Запись сведений доверенного леса была изменена.

Подкатегории: Изменение политики авторизации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4704Назначено право пользователя.
4705Право пользователя была удалена.
4714Агент восстановления данных групповой политики для шифрованной файловой системы (EFS) была изменена. Изменения были применены.

Подкатегории: Изменение политики платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4709Запущена служба агента политики IPsec.
4710Служба агента политики IPsec была отключена.
4711Может содержать один из следующих:
  • Модуль PAStore Engine применил политику IPsec из хранилища Active Directory локально кэшированную копию на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить локально кэшированную копию политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере.
  • Модулю PAStore Engine не удалось загрузить каталог хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил каталог хранилища политики IPsec на компьютере.
  • Модулю PAStore Engine не удалось загрузить локального хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил политику IPsec на компьютере локального хранилища.
  • Модуль PAStore Engine обратился за изменениями действующей политики IPsec и не обнаружил таковых.
4712Агент политики IPsec обнаружил потенциально опасный сбой.
5040Изменения в параметры настройки IPsec. Добавлен набор данных проверки подлинности.
5041Изменения в параметры настройки IPsec. Параметры проверки подлинности был изменен.
5042Изменения в параметры настройки IPsec. Параметры проверки подлинности был удален.
5043Изменения в параметры настройки IPsec. Добавлено правило безопасности подключения.
5044Изменения в параметры настройки IPsec. Правило безопасности подключения был изменен.
5045Изменения в параметры настройки IPsec. Правило безопасности подключения был удален.
5046Изменения в параметры настройки IPsec. Набор шифрования добавлена.
5047Изменения в параметры настройки IPsec. Набор шифрования был изменен.
5048Изменения в параметры настройки IPsec. Набор шифрования был удален.
5440Следующие выноски присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5441Следующий фильтр присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5442Следующий поставщик присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5443Следующий контекст поставщика присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5444Следующий вложенный слой присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5446Выноска платформы фильтрации Windows была изменена.
5448Поставщик платформы фильтрации Windows была изменена.
5449Контекст поставщика платформы фильтрации Windows была изменена.
5450Вложенный слой платформы фильтрации Windows была изменена.
5456Модуль PAStore Engine применил политику IPsec из хранилища службы каталогов Active Directory на компьютере.
5457Не удалось применить политику IPsec из хранилища службы каталогов Active Directory на компьютере агента политики IPsec.
5458Агент политики IPsec применяются локально кэшированная копия Active Directory хранилища политики IPsec на компьютере.
5459Не удалось применить локально кэшированную копию политику IPsec из хранилища службы каталогов Active Directory на компьютере агента политики IPsec.
5460Агент политики IPsec применить политику IPsec из хранилища локального реестра на компьютере.
5461Не удалось применить политику IPsec из хранилища локального реестра на компьютере агента политики IPsec.
5462Не удалось применить некоторые правила активная политика IPsec на компьютере агента политики IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».
5463Агент политики IPsec обратился за изменениями действующей политики IPsec и не обнаружил таковых.
5464Агент политики IPsec обратился за изменениями действующей политики IPsec, обнаружил изменения и их применения.
5465Агент политики IPsec получил управление для принудительной перезагрузки политики IPsec и успешно.
5466Агент политики IPsec обратился за изменениями политики IPsec, определено, что не удается связаться с Active Directory и вместо этого использовать кэшированную копию политики IPsec. Изменения, внесенные с момента последнего опроса не применяются политики IPsec.
5467Агент политики IPsec обратился за изменениями политики IPsec, определяется Active Directory можно связаться и найдено никаких изменений в политику. Кэшированная копия политики IPsec больше не используется.
5468Изменения в Active Directory политики агент политики IPsec определил, что Active Directory могут быть достигнуты, найдены изменения в политику и применить эти изменения. Кэшированная копия политики IPsec больше не используется.
5471Агент политики IPsec загружается локального хранилища политики IPsec на компьютере.
5472Не удалось загрузить локального хранилища политики IPsec на компьютере агента политики IPsec.
5473Агент политики IPsec загрузить каталог хранилища политики IPsec на компьютере.
5474Не удалось загрузить каталог хранилища политики IPsec на компьютере агента политики IPsec.
5477Агент политики IPsec не удалось добавить фильтр быстрого режима.

Подкатегории: Изменение политики на уровне правил MPSSVC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4944Следующая политика была активна при запуске брандмауэра Windows.
4945Правила были перечислены при запуске брандмауэра Windows.
4946Изменение было внесено в список исключений брандмауэра Windows. Правило было добавлено.
4947Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено.
4948Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено.
4949Параметры брандмауэра Windows восстановлены значения по умолчанию.
4950Настройка брандмауэра Windows была изменена.
4951Брандмауэр Windows обрабатывается правило, поскольку его основной номер версии не распознаются.
4952Брандмауэр Windows обрабатывается части правила, поскольку его дополнительный номер версии не распознаются. Будут использоваться другие части правила.
4953Брандмауэр Windows обрабатывается правило, поскольку не удалось выполнить разбор.
4954Были изменены параметры групповой политики для брандмауэра Windows, и были применены новые параметры.
4956Брандмауэр Windows в режиме изменения активного профиля.
4957Брандмауэр Windows не применяет следующие правила:
4958Поскольку правило ссылаются элементы не настроено на этом компьютере брандмауэр Windows не применяет следующие правила:
5050При попытке программно отключить брандмауэр Windows, с помощью вызова интерфейса INetFwProfile.FirewallEnabled(FALSE) был отклонен, поскольку этот API не поддерживается в данной версии Windows. Это скорее всего из-за программы, которая несовместима с данной версией Windows. Обратитесь к изготовителю программы, чтобы убедиться в том, что версия совместимая программа.

Подкатегория: Другие события изменения политики

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4909Параметры локальной политики для TBS были изменены.
4910Параметры групповой политики для TBS были изменены.
5063Сделана попытка выполнить операцию поставщика служб шифрования.
5064Сделана попытка выполнить операцию контекст криптографии.
5065Предпринята попытка изменения контекст криптографии.
5066Сделана попытка выполнить операцию криптографические функции.
5067Предпринята попытка изменения функции шифрования.
5068Сделана попытка выполнить операцию поставщика криптографической функции.
5069Сделана попытка выполнить операцию свойство функции шифрования.
5070Предпринята попытка изменения свойства функции шифрования.
5447Фильтр платформы фильтрации Windows был изменен.
6144Политика безопасности в объектах групповой политики успешно применена.
6145Произошла одна или несколько ошибок во время обработки политики безопасности в объекты групповой политики.

Подкатегория: специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4670 Были изменены разрешения для объекта.

Категория: Использование прав

Подкатегория: Использование с учетом прав и использования привилегий не конфиденциальные

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4672Присвоение специальных прав для нового сеанса входа.
4673Привилегированная служба была вызвана.
4674Попытка выполнить операцию с привилегированным объектом.

Категория: системы

Подкатегории: Драйвер IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4960IPsec удалил входящих пакетов, не прошедших проверку целостности. Если неполадки продолжают возникать, это показывает, что проблемы сети или пакеты, которые изменяются в пути к этому компьютеру. Проверьте такие же, как этот компьютер получает пакеты, отправленные с удаленного компьютера. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec.
4961IPsec удалил входящих пакетов, не прошедших проверку воспроизведения. Если неполадки продолжают возникать, он может означать атаки воспроизведения этого компьютера.
4962IPsec удалил входящих пакетов, не прошедших проверку воспроизведения. Входящий пакет было слишком мало порядкового номера убедитесь, что он не воспроизведение.
4963IPsec удалил пакет входящих открытым текстом, который должен был быть зашифрован. Если удаленный компьютер настроен в политике запроса исходящего трафика IPsec, это может быть благоприятным и ожидаемым. Это может также быть вызвано удаленного компьютера, изменение ее политику IPsec без уведомления этого компьютера. Это может быть подделки попытки атаки.
4965IPsec получила пакет с неправильным параметр индекса безопасности (SPI) на удаленном компьютере. Обычно это вызвано сбоями оборудования, разрушает пакетов. Если ошибки продолжают возникать, убедитесь, что пакеты, отправленные с удаленного компьютера совпадают получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec. В этом случае если соединение не задержек, затем эти события можно игнорировать.
5478Запущена служба агента политики IPsec.
5479Службы IPsec завершена успешно. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или представлять потенциальную угрозу безопасности компьютера.
5480Не удалось получить полный список сетевых интерфейсов на компьютере агента политики IPsec. Это создает угрозу безопасности, так как некоторые интерфейсы сети могут не получить защита, обеспечиваемая фильтры IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».
5483Служба агента политики IPsec не удалось инициализировать RPC-сервер. Не удалось запустить службу.
5484Служба агента политики IPsec, произошел критический сбой и был закрыт. Завершение работы этой службы может подвергнуть компьютер риску сетевой атаки или представлять потенциальную угрозу безопасности компьютера.
5485Агент политики IPsec не удалось обработать некоторые из фильтров IPsec на событии plug-and-play для сетевых интерфейсов. Это создает угрозу безопасности, так как некоторые интерфейсы сети могут не получить защита, обеспечиваемая фильтры IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».

Подкатегория: Другие события системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5024Служба брандмауэра Windows запущена успешно.
5025Служба брандмауэра Windows остановлена.
5027Служба брандмауэра Windows не удалось получить политику безопасности из локального хранилища. Брандмауэр Windows будет продолжать использовать текущую политику.
5028Брандмауэр Windows не удалось обработать новую политику безопасности. Брандмауэр Windows будет продолжать использовать текущую политику.
5029Служба брандмауэра Windows не удалось инициализировать драйвер. Брандмауэр Windows будет продолжать использовать текущую политику.
5030Не удалось запустить службу брандмауэра Windows.
5032Брандмауэр Windows не удалось уведомить пользователя, что он заблокирован приложения принимать входящие подключения по сети.
5033Драйвер брандмауэра Windows запущен успешно.
5034Драйвер брандмауэра Windows остановлен.
5035Драйвер брандмауэра Windows не удалось запустить.
5037Драйвер брандмауэра Windows обнаружил критическую ошибку выполнения, завершает работу.
5058Операция файла ключа.
5059Операции ключа миграции.
6400BranchCache: Получен отклик в неправильном формате во время исследования доступности содержимого.
6401BranchCache: Получил недопустимые данные от однорангового узла. Данные удаляются.
6403BranchCache: Размещенного кэша отправляются неправильно отформатированный отклик клиенту.
6404BranchCache: Размещенного кэша может не пройти проверку подлинности с использованием предоставленного сертификата SSL.
6405BranchCache: %2 экземпляры события с кодом %1 произошла.
6406%1 зарегистрирован для брандмауэра Windows для фильтрации для следующих элементов управления: %2
64071%

Подкатегория: Изменение состояния безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4608Запуск Windows.
4616Изменено системное время.
4621Администратор системы восстановить из CrashOnAuditFail. Пользователи, не являющиеся администраторами, теперь будет разрешен вход. Возможно, некоторые доступные для наблюдения действия не были записаны.

Подкатегория: Расширение системы безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4610Пакет проверки подлинности загружен локальным администратором безопасности.
4611Процесс входа в систему надежных было зарегистрировано с локальным администратором безопасности.
4614Пакет уведомлений загружен диспетчером учетных записей безопасности.
4622Пакет безопасности загружен локальным администратором безопасности.
4697Служба была установлена в системе.

Подкатегории: Целостность системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4612Внутренние ресурсы, выделенные для очереди сообщений аудита исчерпаны, возможна потеря некоторых результатов аудита.
4615Недопустимое использование порт LPC.
4618Шаблон безопасности наблюдаемых событий произошло.
4816RPC обнаружила нарушения целостности при расшифровке входящего сообщения.
5038Целостность кода определяется образ хэш файла не является допустимым. Файл может быть поврежден из-за несанкционированного изменения или недопустимый хэш-код может указывать на потенциальные ошибки устройства.
5056Криптографические самопроверки была выполнена.
5057Криптографический примитив операция не выполнена.
5060Операция проверки потерпела неудачу.
5061Операция шифрования.
5062Выполнялась в режиме ядра криптографические самопроверки.
6281Целостность кода определяется страница хэши файла изображения не допускается. Файл может быть неправильно подписанный без хеш-коды страницы или поврежден из-за несанкционированных изменений. Недопустимый хэш-кодов может указывать на потенциальные ошибки устройства

Примечания

  • Для получения более подробного списка всех событий аудита и безопасности выполните следующую команду в командной строке с повышенными правами под учетной записью администратора:
    wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true
    В следующем примере показано части выходных данных:
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • Чтобы получить список всех аудит безопасности категорий и подкатегорий, выполните следующую команду в командной строке с повышенными правами администратора:
    auditpol /list /subcategory:*

Ссылки

Дополнительные сведения о средстве Wevtutil посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Дополнительные сведения о средстве Auditpol посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
Дополнительные сведения о дополнительной безопасности параметры политики аудита в Windows 7 и Windows Server 2008 R2 посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/dd772712 (WS.10).aspx
Дополнительные сведения об аудите безопасности в Windows Vista и Windows Server 2008 щелкните следующий номер статьи базы знаний Майкрософт:
947226 Описание событий системы безопасности в Windows Vista и Windows Server 2008

Свойства

Код статьи: 977519 - Последний отзыв: 3 марта 2014 г. - Revision: 9.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Корпоративная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Service Pack 1
Ключевые слова: 
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 977519

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com