在 Windows 7 和 Windows Server 2008 R2 的安全性事件的描述

文章翻譯 文章翻譯
文章編號: 977519 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您各種安全性相關,且相關的稽核事件在 Windows 7 和 Windows Server 2008 R2 中。本文也提供如何解譯這些事件的相關資訊。所有這些事件時,會顯示在安全性記錄檔,而且會記錄 安全性稽核 」 來源。本文也將告訴您,如何擷取有關個別事件更具描述性資料。

其他相關資訊

依類別和子類別,此區段會列出所有 Windows 7 和 Windows Server 2008 R2 安全性相關的稽核事件。

類別: 帳戶登入

子類別: 認證驗證

摺疊此表格展開此表格
識別碼訊息
4774帳戶已對應的登入。
4775無法對應登入的帳戶。
4776電腦嘗試驗證帳戶認證。
4777網域控制站無法驗證帳戶認證。

子類別: Kerberos 驗證服務

摺疊此表格展開此表格
識別碼訊息
4768要求的 Kerberos 驗證票證 (TGT)。
4771Kerberos 預先驗證失敗。
4772Kerberos 驗證票證要求失敗。

子類別: Kerberos 服務票證作業

摺疊此表格展開此表格
識別碼訊息
4769要求 Kerberos 服務票證。
4770Kerberos 服務票證已更新。
4773Kerberos 服務票證要求失敗。

類別: 帳戶管理

子類別: 應用程式群組管理

摺疊此表格展開此表格
識別碼訊息
4783已建立基本的應用程式群組。
4784已變更基本應用程式群組。
4785成員已加入至基本應用程式群組。
4786已將成員從基本的應用程式群組中移除。
4787非成員已加入基本的應用程式群組。
4788非成員已從基本的應用程式群組移除。
4789已刪除基本應用程式群組。
4790已建立 LDAP 查詢群組。
4791已變更基本應用程式群組。
4792LDAP 查詢群組已被刪除。

子類別: 電腦帳戶管理

摺疊此表格展開此表格
識別碼訊息
4741建立電腦帳戶。
4742電腦帳戶已變更。
4743已刪除電腦帳戶。

子類別: 通訊群組管理

摺疊此表格展開此表格
識別碼訊息
4744已建立停用安全性的本機群組。
4745已變更停用安全性的本機群組。
4746成員已加入停用安全性的本機群組。
4747已將成員從停用安全性的本機群組中移除。
4748已刪除停用安全性的本機群組。
4749已建立停用安全性的通用群組。
4750已變更停用安全性的通用群組。
4751成員已加入停用安全性的通用群組。
4752已將成員從停用安全性的通用群組中移除。
4753已刪除停用安全性的通用群組。
4759已建立停用安全性的萬用群組。
4760已變更停用安全性的萬用群組。
4761成員已加入停用安全性的萬用群組。
4762已將成員從停用安全性的萬用群組中移除。

子類別: 其他帳戶管理事件

摺疊此表格展開此表格
識別碼訊息
4782存取密碼雜湊的帳戶。
4793密碼原則檢查 API 呼叫。

子類別: 安全性群組管理

摺疊此表格展開此表格
識別碼訊息
4727已建立啟用安全性的通用群組。
4728成員已加入到已啟用安全性的通用群組。
4729成員已從啟用安全性的全域群組移除。
4730已刪除啟用安全性的通用群組。
4731已建立啟用安全性的本機群組。
4732成員已加入啟用安全性的本機群組。
4733成員已從啟用安全性的本機群組移除。
4734已刪除啟用安全性的本機群組。
4735已變更啟用安全性的本機群組。
4737已變更啟用安全性的通用群組。
4754建立安全性啟用的萬用群組。
4755已變更啟用安全性的萬用群組。
4756成員已加入啟用安全性的萬用群組。
4757將成員已從啟用安全性的萬用群組中移除。
4758已刪除啟用安全性的萬用群組。
4764群組 ’s 型別已變更。

子類別: 使用者帳戶管理

摺疊此表格展開此表格
識別碼訊息
4720建立使用者帳戶。
4722已啟用使用者帳戶。
4723嘗試變更帳戶的密碼。
4724嘗試重設帳戶的密碼。
4725使用者帳戶已停用。
4726已刪除使用者帳戶。
4738已變更使用者帳戶。
4740使用者帳戶被鎖定。
4765加入帳戶 SID 歷程記錄。
4766新增到系統帳戶的 SID 歷程記錄失敗。
4767使用者帳戶已解除鎖定。
4780系統管理員群組成員的帳戶上設定 ACL。
4781已變更的帳戶名稱:
4794嘗試設定目錄服務還原模式。
5376認證管理員憑證備份。
5377認證管理員認證已從備份還原。

分類: 詳細的追蹤

子類別: DPAPI 活動

摺疊此表格展開此表格
識別碼訊息
4692嘗試備份的資料保護主要金鑰。
4693嘗試恢復損毀的資料保護主要金鑰。
4694嘗試保護可稽核的受保護資料。
4695嘗試 unprotection 可稽核的受保護資料。

子類別: 處理程序建立

摺疊此表格展開此表格
識別碼訊息
4688已建立新的處理程序。
4696若要處理指派給主要權杖。

子類別: 處理程序終止

摺疊此表格展開此表格
識別碼訊息
4689處理序已經結束。

子類別: RPC 事件

摺疊此表格展開此表格
識別碼訊息
5712嘗試在遠端程序呼叫 (RPC)。

分類: DS 存取

子類別: 詳細的目錄服務複寫

摺疊此表格展開此表格
識別碼訊息
4928已建立 Active Directory 複本來源命名內容。
4929Active Directory 複本來源命名內容已被移除。
4930Active Directory 複本來源命名內容,已修改。
4931Active Directory 複本目的地命名內容,已修改。
4934複寫 Active Directory 物件的屬性。
4935開始複寫失敗。
4936複寫失敗結束。
4937已從複本中移除延遲物件。

子類別: 目錄服務存取

摺疊此表格展開此表格
識別碼訊息
4662這個操作必須在物件上執行。

子類別: 目錄服務變更

摺疊此表格展開此表格
識別碼訊息
5136目錄服務物件已修改。
5137建立目錄服務物件。
5138目錄服務物件是未刪除。
5139移動目錄服務物件。
5141 目錄服務物件已刪除。

子類別: 目錄服務複寫

摺疊此表格展開此表格
識別碼訊息
4932Active Directory 命名內容的複本的同步處理已開始。
4933Active Directory 命名內容的複本的同步處理已結束。

分類: 登入/登出

子類別: IPsec 延伸的模式

摺疊此表格展開此表格
識別碼訊息
4978在延伸的模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。
4979已建立 IPsec 主要模式及延伸的模式安全性關聯。
4980已建立 IPsec 主要模式及延伸的模式安全性關聯。
4981已建立 IPsec 主要模式及延伸的模式安全性關聯。
4982已建立 IPsec 主要模式及延伸的模式安全性關聯。
4983一個 IPsec 延伸模式交涉失敗。已刪除對應的主要模式安全性關聯。
4984一個 IPsec 延伸模式交涉失敗。已刪除對應的主要模式安全性關聯。

子類別: IPsec 主要模式

摺疊此表格展開此表格
識別碼訊息
4646IKE DoS 預防模式啟動。
4650已建立的 IPsec 主要模式安全性關聯。未啟用延伸的模式。 不使用憑證驗證。
4651已建立的 IPsec 主要模式安全性關聯。未啟用延伸的模式。 使用驗證的憑證。
4652IPsec 主要模式交涉失敗。
4653IPsec 主要模式交涉失敗。
4655結束的 IPsec 主要模式安全性關聯。
4976在主要模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。
5049IPsec 安全性關聯已刪除。
5453IPSec 原則代理程式電腦上套用 Active Directory 儲存 IPsec 原則。

子類別: IPsec 快速模式

摺疊此表格展開此表格
識別碼訊息
4654IPsec 快速模式交涉失敗。
4977在快速模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。
5451已建立 IPsec 快速模式安全性關聯。
5452IPsec 快速模式安全性關聯結束。

子類別: 登出

摺疊此表格展開此表格
識別碼訊息
4634帳戶已經登出。
4647使用者啟始登出。

子類別: 登入

摺疊此表格展開此表格
識別碼訊息
4624帳戶已成功登入。
4625帳戶登入失敗。
4648登入嘗試使用明確認證。
4675篩選過的 SID。

子類別: 網路原則伺服器

摺疊此表格展開此表格
識別碼訊息
6272網路原則伺服器授與使用者的存取。
6273網路原則伺服器拒絕使用者存取。
6274網路原則伺服器捨棄使用者的要求。
6275網路原則伺服器捨棄使用者帳戶處理的要求。
6276網路原則伺服器隔離使用者。
6277網路原則伺服器授與使用者存取,但將其放置在 probation,因為主應用程式不符合已定義的健康情況原則。
6278因為主應用程式符合已定義的健康原則,網路原則伺服器授與給使用者完整存取權限。
6279網路原則伺服器鎖定使用者帳戶,因為重複的失敗的驗證嘗試。
6280網路原則伺服器解除鎖定使用者帳戶。

子類別: 其他登入/登出事件

摺疊此表格展開此表格
識別碼訊息
4649偵測到重播攻擊。
4778工作階段已重新連接到視窗站。
4779一個工作階段已切斷連線,從視窗站。
4800工作站已鎖定。
4801工作站已解除鎖定。
4802螢幕保護裝置被叫用的。
4803螢幕保護裝置已關閉。
5378由原則不允許要求的認證委派。
5632提出來驗證無線網路的要求。
5633提出向有線網路驗證的要求。

子類別: 特殊登入

摺疊此表格展開此表格
識別碼訊息
4964特殊群組已被指派到新的登入。

分類: 物件存取

產生的子類別: 應用程式

摺疊此表格展開此表格
識別碼訊息
4665嘗試建立應用程式用戶端內容。
4666應用程式嘗試執行作業:
4667應用程式用戶端內容已被刪除。
4668初始化應用程式。

子類別: 憑證服務

摺疊此表格展開此表格
識別碼訊息
4868憑證管理員拒絕擱置的憑證要求。
4869「 憑證服務 」 收到 resubmitted 的憑證要求。
4870「 憑證服務撤銷憑證。
4871憑證服務 」 收到了發佈憑證撤銷清單 (CRL) 的要求。
4872「 憑證服務發佈憑證撤銷清單 (CRL)。
4873憑證要求延伸變更。
4874一或多個憑證的要求屬性變更。
4875憑證服務 」 收到了關機的要求。
4876憑證服務備份已啟動。
4877憑證服務備份已完成。
4878憑證服務還原已啟動。
4879憑證服務還原已完成。
4880「 憑證服務已啟動。
4881「 憑證服務已停止。
4882變更憑證服務的安全性權限。
4883「 憑證服務擷取的保存的金鑰。
4884「 憑證服務匯入其資料庫的憑證。
4885憑證服務變更的稽核篩選器。
4886「 憑證服務 」 收到了憑證要求。
4887「 憑證服務核准憑證要求,並發出憑證。
4888「 憑證服務拒絕憑證要求。
4889「 憑證服務會設定為擱置的憑證要求狀態。
4890變更憑證管理員設定憑證服務。
4891憑證服務 」 中變更一個設定項目。
4892變更 「 憑證服務 」 的屬性。
4893「 憑證服務封存索引鍵。
4894「 憑證服務匯入,並保存金鑰。
4895「 憑證服務發行 CA 憑證至 Active Directory 網域服務。
4896已從憑證資料庫刪除一或多個資料列。
4897啟用角色區隔:
4898「 憑證服務載入範本。
4899憑證服務範本已更新。
4900憑證服務範本安全性已更新。
5120OCSP 回應者服務已啟動。
5121OCSP 回應程式服務已停止。
5122OCSP 回應者服務中變更一個組態項目。
5123OCSP 回應者服務中變更一個設定項目。
5124安全性設定已更新上 OCSP 回應者服務。
5125要求已提交至 OCSP 回應者服務。
5126簽署憑證已自動更新由 OCSP 回應者服務。
5127OCSP 撤銷提供者已成功更新撤銷資訊。

子類別: 詳細的檔案共用

摺疊此表格展開此表格
識別碼訊息
5145 網路共用物件已檢查以查看是否用戶端可以被授與必要的存取。

子類別: 檔案共用

摺疊此表格展開此表格
識別碼訊息
5140存取網路共用物件。
5142加入網路共用物件。
5143網路共用物件修改。
5144網路共用物件被刪除。
5168SMB/SMB2 的 Spn 檢查失敗。

子類別: 檔案系統

摺疊此表格展開此表格
識別碼訊息
4664嘗試建立永久連結。
4985交易的狀態已經變更。
5051檔案已虛擬化。

子類別: 篩選平台連線

摺疊此表格展開此表格
識別碼訊息
5031Windows 防火牆服務封鎖應用程式接受連入網路連線。
5148Windows 篩選平台已偵測到服務阻斷攻擊,並輸入防禦性模式 ; 這類攻擊相關聯的封包將被捨棄。
5149已經平息 DoS 攻擊,並繼續執行正常處理。
5150Windows 篩選平台已封鎖封包。
5151更嚴格的 Windows 篩選平台篩選器已封鎖封包。
5154Windows 篩選平台有允許應用程式或服務在連接埠上接聽連入連線的。
5155Windows 篩選平台已封鎖應用程式或從在連接埠上聆聽連入連線的服務。
5156Windows 篩選平台有允許連線。
5157Windows 篩選平台已封鎖的連接。
5158Windows 篩選平台有允許本機連接埠繫結。
5159Windows 篩選平台已封鎖到本機連接埠繫結。

子類別: 篩選平台封包拖放

摺疊此表格展開此表格
識別碼訊息
5152Windows 篩選平台已封鎖封包。
5153更嚴格的 Windows 篩選平台篩選器已封鎖封包。

子類別: 控制碼操作

摺疊此表格展開此表格
識別碼訊息
4656要求物件的控制代碼。
4658物件控制碼已關閉。
4690嘗試複製物件的控制代碼。

子類別: 其他物件存取事件

摺疊此表格展開此表格
識別碼訊息
4671應用程式嘗試透過 [TBS.存取封鎖的序數
4691要求物件的間接存取。
4698建立排定的工作。
4699排定的工作已刪除。
4700已啟用排定的工作。
4701排定的工作已停用。
4702排定的工作已更新。
4702排定的工作已更新。
5888已修改 COM + 類別目錄中的物件。
5889從 COM + 類別目錄已刪除的物件。
5890新增一個物件到 COM + 類別目錄。

子類別: 登錄

摺疊此表格展開此表格
識別碼訊息
4657 登錄值已修改。
5039 登錄機碼已虛擬化。

子類別: 選擇性 Multi-use 子類別

附註當啟用它的子類別任何資源管理員可能會產生下列事件。比方說登錄資源管理員,或檔案系統資源管理員,可能會產生下列事件。物件存取: 核心物件物件存取: SAM 子類別都是以獨佔模式使用這些事件的子類別的範例。
摺疊此表格展開此表格
識別碼訊息
4659若要刪除的意圖要求物件的控制代碼。
4660已刪除的物件。
4661要求物件的控制代碼。
4663嘗試存取的物件。

分類: 原則變更

子類別: 稽核原則變更

摺疊此表格展開此表格
識別碼訊息
4715在物件上的稽核原則 (SACL) 已變更。
4719已變更系統稽核原則。
4817在物件上的稽核設定已變更。
4902建立每位使用者的稽核原則表格。
4904嘗試註冊安全性事件來源。
4905嘗試移除註冊的安全性事件來源。
4906CrashOnAuditFail 值已變更。
4907在物件上的稽核設定已變更。
4908修改的特殊群組登入表格。
4912每個使用者的稽核原則已變更。

子類別: 驗證原則變更

摺疊此表格展開此表格
識別碼訊息
4706網域建立新的信任。
4707已移除網域的信任。
4713Kerberos 原則已變更。
4716已修改受信任的網域資訊。
4717帳戶已授與系統的安全性存取權。
4718系統的安全性存取權已從帳號移除。
4739已變更網域原則。
4864偵測到命名空間衝突。
4865加入受信任的樹系資訊項目。
4866已移除受信任的樹系資訊項目。
4867已修改受信任的樹系資訊項目。

子類別: 授權原則變更

摺疊此表格展開此表格
識別碼訊息
4704指派給使用者的權限。
4705已移除使用者權限。
4714資料修復代理程式 」 群組原則的加密檔案系統 (EFS) 已變更。已套用新的變更。

子類別: 篩選平台原則變更

摺疊此表格展開此表格
識別碼訊息
4709IPSec 原則代理程式服務已經啟動。
4710IPSec 原則代理程式服務已停用。
4711可能包含下列其中一項動作:
  • PAStore 引擎會套用在電腦上的 Active Directory 儲存 IPsec 原則的本機快取的複本。
  • PAStore 引擎在電腦上套用 Active Directory 儲存 IPsec 原則。
  • PAStore 引擎會套用在電腦上的本機登錄儲存 IPsec 原則。
  • PAStore 引擎無法在電腦上套用的 Active Directory 儲存 IPsec 原則的本機快取的複本。
  • PAStore 引擎無法在電腦上套用 Active Directory 儲存 IPsec 原則。
  • PAStore 引擎無法套用在電腦上的本機登錄儲存 IPsec 原則。
  • PAStore 引擎無法將作用中的 IPsec 原則的某些規則套用在電腦上。
  • PAStore 引擎無法載入目錄儲存在電腦上的 IPsec 原則。
  • PAStore 引擎載入目錄儲存在電腦上的 IPsec 原則。
  • PAStore 引擎無法載入本機儲存在電腦上的 IPsec 原則。
  • PAStore 引擎載入本機儲存在電腦上的 IPsec 原則。
  • PAStore 引擎輪詢一次對作用中的 IPsec 原則的變更,並偵測到任何變更。
4712IPSec 原則代理程式發生潛在的嚴重失敗。
5040變更已 IPsec 設定。加入驗證組。
5041變更已 IPsec 設定。已修改驗證組。
5042變更已 IPsec 設定。驗證組已被刪除。
5043變更已 IPsec 設定。已新增連線安全性規則。
5044變更已 IPsec 設定。修改連線安全性規則。
5045變更已 IPsec 設定。連線安全性規則將被刪除。
5046變更已 IPsec 設定。加入密碼編譯組。
5047變更已 IPsec 設定。密碼編譯組已修改。
5048變更已 IPsec 設定。密碼編譯組已被刪除。
5440下列的圖說文字已經存在時,Windows 篩選平台基底篩選引擎已啟動。
5441下列篩選條件已存在時,Windows 篩選平台基底篩選引擎已啟動。
5442下列提供者已存在時,Windows 篩選平台基底篩選引擎已啟動。
5443下列提供者內容已存在時,Windows 篩選平台基底篩選引擎已啟動。
5444下列 sub-layer 已存在時,Windows 篩選平台基底篩選引擎已啟動。
5446Windows 篩選平台圖說文字已經變更。
5448已變更 Windows 篩選平台提供者。
5449Windows 篩選平台提供者內容已經變更。
5450Windows 篩選平台 sub-layer 已經變更。
5456PAStore 引擎在電腦上套用 Active Directory 儲存 IPsec 原則。
5457IPSec 原則代理程式無法在電腦上套用 Active Directory 儲存 IPsec 原則。
5458IPSec 原則代理程式套用在本機快取 Active Directory 儲存在電腦上的 IPsec 原則的副本。
5459IPSec 原則代理程式無法在電腦上套用的 Active Directory 儲存 IPsec 原則的本機快取的複本。
5460IPSec 原則代理程式電腦上套用本機登錄儲存 IPsec 原則。
5461IPSec 原則代理程式無法在電腦上套用本機登錄儲存 IPsec 原則。
5462IPSec 原則代理程式無法在電腦上套用一些規則的作用中的 IPsec 原則。使用 IP 安全性監視器嵌入式管理單元來診斷問題。
5463IPSec 原則代理程式輪詢一次對作用中的 IPsec 原則的變更,並偵測到任何變更。
5464IPSec 原則代理程式輪詢變更作用中的 IPsec 原則、 偵測到變更,並套用它們。
5465IPSec 原則代理程式收到強制重新載入 IPsec 原則的控制項,並且順利處理控制項。
5466IPSec 原則代理程式輪詢一次對判定 Active Directory 無法到達,將改使用 Active Directory IPsec 原則的快取的複本在 Active Directory IPsec 原則的變更。因為無法套用上次輪詢 Active Directory IPsec 原則所做的任何變更。
5467IPSec 原則代理程式輪詢判斷 Active Directory 可達到,並找到沒有該原則的變更在 Active Directory IPsec 原則的變更。不再使用 Active Directory IPsec 原則的快取的複本。
5468IPSec 原則代理程式輪詢變更至 Active Directory IPsec 的原則決定 Active Directory 可以達到、 找到該原則的變更及套用這些變更。不再使用 Active Directory IPsec 原則的快取的複本。
5471IPSec 原則代理程式會載入本機儲存在電腦上的 IPsec 原則。
5472IPSec 原則代理程式無法載入本機儲存在電腦上的 IPsec 原則。
5473IPSec 原則代理程式載入目錄儲存在電腦上的 IPsec 原則。
5474IPSec 原則代理程式無法載入目錄儲存在電腦上的 IPsec 原則。
5477IPSec 原則代理程式無法新增快速模式篩選器。

子類別: MPSSVC 規則層級原則變更

摺疊此表格展開此表格
識別碼訊息
4944「 Windows 防火牆 」 啟動時,下列的原則所使用。
4945「 Windows 防火牆 」 啟動時,已列出規則。
4946變更已 「 Windows 防火牆 」 的例外清單。加入規則。
4947變更已 「 Windows 防火牆 」 的例外清單。已修改的規則。
4948變更已 「 Windows 防火牆 」 的例外清單。一個規則將被刪除。
4949Windows 防火牆設定值已還原為預設值。
4950Windows 防火牆設定值已變更。
4951Windows 防火牆被略過規則,因為無法識別其主要版本號碼。
4952Windows 防火牆被略過規則的部分,因為無法辨識它的次要版本號碼。將強制執行規則的其他部分。
4953Windows 防火牆被略過規則,因為無法剖析。
4954已變更的 Windows 防火牆 」 的 「 群組原則 」 設定,而且已套用新的設定。
4956Windows 防火牆會變更使用中的設定檔。
4957Windows 防火牆沒有套用下列規則:
4958Windows 防火牆沒有套用下列規則,因為規則參照不設定這台電腦上的項目:
5050嘗試以程式設計的方式停用 Windows 防火牆使用 INetFwProfile.FirewallEnabled(FALSE) 介面的呼叫遭拒,因為此 Windows 版本上不支援此 API。這最可能的原因是與此 Windows 版本不相容的程式是。請洽詢程式的製造商,請確定您有相容的程式版本。

子類別: 其他原則變更事件

摺疊此表格展開此表格
識別碼訊息
4909本機原則設定為 [TBS 已變更。
4910群組原則設定為 [TBS 已變更。
5063嘗試執行密碼編譯提供者作業。
5064嘗試執行密碼編譯內容作業。
5065嘗試進行密碼編譯內容所做的修改。
5066嘗試執行密碼編譯函式作業。
5067嘗試進行密碼編譯函式所做的修改。
5068嘗試執行密碼編譯函式提供者作業。
5069嘗試加密函式的屬性操作。
5070嘗試進行密碼編譯函式屬性修改。
5447Windows 篩選平台篩選條件已經變更。
6144已成功套用群組原則物件中的安全性原則。
6145處理群組原則物件中的安全性原則時發生一或多個錯誤。

子類別: 選擇性 Multi-use 子類別

附註當啟用它的子類別任何資源管理員可能會產生下列事件。比方說登錄資源管理員,或檔案系統資源管理員,可能會產生下列事件。
摺疊此表格展開此表格
識別碼訊息
4670已變更物件的權限。

類別: 特殊權限使用

子類別: 機密特殊權限使用 / 非機密特殊權限的使用

摺疊此表格展開此表格
識別碼訊息
4672特殊權限指派給新的登入。
4673特殊權限的服務呼叫。
4674特殊權限的物件上嘗試執行作業。

分類: 系統

子類別: IPsec 驅動程式

摺疊此表格展開此表格
識別碼訊息
4960IPsec 丟棄輸入封包的完整性檢查失敗。如果此問題持續發生,它可能表示網路問題或該封包正在修改傳輸到這台電腦中。確認從遠端電腦傳送的封包是那些由電腦接收相同的。這個錯誤也可能表示其他 IPsec 實作的互通性問題。
4961IPsec 卸除,無法重新執行檢查的輸入封包。如果此問題持續發生,它可能表示對這台電腦的重播攻擊。
4962IPsec 卸除,無法重新執行檢查的輸入封包。輸入封包有太低一序列號碼,以確定並未重新執行。
4963IPsec 卸除應該是安全性的輸入純文字封包。如果遠端電腦設定與要求輸出的 IPsec 原則,這可能是良性和預期。 這可能也被因其 IPsec 原則變更而不通知這台電腦的遠端電腦。這也可能是偽造的攻擊嘗試。
4965IPsec 會收到一封包從遠端電腦使用一個不正確安全性參數索引 (SPI)。這通常被因損毀的封包的故障硬體。如果這些錯誤仍然存在,確認從遠端電腦傳送的封包是那些由電腦接收相同的。這個錯誤也可能表示其他 IPsec 實作的互通性問題。在這種情況下如果不 impeded 連線,然後這些事件可略過。
5478IPSec 原則代理程式服務已經啟動。
5479已順利關機 IPsec 服務。IPsec 服務關機,可以將較大風險的網路攻擊的電腦或開放電腦給潛在的安全性風險。
5480IPSec 原則代理程式無法取得完整的電腦上的網路介面清單。這會帶來潛在的安全性風險,因為某些網路介面可能無法得到套用的 IPsec 篩選器所提供的保護。使用 IP 安全性監視器嵌入式管理單元來診斷問題。
5483IPSec 原則代理程式服務無法初始化它的 RPC 伺服器。無法啟動服務。
5484IPSec 原則代理程式服務有經驗的重大失敗,並已關閉。這項服務的關機,可以將較大風險的網路攻擊的電腦或開放電腦給潛在的安全性風險。
5485IPSec 原則代理程式無法處理之網路介面插件,並播放事件上的某些 IPsec 篩選器。這會帶來潛在的安全性風險,因為某些網路介面可能無法得到套用的 IPsec 篩選器所提供的保護。使用 IP 安全性監視器嵌入式管理單元來診斷問題。

子類別: 其他系統事件

摺疊此表格展開此表格
識別碼訊息
5024Windows 防火牆服務已順利啟動。
5025「 Windows 防火牆 」 服務已停止。
5027Windows 防火牆服務無法從本機存放區擷取安全性原則。Windows 防火牆將會繼續強制執行目前的原則。
5028Windows 防火牆無法剖析新的安全性原則。Windows 防火牆將會繼續強制執行目前的原則。
5029「 Windows 防火牆 」 服務無法初始化驅動程式。Windows 防火牆將會繼續強制執行目前的原則。
5030「 Windows 防火牆 」 服務無法啟動。
5032Windows 防火牆無法將它封鎖接受連入連線網路上的應用程式會通知使用者。
5033Windows 防火牆驅動程式已順利啟動。
5034Windows 防火牆驅動程式已停止。
5035Windows 防火牆驅動程式無法啟動。
5037Windows 防火牆驅動程式偵測到重大的執行階段錯誤正在終止。
5058金鑰檔的作業。
5059索引鍵的遷移作業。
6400BranchCache: 收到格式不正確的回應時探索的內容的可用性。
6401BranchCache: 已從對等接收無效的資料。資料被捨棄。
6403BranchCache: 的裝載的快取傳送至用戶端將格式不正確的回應。
6404BranchCache: 裝載快取無法驗證使用提供的 SSL 憑證。
6405BranchCache: %2 執行個體的事件識別碼 %1 時發生。
6406%1 登錄到 Windows 防火牆篩選下列控制項: %2
6407%1

子類別: 安全性狀態變更

摺疊此表格展開此表格
識別碼訊息
4608Windows 正在啟動。
4616系統時間已變更。
4621系統管理員從 CrashOnAuditFail 修復系統。現在允許非系統管理員的使用者登入。一些可稽核的活動可能會不已記錄。

子類別: 安全性系統延伸

摺疊此表格展開此表格
識別碼訊息
4610驗證封裝已經載入由本機安全性授權。
4611受信任的登入程序已經註冊與本機安全性授權。
4614安全性帳戶管理員已經載入通知封裝軟體。
4622安全性封裝已經載入由本機安全性授權。
4697服務已安裝在系統中。

子類別: 系統完整性

摺疊此表格展開此表格
識別碼訊息
4612配置給稽核訊息佇列的內部資源已經用完,前置的某些稽核遺失。
4615無效的 LPC 通訊埠使用方式。
4618發生受監視的安全性事件模式。
4816RPC 偵測到解密傳入的訊息時,違反完整性。
5038程式碼完整性判定影像雜湊的檔案不正確。檔案可能是損毀,因為未經授權的更改入侵或無效的雜湊可能因為潛在的磁碟裝置發生錯誤。
5056執行密碼編譯的自我測試。
5057密碼編譯基本操作失敗。
5060驗證作業失敗。
5061密碼編譯作業。
5062核心模式密碼編譯自我測試執行。
6281程式碼整合性決定頁面雜湊,影像檔的有不正確。檔案可能是不當而頁雜湊不帶正負號或損毀,因為未獲授權的修改。無效的雜湊可能表示潛在的磁碟裝置錯誤

備忘稿

  • 要傳回更詳細的所有安全性稽核事件項目,在身為系統管理員已提高權限的命令提示字元中執行下列命令清單:
    wevtutil gp Microsoft-Windows-安全性-稽核 /ge /gm:true
    下列範例會顯示輸出的一部份:
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • 若要返回清單所有安全性稽核類別和子類別在提高權限的命令提示字元以系統管理員身分執行下列命令:
    auditpol /list /subcategory: *

?考

如需有關 「 Wevtutil 」 公用程式的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
如需有關 「 Auditpol 」 公用程式的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
如需有關進階安全性稽核原則設定 Windows 7 和 Windows Server 2008 R2 中的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx
如更多有關安全性稽核在 Windows Vista 和 Windows Server 2008 中,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
947226在 Windows Vista 和 Windows Server 2008 中的安全性事件的描述

屬性

文章編號: 977519 - 上次校閱: 2009年11月17日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
關鍵字:?
kbmt kbeventlog kbexpertiseinter kbsurveynew kbinfo KB977519 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:977519
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com