Описание событий безопасности в Windows 7 и Windows Server 2008 R2

Код статьи: 977519 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

ВВЕДЕНИЕ

Данная статья содержит различные события безопасности и аудита безопасности, в Windows 7 и Windows Server 2008 R2. Статья также содержит сведения о том, как интерпретировать эти события. Все эти события в журнале безопасности и регистрируются с источником аудита безопасности. В этой статье также описывается, как получить более описательные данные об отдельных событиях.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

В этом разделе перечислены все Windows 7 и Windows Server 2008 R2 безопасности аудита события, связанные с путем категории и подкатегории.

Категория: Учетной записи входа

Подкатегория: Проверка учетных данных

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4774Было сопоставлено учетной записи для входа в систему.
4775Не удалось сопоставить учетную запись для входа в систему.
4776Попытка проверить учетные данные для учетной записи компьютера.
4777Не удалось проверить учетные данные для учетной записи контроллера домена.

Подкатегории: Служба проверки подлинности Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4768Запрошен билет проверки подлинности Kerberos (TGT).
4771Ошибка предварительной проверки подлинности Kerberos.
4772Ошибка запроса билета проверки подлинности Kerberos.

Подкатегории: Операции билета службы Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4769Билет службы Kerberos был запрошен.
4770Билет службы Kerberos был обновлен.
4773Не удалось выполнить запрос билета службы Kerberos.

Категория: Управление учетными записями

Подкатегории: Управление группой приложений

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4783Основная группа приложения был создан.
4784Основная группа приложения был изменен.
4785Член добавлен к основной группе приложения.
4786Член удален из группы основных приложений.
4787Не член добавлен к основной группе приложения.
4788Не член удален из группы основных приложений.
4789Основная группа приложения был удален.
4790Группы запросов LDAP был создан.
4791Основная группа приложения был изменен.
4792 УтилитаГруппы запросов LDAP, была удалена.

Подкатегории: Управление учетной записью компьютера

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4741Создана учетная запись компьютера.
4742Изменена учетная запись компьютера.
4743Удалена учетная запись компьютера.

Подкатегории: Управление группой распространения

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4744Создана локальная группа с отключенной проверкой безопасности.
4745Изменена локальная группа с отключенной проверкой безопасности.
4746Член добавлен в локальную группу с отключенной проверкой безопасности.
4747Член удален из локальной группы с отключенной проверкой безопасности.
4748Удалена локальная группа с отключенной проверкой безопасности.
4749Создана глобальная группа с отключенной проверкой безопасности.
4750Изменена глобальная группа с отключенной проверкой безопасности.
4751Член добавлен к глобальной группы с отключенной проверкой безопасности.
4752Член удален из глобальной группы с отключенной проверкой безопасности.
4753Удалена глобальная группа с отключенной проверкой безопасности.
4759Создана универсальная группа с отключенной проверкой безопасности.
4760Изменена универсальная группа с отключенной проверкой безопасности.
4761Член добавлен к универсальной группы с отключенной проверкой безопасности.
4762Член удален из универсальной группы с отключенной проверкой безопасности.

Подкатегория: Другие события управления учетными записями

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4782Получен хэш пароля учетной записи.
4793Недопустимый вызов API проверки политики пароля.

Подкатегории: Управление группой безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4727Создана глобальная группа с включенной безопасностью.
4728Член добавлен к глобальной группы с включенной безопасностью.
4729Член удален из глобальной группы с включенной безопасностью.
4730Удалена глобальная группа с включенной безопасностью.
4731Создана локальная группа с включенной безопасностью.
4732Член добавлен к локальной группы с включенной безопасностью.
4733Член удален из локальной группы с включенной безопасностью.
4734Удалена локальная группа с включенной безопасностью.
4735Изменена локальная группа с включенной безопасностью.
4737Изменена глобальная группа с включенной безопасностью.
4754Создана универсальная группа с проверкой безопасности.
4755Изменена универсальная группа с проверкой безопасности.
4756Член добавлен к универсальной группы с включенной безопасностью.
4757Член удален из универсальной группы с включенной безопасностью.
4758Удалена универсальная группа с проверкой безопасности.
4764Изменен тип группы.

Подкатегории: Управление учетными записями пользователей

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4720Учетная запись пользователя была создана.
4722Учетная запись пользователя была включена.
4723Предпринята попытка изменить пароль учетной записи.
4724Предпринята попытка сбросить пароль пользователя.
4725Учетная запись пользователя была отключена.
4726Учетная запись пользователя была удалена.
4738Изменена учетная запись пользователя.
4740Учетная запись пользователя заблокирована.
4765Журнал SID был добавлен к учетной записи.
4766Ошибка при попытке добавления журнала SID для учетной записи.
4767Учетная запись пользователя была разблокирована.
4780Список управления Доступом был установлен на учетные записи, которые являются членами группы Администраторы.
4781Было изменено имя учетной записи:
4794Предпринята попытка задать режим восстановления служб каталогов.
5376Диспетчер учетных данных учетные данные были заархивированы.
5377Диспетчер учетных данных учетные данные были восстановлены из резервной копии.

Категория: Подробное отслеживание

Подкатегории: Активность DPAPI

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4692Попытка выполнить резервное копирование главного ключа защиты данных.
4693Предпринята попытка восстановления основной ключ защиты данных.
4694Предпринята попытка защиты проверяемых защищенных данных.
4695Предпринята попытка unprotection проверяемых защищенных данных.

Подкатегории: Создание процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4688Был создан новый процесс.
4696Основной маркер был назначен для обработки.

Подкатегории: Завершение процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4689Процесс завершен.

Подкатегории: События RPC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5712 Попытка выполнения удаленного вызова процедур (RPC).

Категория: Доступ к службе Каталогов

Подкатегория: Подробная репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4928Было установлено Active Directory реплики исходного контекста именования.
4929Active Directory реплики исходного контекста именования был удален.
4930Изменения службы каталогов Active Directory реплики исходного контекста именования.
4931Изменения службы каталогов Active Directory реплики назначения контекста именования.
4934Атрибуты объекта Active Directory были реплицированы.
4935Начинается сбой репликации.
4936Сбой репликации заканчивается.
4937Устаревшие объект был удален из реплики.

Подкатегория: Доступ к службе каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4662 Операция была выполнена для объекта.

Подкатегории: Изменения в службе каталога

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5136Измененный объект службы каталогов.
5137Был создан объект службы каталогов.
5138Объект службы каталогов был возращен после удаления.
5139Объект службы каталогов была перемещена.
5141 Объект службы каталогов была удалена.

Подкатегория: Репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4932Начала синхронизации реплики контекста именования Active Directory.
4933Синхронизация реплики контекста именования Active Directory завершен.

Категория: Вход/выход

Подкатегории: Расширенный режим IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4978Во время согласования расширенного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
4979Основного режима IPsec и сопоставления безопасности расширенного режима были установлены.
4980Основного режима IPsec и сопоставления безопасности расширенного режима были установлены.
4981Основного режима IPsec и сопоставления безопасности расширенного режима были установлены.
4982Основного режима IPsec и сопоставления безопасности расширенного режима были установлены.
4983IPsec расширенная ошибка согласования режима. Соответствующее сопоставление безопасности основного режима был удален.
4984IPsec расширенная ошибка согласования режима. Соответствующее сопоставление безопасности основного режима был удален.

Подкатегория: IPsec основного режима

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4646Запущен режим DoS Предотвращение IKE.
4650Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат проверки подлинности не используется.
4651Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат был использован для проверки подлинности.
4652Ошибка при согласовании основного режима IPsec.
4653Ошибка при согласовании основного режима IPsec.
4655Сопоставление безопасности основного режима IPsec завершена.
4976Во время согласования основного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5049Сопоставление безопасности IPsec была удалена.
5453Агент политики IPsec применить политику IPsec из хранилища Active Directory на компьютере.

Подкатегория: Режим быстрого IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4654Сбой согласования быстрого режима IPsec.
4977Во время согласования быстрого режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5451Было установлено сопоставление безопасности быстрого режима IPsec.
5452Завершено сопоставление безопасности быстрого режима IPsec.

Подкатегория: выход из системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4634 Учетной записью выполнен выход.
4647 Пользователь инициировал выхода из системы.

Подкатегория: вход в систему

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4624Учетная запись успешно вошел.
4625Не удалось войти в систему с такой учетной записью.
4648Попытка входа в систему, используя явные учетные данные.
4675ИД безопасности были отфильтрованы.

Подкатегории: Сервер политики сети

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
6272Сервер политики сети пользователю предоставлен доступ.
6273Сервер политики сети запрещен доступ пользователю.
6274Сервер политики сети отменены запроса от пользователя.
6275Сервер политики сети Отклонено запросов учета для пользователя.
6276Сервер политики сети на карантин пользователя.
6277Сервер политики сети доступ пользователю, но поместить его на испытании, так как узел не отвечал всем требованиям политики работоспособности, установленным.
6278Сервер политики сети предоставляется полный доступ для пользователя, поскольку узел политики работоспособности, установленным.
6279Сервера сетевой политики блокировки учетной записи пользователя из-за повторяющихся неудачных попыток проверки подлинности.
6280Сервер политики сети разблокировать учетную запись пользователя.

Подкатегория: Другие события входа и выхода

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4649Обнаружен атаки с повторением пакетов.
4778Сеанс был подключен к рабочей станции.
4779Сеанс был отключен с рабочей станции.
4800Рабочая станция была заблокирована.
4801Рабочая станция была разблокирована.
4802Заставка был вызван.
4803Закрытия экранной заставки.
5378Запрошенные учетные данные делегирование запрещено политикой.
5632Был сделан запрос для проверки подлинности в беспроводной сети.
5633Был сделан запрос для проверки подлинности к проводной сети.

Подкатегория: Специальный вход

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4964 Специальные группы были назначены для нового сеанса входа.

Категория: Доступ к объекту

Подкатегории: Создано приложением

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4665Предпринята попытка создать контекст клиентских приложений.
4666Приложение попытка выполнить операцию:
4667Контекст клиента приложения была удалена.
4668Приложения был инициализирован.

Подкатегории: Службы сертификации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4868Менеджер сертификатов запретил ожидающего запроса сертификата.
4869Службы сертификатов получили запрос сертификата resubmitted.
4870Службы сертификации отозвали сертификат.
4871Службы сертификатов получили запрос для публикации списка отзыва сертификатов (CRL).
4872Службы сертификации публикации списка отзыва сертификатов (CRL).
4873Изменить расширение запроса сертификата.
4874Изменен один или несколько атрибутов запроса сертификата.
4875Службы сертификатов получили запрос на завершение работы.
4876Начато резервное копирование сертификата службы.
4877Завершена архивация служб сертификатов.
4878Начато восстановление служб сертификатов.
4879Завершено восстановление служб сертификатов.
4880Запустить службы сертификации.
4881Остановить службы сертификации.
4882Изменение разрешений безопасности для служб сертификации.
4883Службы сертификации получить архивированного ключа.
4884Службы сертификации импортировать сертификат в базу данных.
4885Изменить фильтр аудита для служб сертификации.
4886Службы сертификатов получили запрос сертификата.
4887Службы сертификации запроса на сертификат одобрен и выдан сертификат.
4888Службы сертификации отклонили запрос сертификата.
4889Службы сертификации установить состояние запроса на сертификат на ожидание.
4890Изменить параметры диспетчера сертификатов для служб сертификации.
4891Запись конфигурации из состава служб сертификации.
4892Изменение свойства служб сертификации.
4893Службы сертификации архивации ключа.
4894Службы сертификации импортируется и архивировать ключ.
4895Службы сертификации опубликован сертификат ЦС для доменных служб Active Directory.
4896Одна или несколько строк были удалены из базы данных сертификатов.
4897Разделение ролей включено:
4898Службы сертификации загрузить шаблон.
4899Шаблон службы сертификации был обновлен.
4900Шаблон безопасности для служб сертификации был обновлен.
5120Запустить службу сетевого ответчика OCSP.
5121Служба сетевого ответчика OCSP остановлена.
5122Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5123Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5124Параметр безопасности были обновлены для службы сетевого ответчика OCSP.
5125Чтобы служба сетевого ответчика OCSP передан запрос.
5126Сертификат подписи автоматически обновляется, служба сетевого ответчика OCSP.
5127Поставщик отзыва OCSP успешно обновлены сведения об отзыве.

Подкатегория: Подробные общей папки

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5145 Объект сетевого общего ресурса проверялась на ли клиент необходимости доступа могут быть предоставлены.

Подкатегория: Файловый ресурс общего доступа

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5140Обращения к объекту общего ресурса сети.
5142Добавлен объект сетевого общего ресурса.
5143Измененный объект сетевого общего ресурса.
5144Сетевой общий ресурс объект был удален.
5168Сбой при проверке имени участника-службы для SMB/SMB2.

Подкатегория: Файловая система

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4664Предпринята попытка создать жесткую связь.
4985Изменилось состояние транзакции.
5051Файл был виртуальным.

Подкатегория: Подключение платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5031Служба брандмауэра Windows заблокировал приложения принимать входящие подключения по сети.
5148Платформа фильтрации Windows обнаружила атаки DoS и защитного режима; пакеты, связанные с этой атаки, будут потеряны.
5149Атаки DoS subsided и возобновления нормальной обработки.
5150Платформа фильтрации Windows блокирует пакет.
5151Более строгий фильтр платформы фильтрации Windows заблокировал пакет.
5154Платформа фильтрации Windows разрешает приложением или службой для прослушивания порта для входящих подключений.
5155Платформа фильтрации Windows блокирует приложение или служба прослушивать порт для входящих подключений.
5156Платформа фильтрации Windows разрешает подключение.
5157Платформа фильтрации Windows блокирует подключение.
5158Платформа фильтрации Windows разрешает привязку к локальному порту.
5159Платформа фильтрации Windows блокирует привязка к локальному порту.

Подкатегория: Отбрасывание пакета платформой фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5152 Платформа фильтрации Windows блокирует пакет.
5153 Более строгий фильтр платформы фильтрации Windows заблокировал пакет.

Подкатегория: Дескриптор манипуляции

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4656Дескриптор объекта был запрошен.
4658Дескриптор объекта закрыт.
4690Предпринята попытка дублирование дескриптора объекта.

Подкатегория: Другие события доступа к объектам

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4671Приложение обратилось к заблокированных порядковый номер через TBS.
4691Косвенный доступ к объекту было запрошено.
4698Запланированное задание было создано.
4699Запланированная задача удалена.
4700Запланированная задача была включена.
4701Запланированная задача была отключена.
4702Запланированная задача была обновлена.
4702Запланированная задача была обновлена.
5888Изменения объекта в каталоге COM +.
5889Объект был удален из каталога COM +.
5890Объект был добавлен в каталог COM +.

Подкатегория: реестра

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4657 Значение реестра было изменено.
5039 Раздел реестра был виртуальным.

Подкатегория: специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы. Доступ к объекту: объект ядра и доступа к объектам: SAM подкатегорий являются примерами подкатегорий, которые исключительно с помощью этих событий.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4659Дескриптор объекта была запрошена с таким расчетом, чтобы удалить.
4660Объект был удален.
4661Дескриптор объекта был запрошен.
4663Предпринята попытка получить доступ к объекту.

Категория: Изменение политики

Подкатегории: Изменение политики аудита

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4715Изменена политика аудита (SACL) объекта.
4719Изменена политика аудита системы.
4817Были изменены параметры аудита для объекта.
4902Была создана таблица политики аудита отдельного пользователя.
4904Предпринята попытка зарегистрировать источник событий безопасности.
4905Предпринята попытка удалить регистрацию источника событий безопасности.
4906Значение CrashOnAuditFail изменилось.
4907Были изменены параметры аудита для объекта.
4908Изменения специальной таблицы группы входа в систему.
4912Изменения в политике аудита.

Подкатегории: Изменение политики проверки подлинности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4706Новое доверие было создано в домен.
4707Доверие к домену был удален.
4713 гИзменена политика Kerberos.
4716Сведения о доверенном домене была изменена.
4717Учетной записи предоставлен доступ к системе безопасности.
4718Доступ к системе безопасности был удален из учетной записи.
4739Изменена политика домена.
4864Обнаружен конфликт имен.
4865Была добавлена запись сведений доверенного леса.
4866Запись сведений доверенного леса была удалена.
4867Запись сведений доверенного леса была изменена.

Подкатегории: Изменение политики авторизации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4704Назначено право пользователя.
4705Права пользователя была удалена.
4714Агент восстановления данных групповой политики для шифрованной файловой системы (EFS) был изменен. Новые изменения будут применены.

Подкатегории: Изменение политики платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4709Запущена служба агента политики IPsec.
4710Служба агента политики IPsec была отключена.
4711Может содержать один из следующих:
  • Модуль PAStore Engine применил локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере.
  • Модулю PAStore Engine не удалось загрузить каталог хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил политику IPsec на компьютере хранилища каталога.
  • Модулю PAStore Engine не удалось загрузить политику IPsec на компьютере локального хранилища.
  • Модуль PAStore Engine загрузил локального хранилища политики IPsec на компьютере.
  • Модулю PAStore Engine обратился за изменениями действующей политики IPsec и обнаружил никаких изменений.
4712Агент политики IPsec обнаружил потенциально опасный сбой.
5040Изменения в параметры настройки IPsec. Параметры проверки подлинности был добавлен.
5041Изменения в параметры настройки IPsec. Параметры проверки подлинности был изменен.
5042Изменения в параметры настройки IPsec. Параметры проверки подлинности был удален.
5043Изменения в параметры настройки IPsec. Добавлено правило безопасности подключения.
5044Изменения в параметры настройки IPsec. Изменения правила безопасности подключения.
5045Изменения в параметры настройки IPsec. Правило безопасности подключения был удален.
5046Изменения в параметры настройки IPsec. Добавлен набор шифрования.
5047Изменения в параметры настройки IPsec. Набор шифрования был изменен.
5048Изменения в параметры настройки IPsec. Набор шифрования была удалена.
5440Следующие выноски присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5441Следующий фильтр присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5442Следующая служба присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5443Следующий контекст поставщика присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5444Следующие sub-layer присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5446Выноска платформы фильтрации Windows была изменена.
5448Поставщик платформы фильтрации Windows была изменена.
5449Контекст поставщика платформы фильтрации Windows была изменена.
5450Sub-layer платформы фильтрации Windows была изменена.
5456Модуль PAStore Engine применил политику IPsec из хранилища Active Directory на компьютере.
5457Не удалось применить политику IPsec из хранилища Active Directory на компьютере агента политики IPsec.
5458Агент политики IPsec применяются локально кэшированной копии Active Directory хранилища политики IPsec на компьютере.
5459Не удалось применить локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере агента политики IPsec.
5460Агент политики IPsec применить политику IPsec из хранилища локального реестра на компьютере.
5461Агент политики IPsec не удалось применить политику IPsec из хранилища локального реестра на компьютере.
5462Агент политики IPsec не удалось применить некоторые правила активной политики IPsec на компьютере. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.
5463Агент политики IPsec обратился за изменениями действующей политики IPsec и обнаружил никаких изменений.
5464Агент политики IPsec обратился за изменениями действующей политики IPsec, обнаружены изменения и их применения.
5465Агент политики IPsec получил управление для принудительной перезагрузки политики IPsec и успешно.
5466Агент политики IPsec обратился за политики IPsec, обнаружено, что не удается связаться с Active Directory и вместо него будет использовать кэшированную копию политики IPsec. Любые изменения политики IPsec с момента последнего опроса не может быть применена.
5467Агент политики IPsec обратился за политики IPsec, обнаружено, что Active Directory может быть достигнуто и найти никаких изменений в политику. Больше не используется кэшированная копия политики IPsec.
5468Агент политики IPsec, изменения политики IPsec обнаружено, что Active Directory могут быть достигнуты, найдены изменения в политику и применить эти изменения. Больше не используется кэшированная копия политики IPsec.
5471Агент политики IPsec загружается локального хранилища политики IPsec на компьютере.
5472Агент политики IPsec не удалось загрузить политику IPsec на компьютере локального хранилища.
5473Агент политики IPsec загрузить каталог хранилища политики IPsec на компьютере.
5474Не удалось загрузить каталог хранилища политики IPsec на компьютере агента политики IPsec.
5477Агент политики IPsec не удалось добавить фильтр быстрого режима.

Подкатегории: Изменение политики уровне правил MPSSVC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4944Следующая политика была активна при запуске брандмауэра Windows.
4945Правила были перечислены при запуске брандмауэра Windows.
4946Изменение было внесено в список исключений брандмауэра Windows. Правило было добавлено.
4947Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено.
4948Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено.
4949Параметры брандмауэра Windows восстановлены значения по умолчанию.
4950Настройка брандмауэра Windows была изменена.
4951Брандмауэр Windows обрабатывается правило, поскольку его основной номер версии не распознается.
4952Брандмауэр Windows обрабатывается части правила, поскольку его номер вспомогательной версии не распознаются. Другие части правило будет применяться.
4953Брандмауэр Windows обрабатывается правило, поскольку он не может быть проанализирован.
4954Были изменены параметры групповой политики для брандмауэра Windows, и новые параметры были применены.
4956Брандмауэр Windows в режиме изменения активного профиля.
4957Брандмауэр Windows не применяет следующие правила:
4958Поскольку правило ссылаются элементы не настроено на этом компьютере брандмауэр Windows не применяет следующие правила:
5050При попытке программно отключить брандмауэр Windows с помощью вызова интерфейса INetFwProfile.FirewallEnabled(FALSE) был отклонен, поскольку этот API не поддерживается в данной версии Windows. Это наиболее вероятно из-за программы, которая несовместима с данной версией Windows. Обратитесь к изготовителю программы Чтобы убедиться в том, что у вас есть версия совместимая программа.

Подкатегория: Другие события изменения политики

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4909Параметры локальной политики для TBS были изменены.
4910Параметры групповой политики для TBS были изменены.
5063Сделана попытка выполнить операцию поставщика служб шифрования.
5064Сделана попытка выполнить операцию контекст криптографии.
5065Предпринята попытка изменения контекст криптографии.
5066Сделана попытка выполнить операцию криптографические функции.
5067Предпринята попытка изменения функции шифрования.
5068Сделана попытка выполнить операцию поставщика криптографической функции.
5069Сделана попытка выполнить операцию свойство криптографические функции.
5070Предпринята попытка изменения свойства криптографические функции.
5447Фильтр платформы фильтрации Windows был изменен.
6144Политика безопасности в объектах групповой политики успешно применена.
6145Произошла одна или несколько ошибок при обработке политики безопасности в объекты групповой политики.

Подкатегория: специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4670 Были изменены разрешения на объект.

Категория: Использование прав

Подкатегория: С учетом использования привилегий / прав с учетом использования

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4672Присвоение специальных прав для нового сеанса входа.
4673Привилегированная служба была вызвана.
4674Попытка выполнить операцию с привилегированным объектом.

Категория: системы

Подкатегории: Драйвер IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4960IPsec удалил входящих пакетов, не прошло проверку целостности. Если ошибка повторится, это показывает, что проблемы сети или пакеты, изменяются в пути к этому компьютеру. Убедитесь, что пакеты, отправленные с удаленного компьютера, отличается от получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec.
4961IPsec удалил входящих пакетов, ошибка при повторной проверке. Если неполадка продолжает возникать, он может означать атаки воспроизведения этого компьютера.
4962IPsec удалил входящих пакетов, ошибка при повторной проверке. Входящий пакет было слишком мало порядковый номер чтобы убедиться, что он не был воспроизведение.
4963IPsec удалил пакет входящих открытым текстом, который должен был быть зашифрован. Если удаленный компьютер настроен с помощью запроса исходящего трафика IPsec политики, это может быть благоприятным и ожидаемым. Это может также возникнуть на удаленном компьютере, изменив ее политику IPsec без уведомления этого компьютера. Это может быть также подделки попытки атаки.
4965IPsec получила пакет с удаленного компьютера с неправильный параметр индекса безопасности (SPI). Обычно это вызвано сбоями оборудования, повреждение пакетов. Если эти ошибки продолжают возникать, убедитесь, что пакеты, отправленные с удаленного компьютера, отличается от получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec. В этом случае если подключение не препятствовало, затем эти события можно игнорировать.
5478Запущена служба агента политики IPsec.
5479Службы IPsec успешно завершена. Завершение работы службы IPsec может подвергнуть компьютер риску сетевой атаки или потенциальную угрозу безопасности компьютера.
5480Агент политики IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это создает угрозу безопасности, так как некоторые интерфейсы сети не может получить защита, обеспечиваемая фильтры IPsec. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.
5483Служба агента политики IPsec не удалось инициализировать RPC-сервер. Не удалось запустить службу.
5484Служба агента политики IPsec произошла критическая ошибка и был закрыт. Завершение работы этой службы может подвергнуть компьютер риску сетевой атаки или потенциальную угрозу безопасности компьютера.
5485Агент политики IPsec не удалось обработать некоторые из фильтров IPsec на событии plug-and-play для сетевых интерфейсов. Это создает угрозу безопасности, так как некоторые интерфейсы сети не может получить защита, обеспечиваемая фильтры IPsec. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.

Подкатегория: Другие события системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
5024Служба брандмауэра Windows запущена успешно.
5025Служба брандмауэра Windows остановлена.
5027Служба брандмауэра Windows не удалось получить политику безопасности из локального хранилища. Брандмауэр Windows будет продолжать использовать текущую политику.
5028Брандмауэру Windows не удалось обработать новую политику безопасности. Брандмауэр Windows будет продолжать использовать текущую политику.
5029Служба брандмауэра Windows не удалось инициализировать драйвер. Брандмауэр Windows будет продолжать использовать текущую политику.
5030Не удалось запустить службу брандмауэра Windows.
5032Брандмауэр Windows не удалось уведомить пользователя, что он заблокирован приложения принимать входящие подключения по сети.
5033Драйвер брандмауэра Windows запущена успешно.
5034Драйвер брандмауэра Windows остановлена.
5035Драйвер брандмауэра Windows не удалось запустить.
5037Драйвер брандмауэра Windows обнаружил критическую ошибку выполнения, завершает работу.
5058Операция файл ключа.
5059Операции ключа миграции.
6400BranchCache: Получил неправильно отформатированный отклик во время исследования доступности содержимого.
6401BranchCache: Получил недопустимые данные от однорангового узла. Данные удаляются.
6403BranchCache: Размещенного кэша отправляются неправильно отформатированный отклик клиенту.
6404BranchCache: Размещенного кэша не могут быть проверены с помощью подготовленного SSL-сертификат.
6405BranchCache: %2 экземпляры событие с кодом %1 произошла.
6406%1 зарегистрирован для брандмауэра Windows для фильтрации для следующих элементов управления: %2
64071 %

Подкатегория: Изменение состояния безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4608Запуск Windows.
4616Изменено системное время.
4621Администратор системы восстановлено CrashOnAuditFail. Пользователи, не являющиеся администраторами, теперь будет разрешен вход. Возможно, некоторые проверяемых действий не были записаны.

Подкатегория: Расширение системы безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4610Пакет проверки подлинности загружен с локальным администратором безопасности.
4611Процесс входа в систему надежных зарегистрирован с локальным администратором безопасности.
4614Пакет уведомлений загружен диспетчером учетных записей безопасности.
4622Пакет безопасности загружен с локальным администратором безопасности.
4697Служба была установлена в системе.

Подкатегории: Целостность системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОР Сообщение
4612Внутренние ресурсы, выделенные для очереди сообщений аудита исчерпаны, потеря некоторых результатов аудита.
4615Недопустимое использование порт LPC.
4618Шаблон безопасности наблюдаемых событий произошло.
4816RPC Обнаружено нарушение целостности при расшифровке входящего сообщения.
5038Целостность кода определил, что образ хэш файла не является допустимым. Файл может быть поврежден из-за несанкционированного изменения или недопустимый хэш-код может указывать на потенциальные ошибки устройства.
5056Криптографические самопроверки была выполнена.
5057Не удалось выполнить простые операции шифрования.
5060Операция проверки потерпела неудачу.
5061Криптографической операции.
5062Ядра криптографических самопроверку была выполнена.
6281Целостность кода определяется хэш-коды страницы файл изображения не являются допустимыми. Файл может быть неправильно подписанный без хэш-коды страницы или поврежден из-за несанкционированных изменений. Недопустимый хэш-кодов может указывать на потенциальные ошибки устройства

Примечания

  • Для получения более подробного списка всех событий аудита и безопасности выполните следующую команду в командной строке с повышенными правами под учетной записью администратора:
    /ge /gm:true wevtutil gp Microsoft-Windows--аудит безопасности
    В следующем примере показано части выходных данных:
      event:
    value: 4706
    version: 0
    opcode: 0
    channel: 10
    level: 4
    task: 0
    keywords: 0x8000000000000000
    message: A new trust was created to a domain.

Subject:
	Security ID:		%3
	Account Name:		%4
	Account Domain:		%5
	Logon ID:		%6

Trusted Domain:
	Domain Name:		%1
	Domain ID:		%2

Trust Information:
	Trust Type:		%7
	Trust Direction:		%8
	Trust Attributes:		%9
	SID Filtering:		%10
  • Чтобы получить список всех аудит безопасности категории и подкатегории, выполните следующую команду в командной строке с повышенными правами администратора:
    /subcategory Auditpol/List: *
Перейти к началу страницы | Отправить отзыв

Ссылки

Для получения дополнительных сведений о средстве Wevtutil посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/Windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
(http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
Для получения дополнительных сведений о средстве Auditpol посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/Windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
(http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx)
Дополнительные сведения об улучшенной безопасности параметры политики аудита в Windows 7 и Windows Server 2008 R2 посетите следующий веб-узел корпорации Майкрософт:
.aspx http://TechNet.Microsoft.com/en-us/library/dd772712 (WS.10)
(http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx)
Дополнительные сведения об аудите безопасности в Windows Vista и Windows Server 2008 щелкните следующий номер статьи базы знаний Майкрософт:
947226
(http://support.microsoft.com/kb/947226/ )
Описание событий безопасности в Windows Vista и Windows Server 2008
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 977519 - Последнее изменение :: 16 декабря 2012 г. - Редакция: 8.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Корпоративная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Service Pack 1
Ключевые слова: 
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 977519
(http://support.microsoft.com/kb/977519/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы