Popis událostí zabezpečení v systému Windows Vista a Windows Server 2008

ÚVOD

Tento článek popisuje různé související se zabezpečením týkající se auditování událostí a v systému Windows Vista a Windows Server 2008. Tento článek také obsahuje informace o interpretaci těchto událostí. Tyto události se zobrazí v protokolu zabezpečení a jsou zaznamenány se zdrojem "-auditování zabezpečení." Tento článek popisuje, jak načíst více popisné údaje o jednotlivých událostech.

Další informace

V této části jsou uvedeny všechny Windows Vista zabezpečení auditování událostí podle kategorie a podkategorie.

Kategorie: Přihlášení k účtu

Podkategorie: Ověření pověření

IDZpráva
4774Účet byl mapován přihlášení.
4775Nelze namapovat účet pro přihlášení.
4776Řadič domény se pokusil ověřit pověření účtu.
4777Řadiče domény se nepodařilo ověřit pověření účtu.

Podkategorie: Služba ověřování pomocí protokolu Kerberos

IDZpráva
4768Bylo požadováno ověřování lístek protokolu Kerberos (TGT).
4771Předběžné ověření protokolem Kerberos se nezdařilo.
4772Žádosti o lístek ověřování pomocí protokolu Kerberos se nezdařilo.

Podkategorie: Operace lístek protokolu Kerberos služby

IDZpráva
4769Lístek služby Kerberos bylo požadováno.
4770Byl obnoven lístek služby Kerberos.
4773Požadavek na lístek služby Kerberos se nezdařilo.

Kategorie: Správa účtu

Podkategorie: Správa skupin aplikací

IDZpráva
4783Základní aplikační skupiny byl vytvořen.
4784Skupina základních aplikací byl změněn.
4785Člen byl přidán do základní skupině aplikací.
4786Ze základní aplikační skupiny byl odebrán člen.
4787Třetí byl přidán do základní skupině aplikací.
4788Třetí byla odebrána ze skupiny základních aplikací.
4789Skupina základních aplikací byl odstraněn.
4790Skupina dotazu LDAP byl vytvořen.
4791Skupina základních aplikací byl změněn.
4792Skupina dotazu LDAP byla odstraněna.

Podkategorie: Správa účtů počítače

IDZpráva
4741Byl vytvořen účet počítače.
4742Účet počítače byl změněn.
4743Účet počítače byl odstraněn.

Podkategorie: Správa distribučních skupin

IDZpráva
4744Nezabezpečená místní skupina byla vytvořena.
4745Nezabezpečená místní skupina byla změněna.
4746Do nezabezpečené místní skupiny byl přidán člen.
4747Z nezabezpečené místní skupiny byl odebrán člen.
4748Nezabezpečená místní skupina byla odstraněna.
4749Nezabezpečená globální skupina byla vytvořena.
4750Nezabezpečená globální skupina byla změněna.
4751Do nezabezpečené globální skupiny byl přidán člen.
4752Z nezabezpečené globální skupiny byl odebrán člen.
4753Nezabezpečená globální skupina byla odstraněna.
4759Nezabezpečená univerzální skupina byla vytvořena.
4760Nezabezpečená univerzální skupina byla změněna.
4761Do nezabezpečené univerzální skupiny byl přidán člen.
4762Z nezabezpečené univerzální skupiny byl odebrán člen.

Podkategorie: Jiné události správy účtů

IDZpráva
4739Zásady domény byl změněn.
4782Algoritmus hash hesla účtu bylo přistupováno.
4793Heslo zásad kontroly API byla volána.

Podkategorie: Správa skupin zabezpečení

IDZpráva
4727Zabezpečená globální skupina byla vytvořena.
4728Zabezpečená globální skupiny byl přidán člen.
4729Člen byl odebrán z globální skupiny zabezpečení povoleno.
4730Zabezpečená globální skupina byla odstraněna.
4731Zabezpečená místní skupina byla vytvořena.
4732Člen byl přidán do místní skupiny zabezpečení povoleno.
4733Člen byl odebrán z místní skupiny zabezpečení povoleno.
4734Zabezpečená místní skupina byla odstraněna.
4735Zabezpečená místní skupina byla změněna.
4737Zabezpečená globální skupina byla změněna.
4754Zabezpečená univerzální skupina byla vytvořena.
4755Zabezpečená univerzální skupina byla změněna.
4756Zabezpečená univerzální skupiny byl přidán člen.
4757Ze zabezpečené univerzální skupiny byl odebrán člen.
4758Zabezpečená univerzální skupina byla odstraněna.
4764Typ skupiny byl změněn.

Podkategorie: Správa uživatelských účtů

IDZpráva
4720Uživatelský účet byl vytvořen.
4722Uživatelský účet byl povolen.
4723Byl učiněn pokus změnit heslo účtu.
4724Byl proveden pokus o obnovení hesla účtu.
4725Uživatelský účet byl zakázán.
4726Uživatelský účet byl odstraněn.
4738Uživatelský účet byl změněn.
4740Uživatelský účet byl uzamčen.
4765Účet byl přidán historie čísel SID.
4766Se nepodařilo přidat historii čísel SID pro účet.
4767Uživatelský účet byla odemčena.
4780Seznam ACL byl nastaven na účtech, které jsou členy skupiny administrators.
4781Název účtu byl změněn:
4794Byl proveden pokus o nastavení režimu obnovení adresářových služeb.
5376Pověření správce pověření byly zálohovány.
5377Pověření správce pověření byla obnovena ze zálohy.

Kategorie: Podrobné sledování

Podkategorie: Aktivita rozhraní DPAPI

IDZpráva
4692Došlo k pokusu o zálohování hlavního klíče ochrany údajů.
4693Byl proveden pokus o obnovení hlavního klíče ochrany údajů.
4694Došlo k pokusu o ochranu auditovatelné chráněná data.
4695Byl proveden pokus o unprotection auditovatelné chráněná data.

Podkategorie: Vytvoření procesu

IDZpráva
4688Byl vytvořen nový proces.
4696Procesu byl přiřazen primární token.

Podkategorie: Ukončení procesu

IDZpráva
4689Proces byl ukončen.

Podkategorie: Události RPC

IDZpráva
5712Došlo k pokusu vzdálené volání procedur (RPC).

Kategorie: Přístup k adresářové službě

Podkategorie: Podrobná replikace adresářové služby

IDZpráva
4928Zdrojové repliky služby Active Directory pro názvový kontext byl stanoven.
4929Zdrojové repliky služby Active Directory pro názvový kontext byl odebrán.
4930Zdrojové repliky služby Active Directory pro názvový kontext byl změněn.
4931Cílový replik služby Active Directory pro názvový kontext byl změněn.
4934Atributy objektu služby Active Directory byly replikovány.
4935Selhání replikace začíná.
4936Selhání replikace ukončena.
4937Permanentních objektů byla odebrána z repliky.

Podkategorie: Přístup k adresářové službě

IDZpráva
4662Operace byla provedena u objektu.

Podkategorie: Změny služby

IDZpráva
5136Objektu adresářové služby byla změněna.
5137Objektu adresářové služby byla vytvořena.
5138Objektu adresářové služby byla obnovena.
5139Objektu adresářové služby byl přesunut.

Poznámka: Následující událost do podkategorie změny adresářové služby je k dispozici pouze v systému Windows Vista Service Pack 1 a Windows Server 2008.
IDZpráva
5141Objektu adresářové služby byl odstraněn.

Podkategorie: Replikace adresářové služby

IDZpráva
4932Synchronizace replik služby Active Directory názvový kontext byl zahájen.
4933Synchronizace replik služby Active Directory názvový kontext skončila.

Kategorie: Přihlášení či odhlášení

Podkategorie: Rozšířený režim protokolu IPsec

IDZpráva
4978Během vyjednávání rozšířeného režimu protokolu IPsec přijat paket neplatné vyjednávání. Pokud potíže potrvají, může to znamenat problém v síti nebo pokus upravit nebo přehrát v tomto vyjednávání.
4979Přidružení zabezpečení hlavního režimu IPsec a rozšířeného režimu byly stanoveny.
4980Přidružení zabezpečení hlavního režimu IPsec a rozšířeného režimu byly stanoveny.
4981Přidružení zabezpečení hlavního režimu IPsec a rozšířeného režimu byly stanoveny.
4982Přidružení zabezpečení hlavního režimu IPsec a rozšířeného režimu byly stanoveny.
4983Vyjednávání rozšířeného režimu protokolu IPsec se nezdařilo. Byla odstraněna odpovídající přidružení zabezpečení hlavního režimu.
4984Vyjednávání rozšířeného režimu protokolu IPsec se nezdařilo. Byla odstraněna odpovídající přidružení zabezpečení hlavního režimu.

Podkategorie: Hlavní režim protokolu IPsec

IDZpráva
4646Spuštění režimu prevence DoS IKE.
4650Bylo zjištěno přidružení zabezpečení hlavního režimu IPsec. Rozšířený režim nebyl povolen. Ověřování certifikátu nebyl použit.
4651Bylo zjištěno přidružení zabezpečení hlavního režimu IPsec. Rozšířený režim nebyl povolen. Certifikát byl použit pro ověřování.
4652Vyjednávání v hlavním režimu protokolu IPsec se nezdařilo.
4653Vyjednávání v hlavním režimu protokolu IPsec se nezdařilo.
4655Bylo ukončeno přidružení zabezpečení hlavního režimu IPsec.
4976Během vyjednávání v hlavním režimu protokolu IPsec přijat paket neplatné vyjednávání. Pokud potíže potrvají, může to znamenat problém v síti nebo pokus upravit nebo přehrát v tomto vyjednávání.
5049Bylo odstraněno přidružení zabezpečení protokolu IPsec.
5453Vyjednávání protokolu IPsec ke vzdálenému počítači se nezdařilo, protože služba IKE a AuthIP IPsec Keying Modules (IKEEXT) není spuštěna.

Podkategorie: Rychlý režim protokolu IPsec

IDZpráva
4654Vyjednávání rychlého režimu protokolu IPsec se nezdařilo.
4977Během vyjednávání rychlého režimu protokolu IPsec přijat paket neplatné vyjednávání. Pokud potíže potrvají, může to znamenat problém v síti nebo pokus upravit nebo přehrát v tomto vyjednávání.
5451Bylo zjištěno přidružení zabezpečení rychlého režimu IPsec.
5452Bylo ukončeno přidružení zabezpečení rychlého režimu IPsec.

Podkategorie: odhlášení

IDZpráva
4634Účet byl odhlášen.
4647Uživatel spustil odhlášení.

Podkategorie: přihlášení

IDZpráva
4624Účet byl úspěšně přihlášen.
4625Účet přihlášení se nezdařilo.
4648Přihlášení k pokusu o použití explicitní pověření.
4675Filtrování identifikátorů SID.
Poznámka: Všechny události v podkategorii Network Policy Server jsou k dispozici pouze v systému Windows Vista Service Pack 1 a Windows Server 2008.

Podkategorie: Server zásad sítě

IDZpráva
6272Server zásad sítě udělen přístup uživateli.
6273Network Policy Server odepřen přístup uživateli.
6274Server zásad sítě zahozena požadavek uživatele.
6275Server zásad sítě zahozena požadavek účtování pro uživatele.
6276Network Policy Server uživatel umístěn do karantény.
6277Server zásad sítě udělen přístup uživateli, ale umístit ve zkušební době, protože hostitele nesplňuje zásady definovaného stavu.
6278Server zásad sítě povolen úplný přístup k uživateli, protože hostitelský splněny zásady definované stavu.
6279Server zásad sítě uzamčen z důvodu opakovaných neúspěšných pokusů o ověření uživatelského účtu.
6280Server zásad sítě odemknout uživatelský účet.

Podkategorie: Ostatní události přihlášení nebo odhlášení

IDZpráva
4649Byl zjištěn útok přehráváním.
4778Relace byla znovu připojeny k Window Station.
4779Relace byla odpojena z Window Station.
4800Pracovní stanice byla uzamčena.
4801Pracovní stanice byla odemčena.
4802Byl spuštěn spořič obrazovky.
4803Spořič obrazovky byl propuštěn.
5378Delegování požadovaná pověření bylo zakázáno systémovou zásadou.
5632Byl proveden požadavek na ověření pro bezdrátové sítě.
5633Byl proveden požadavek na ověření ke kabelové síti.

Podkategorie: Zvláštní přihlášení

IDZpráva
4964Zvláštní skupiny byly přiřazeny nové přihlášení.

Kategorie: Přístup k objektům

Podkategorie: Generování aplikace

IDZpráva
4665Byl učiněn pokus vytvořit kontext klienta aplikací.
4666Aplikace se pokusil o operaci:
4667Kontext klienta aplikací byl odstraněn.
4668Aplikace byla inicializována.

Podkategorie: Certifikační služby

IDZpráva
4868Správce certifikátů zamítl žádost o certifikát čekající na vyřízení.
4869Certifikační služba přijala žádost o certifikát znovu.
4870Certifikační služba odvolala certifikát.
4871Certifikační služba přijala žádost o publikování seznamu odvolaných certifikátů (CRL).
4872Certifikační služba publikovala seznam odvolaných certifikátů (CRL).
4873Změněno rozšíření žádosti o certifikát.
4874Změnit jeden nebo více atributů žádosti o certifikát.
4875Certifikační služba přijala požadavek na ukončení.
4876Operace zálohování certifikační služby byla spuštěna.
4877Operace zálohování certifikační služby byla dokončena.
4878Operace obnovení certifikační služby spuštěna.
4879Operace obnovení certifikační služby byla dokončena.
4880Certifikační služba byla spuštěna.
4881Certifikační služba byla zastavena.
4882Oprávnění zabezpečení pro certifikační službu byl změněn.
4883Certifikační služba získala archivovaný klíč.
4884Certifikační služba importovala certifikát do své databáze.
4885Filtr auditu pro certifikační službu byl změněn.
4886Certifikační služba přijala žádost o certifikát.
4887Certifikační služba schválila žádost o certifikát a vystavila certifikát.
4888Certifikační služba odmítla žádost o certifikát.
4889Certifikační služba nastavila stav žádosti o certifikát na čekající na vyřízení.
4890Nastavení správce certifikátů pro certifikační službu byl změněn.
4891Položka konfigurace v certifikační služby změnit.
4892Vlastnost certifikační služby změnit.
4893Certifikační služba archivovala klíč.
4894Certifikační služba importovala a archivovala klíč.
4895Certifikační služba publikovala certifikát certifikačního úřadu na služba Active Directory Domain Services.
4896Z databáze certifikátů byl odstraněn jeden nebo více řádků.
4897Oddělení rolí bylo povoleno:
4898Služba Certificate Services načíst šablonu.
4899Šablona služby Certificate Services byla aktualizována.
4900Zabezpečení šablony certifikátu služby byla aktualizována.
5120Služba OCSP Responder Service spuštěna.
5121Služba OCSP Responder Service byla zastavena.
5122Položka konfigurace změněna ve službě OCSP Responder.
5123Položka konfigurace změněna ve službě OCSP Responder.
5124Nastavení zabezpečení byl aktualizován Služba OCSP Responder Service.
5125Požadavek byl odeslán službě OCSP Responder Service.
5126Podpisový certifikát automaticky aktualizoval Služba OCSP Responder Service.
5127Zprostředkovatel odvolání protokolu OCSP úspěšně aktualizovány informace o odvolání.

Podkategorie: Sdílení souborů

IDZpráva
5140Byl síťového sdíleného objektu přistupovat.

Podkategorie: Systém souborů

IDZpráva
4664Byl proveden pokus o vytvoření pevného odkazu.
4985Byl změněn stav transakce.
5051Soubor byl virtualizované pole.

Podkategorie: Filtrování platformu připojení

IDZpráva
5031Brána Windows Firewall blokovány aplikace přijímat příchozí připojení v síti.
5154Windows Filtering Platform povolil aplikace nebo služby pro naslouchání na portu pro příchozí připojení.
5155Windows Filtering Platform zablokovala aplikace nebo služby naslouchání na portu pro příchozí připojení.
5156Windows Filtering Platform povolil připojení.
5157Windows Filtering Platform zablokovala připojení.
5158Windows Filtering Platform povolil vazba na místní port.
5159Windows Filtering Platform zablokovala vazba na místní port.

Podkategorie: Filtrování zahození paketu platforma

IDZpráva
5152Windows Filtering Platform blokovány pakety.
5153Více omezující filtr Windows Filtering Platform zablokovala paket.

Podkategorie: Popisovač manipulace

IDZpráva
4656Popisovač objektu byl požadován.
4658Popisovač objektu byl uzavřen.
4690Byla k pokusu duplikovat popisovač k objektu.

Podkategorie: Ostatní události přístupu k objektu

IDZpráva
4671Došlo k pokusu o přístup prostřednictvím TBS blokované řadové aplikace
4691Bylo požadováno nepřímý přístup k objektu.
4698Naplánovaná úloha byla vytvořena.
4699Naplánovaná úloha byla odstraněna.
4700Naplánovaná úloha byla povolena.
4701Naplánované úlohy byl zakázán.
4702Naplánovaná úloha byla aktualizována.
5888Objekt v katalogu COM + byla změněna.
5889Objekt byl odstraněn z katalogu modelu COM +.
5890Objekt byl přidán do katalogu modelu COM +.

Podkategorie: registru

IDZpráva
4657Hodnota registru byla změněna.
5039Klíč registru byl virtualizované pole.

Podkategorie: speciální víceúčelové podkategorie

Poznámka: Tyto události mohou být generovány některý správce prostředků, pokud je povoleno jeho podkategorie. Například mohou být generovány následující události Správce prostředků registru nebo pomocí Správce prostředků systému souborů. Podkategorie "Přístup: jádro objektu" a "SAM objektu Access:" jsou příklady podkategorií, které používají výhradně tyto události.
IDZpráva
4659Popisovač objektu byl požadován s úmyslem odstranit.
4660Objekt byl odstraněn.
4661Popisovač objektu byl požadován.
4663Byl proveden pokus o přístup k objektu.

Kategorie: Změna zásad

Podkategorie: Změna zásad auditu

IDZpráva
4715Zásady auditu (SACL) pro objekt byl změněn.
4719Zásada auditování systému byl změněn.
4902Byla vytvořena v tabulce zásad auditu na uživatele.
4904Byl proveden pokus o registraci zdroje události zabezpečení.
4905Byl proveden pokus o zrušení registrace zdroje událostí zabezpečení.
4906CrashOnAuditFail hodnota změněna.
4907Nastavení auditování pro objekt byla změněna.
4908Zvláštní tabulka skupiny přihlášení upraven.
4912Na zásady auditu uživatele bylo změněno.

Podkategorie: Změna zásad ověřování

IDZpráva
4706Nový vztah důvěryhodnosti byl vytvořen k doméně.
4707Vztah důvěryhodnosti k doméně byla odebrána.
4713Zásady modulu Kerberos byl změněn.
4716Informace o důvěryhodné domény byl změněn.
4717Účet byl udělen přístup k zabezpečení systému.
4718Přístup k systému zabezpečení byl odebrán z účtu.
4864Byla zjištěna kolize oboru názvů.
4865Byla přidána informace o položce důvěryhodné doménové struktury.
4866Informace o položce důvěryhodné doménové struktury byl odebrán.
4867Informace o položce důvěryhodné doménové struktury byl změněn.

Podkategorie: Změna zásad autorizace


ID
Zpráva
4704Bylo přiřazeno uživatelské právo.
4705Uživatelské právo bylo odebráno.
4714Zásady obnovení zašifrovaných dat byl změněn.

Podkategorie: Filtrování Platform změny zásad

IDZpráva
4709Spuštění služby IPsec.
4710Služby IPsec byl zakázán.
4711Může obsahovat některou z následujících akcí:
  • Stroj PAStore použil zásady IPsec úložiště Active Directory storage uložené v místní mezipaměti kopie v počítači.
  • Stroj PAStore použil zásady zabezpečení IPsec úložiště Active Directory v počítači.
  • Stroj PAStore použil zásady zabezpečení IPsec úložiště místního registru v počítači.
  • Stroj PAStore se nezdařilo použít zásady IPsec úložiště Active Directory storage uložené v místní mezipaměti kopie v počítači.
  • Stroj PAStore se nezdařilo použít zásady zabezpečení IPsec úložiště Active Directory v počítači.
  • Stroj PAStore se nezdařilo použít zásady zabezpečení IPsec úložiště místního registru v počítači.
  • Použití některých pravidel aktivní zásady protokolu IPsec v počítači PAStore se nezdařilo.
  • Stroj PAStore se nezdařilo načíst adresář úložiště zásady protokolu IPsec v počítači.
  • Stroj PAStore načetl adresář úložiště zásady protokolu IPsec v počítači.
  • Stroj PAStore se nezdařilo načíst místní úložiště zásad protokolu IPsec v počítači.
  • Stroj PAStore načetl místní úložiště zásad protokolu IPsec v počítači.
  • Jádro PAStore Engine se dotázalo na změny aktivní zásady protokolu IPsec a zjištěny žádné změny.
4712Služby IPsec došlo k potenciálně závažné chybě.
5040Byla provedena změna nastavení protokolu IPsec. Ověřování nastaveno byl přidán.
5041Byla provedena změna nastavení protokolu IPsec. Ověřování nastaveno byl změněn.
5042Byla provedena změna nastavení protokolu IPsec. Ověřování nastaveno byl odstraněn.
5043Byla provedena změna nastavení protokolu IPsec. Byla přidána pravidla pro zabezpečení připojení.
5044Byla provedena změna nastavení protokolu IPsec. Byla upravena pravidla pro zabezpečení připojení.
5045Byla provedena změna nastavení protokolu IPsec. Pravidlo zabezpečení připojení byl odstraněn.
5046Byla provedena změna nastavení protokolu IPsec. Byla přidána sady kryptografických.
5047Byla provedena změna nastavení protokolu IPsec. Sady kryptografických byl změněn.
5048Byla provedena změna nastavení protokolu IPsec. Sady kryptografických byl odstraněn.
5440Následující popisek byl přítomen při spuštění systému Windows filtrování platformy Base filtrování modul.
5441Následující filtr byl přítomen při spuštění systému Windows filtrování platformy Base filtrování modul.
5442Následující zprostředkovatele byl přítomen při spuštění systému Windows filtrování platformy Base filtrování modul.
5443Následující kontext zprostředkovatele byl přítomen při spuštění systému Windows filtrování platformy Base filtrování modul.
5444Následující dílčí vrstvu obsahoval při spuštění systému Windows filtrování platformy Base filtrování modul.
5446Popisek Windows Filtering Platform byl změněn.
5448Zprostředkovatel Windows Filtering Platform byl změněn.
5449Kontext zprostředkovatele Windows Filtering Platform byl změněn.
5450Dílčí vrstvu Windows Filtering Platform byl změněn.
5456Stroj PAStore použil zásady zabezpečení IPsec úložiště Active Directory v počítači.
5457Stroj PAStore se nezdařilo použít zásady zabezpečení IPsec úložiště Active Directory v počítači.
5458Stroj PAStore použil zásady IPsec úložiště Active Directory storage uložené v místní mezipaměti kopie v počítači.
5459Stroj PAStore se nezdařilo použít zásady IPsec úložiště Active Directory storage uložené v místní mezipaměti kopie v počítači.
5460Stroj PAStore použil zásady zabezpečení IPsec úložiště místního registru v počítači.
5461Stroj PAStore se nezdařilo použít zásady zabezpečení IPsec úložiště místního registru v počítači.
5462Použití některých pravidel aktivní zásady protokolu IPsec v počítači PAStore se nezdařilo. Pomocí modulu snap-in Sledování zabezpečení protokolu IP a diagnostikovat problém.
5463Jádro PAStore Engine se dotázalo na změny aktivní zásady protokolu IPsec a zjištěny žádné změny.
5464Stroj PAStore dotázalo na změny aktivní zásady protokolu IPsec, zjistil provedené změny a zanesl je do služeb IPsec.
5465Stroj PAStore získal kontrolu nad vynuceným opětovným načítáním zásady protokolu IPsec a úspěšně zpracována ovládací prvek.
5466Jádro PAStore Engine se dotázalo na změny zásady IPsec služby Active Directory, zjištěno, že služby Active Directory nelze získat přístup a použije kopii zásady IPsec služby Active Directory v mezipaměti. Změny zásady IPsec služby Active Directory od posledního dotazování nelze použít.
5467Jádro PAStore Engine se dotázalo na změny zásady IPsec služby Active Directory, zjištěno, že služby Active Directory může být dosaženo a nalezeny žádné změny zásady. V mezipaměti kopie zásady IPsec služby Active Directory je již používán.
5468Jádro PAStore Engine se dotázalo na změny zásady IPsec služby Active Directory, zjistilo, Active Directory může být dosaženo, nalezeny změny zásad a tyto změny zanesl. V mezipaměti kopie zásady IPsec služby Active Directory je již používán.
5471Stroj PAStore načetl místní úložiště zásad protokolu IPsec v počítači.
5472Stroj PAStore se nezdařilo načíst místní úložiště zásad protokolu IPsec v počítači.
5473Stroj PAStore načetl adresář úložiště zásady protokolu IPsec v počítači.
5474Stroj PAStore se nezdařilo načíst adresář úložiště zásady protokolu IPsec v počítači.
5477Jádro PAStore Engine se nezdařilo přidat filtr rychlého režimu.

Podkategorie: Změna zásad úrovně pravidla MPSSVC

IDZpráva
4944Následující zásady byl aktivní při spuštění brány Firewall systému Windows.
4945Pravidla byla uvedena při spuštění brány Firewall systému Windows.
4946Byla provedena změna seznamu výjimek brány Firewall systému Windows. Byla přidána pravidla.
4947Byla provedena změna seznamu výjimek brány Firewall systému Windows. Pravidla byla změněna.
4948Byla provedena změna seznamu výjimek brány Firewall systému Windows. Pravidla byla odstraněna.
4949Nastavení brány Firewall systému Windows byla obnovena výchozí hodnoty.
4950Nastavení brány Windows Firewall se změnilo.
4951Pravidlo bylo ignorováno, protože nebyl rozpoznán jeho hlavní číslo verze bránou Windows Firewall.
4952Části pravidla mají byl ignorován, protože nebyl rozpoznán jeho číslo podverze bránou Windows Firewall. Ostatní části pravidla budou vynuceny.
4953Pravidlo byl ignorován bránou Windows Firewall, protože ji nelze analyzovat pravidlo.
4954Jste změnili nastavení Zásady skupiny brány Firewall systému Windows. Bylo použito nové nastavení.
4956Brána Firewall systému Windows došlo ke změně aktivního profilu.
4957Brána Firewall systému Windows nepoužil následující pravidlo:
4958Brána Firewall systému Windows nepoužil následující pravidlo, protože pravidlo uvedené položky v tomto počítači není nakonfigurováno:
5050Pokus o programově zakažte bránu Firewall systému Windows pomocí volání rozhraní INetFwProfile.FirewallEnabled(FALSE) byla zamítnuta, protože toto rozhraní API není podporováno v systému Windows Vista. To má pravděpodobně došlo program, který není kompatibilní se systémem Windows Vista. Obraťte se na výrobce programu a ujistěte se, že máte verzi systému Windows Vista kompatibilní program.

Podkategorie: Jiné události změny zásad

IDZpráva
4909Nastavení místní zásady TBS byly změněny.
4910Nastavení zásad skupiny pro TBS byly změněny.
5063Byl proveden pokus o operaci zprostředkovatele kryptografických služeb.
5064Byl proveden pokus o operaci kryptografického kontextu.
5065Byl proveden pokus o úpravu kryptografického kontextu.
5066Byl proveden pokus o operaci kryptografické funkce.
5067Byl proveden pokus o úpravu kryptografické funkce.
5068Byl proveden pokus o operaci zprostředkovatele kryptografických funkcí.
5069 vytvořit webové zdrojeByl proveden pokus o operaci vlastnost kryptografické funkce.
5070Došlo k pokusu o změnu vlastnost kryptografické funkce.
5447Filtr Windows Filtering Platform byl změněn.
6144Zásady zabezpečení v objektech zásad skupin byly úspěšně použity.
6145Při zpracování zásad zabezpečení v objektech zásad skupiny došlo k jedné nebo více chybám.

Podkategorie: speciální víceúčelové podkategorie

Poznámka: Tyto události mohou být generovány některý správce prostředků, pokud je povoleno jeho podkategorie. Například mohou být generovány následující události Správce prostředků registru nebo pomocí Správce prostředků systému souborů.
IDZpráva
4670Byla změněna oprávnění objektu.

Kategorie: Privilegovaného použití

Podkategorie: Použití citlivých oprávnění / méně citlivé oprávnění používat

IDZpráva
4672Zvláštní oprávnění jsou přiřazeny nové přihlášení.
4673Byla volána službu s vysokými oprávněními.
4674Byl proveden pokus o operaci na privilegované objektu.

Kategorie: systém

Podkategorie: Ovladač protokolu IPsec

IDZpráva
4960Protokol IPsec vynechal příchozí paket, který selhal kontrolu integrity. Pokud potíže potrvají, může to znamenat, že problém v síti nebo že pakety jsou upravován na cestě k tomuto počítači. Ověřte, zda pakety odesílané ze vzdáleného počítače jsou stejné jako přijatý tímto počítačem. Tato chyba může také znamenat problémy vzájemné operační součinnosti s ostatními implementacemi protokolu IPsec.
4961Protokol IPsec vynechal příchozí paket, který se nezdařila kontrola přehrávání. Pokud potíže potrvají, znamenat opakovaném napadení tohoto počítače.
4962Protokol IPsec vynechal příchozí paket, který se nezdařila kontrola přehrávání. Příchozí paket obsahoval příliš málo pořadové číslo, ujistěte se, že nebylo opakování hry.
4963Protokol IPsec vynechal paket příchozí prostý text, který by byla zabezpečena. To je obvykle způsobeno vzdáleného počítače, změna jeho zásady protokolu IPsec bez informování tohoto počítače. Může to být také podvodná pokus útoku.
4965Protokol IPsec přijal paket od vzdáleného počítače s nesprávný parametr Index zabezpečení (SPI). To je obvykle způsobeno nefunkční hardware, který je poškození paketů. Pokud tyto chyby potrvají, ověřte, zda pakety odesílané ze vzdáleného počítače jsou stejné jako přijatý tímto počítačem. Tato chyba může také znamenat problémy vzájemné operační součinnosti s ostatními implementacemi protokolu IPsec. V takovém případě pokud připojení není bráněno, pak tyto události lze ignorovat.
5478Služby IPsec byla úspěšně spuštěna.
5479Služby IPsec byla úspěšně vypnuta. Vypnutí služeb IPsec můžete přepnout počítač většímu riziku napadení sítě nebo vystavit počítač potenciálním bezpečnostním rizikům.
5480Služby IPsec se nepodařilo získat úplný seznam síťových rozhraní v počítači. To představuje potenciální riziko zabezpečení, protože některá síťová rozhraní nemusí získat ochranu aplikovanými filtry IPsec. Pomocí modulu snap-in Sledování zabezpečení protokolu IP a diagnostikovat problém.
5483Inicializace serveru RPC službou IPsec se nezdařila. Služby IPsec nelze spustit.
5484Služby IPsec došlo kritické chyby a byl ukončen. Vypnutí služeb IPsec můžete přepnout počítač většímu riziku napadení sítě nebo vystavit počítač potenciálním bezpečnostním rizikům.
5485Služby IPsec se nepodařilo zpracovat některé filtry IPsec u události plug-and-play pro síťová rozhraní. To představuje potenciální riziko zabezpečení, protože některá síťová rozhraní nemusí získat ochranu aplikovanými filtry IPsec. Pomocí modulu snap-in Sledování zabezpečení protokolu IP a diagnostikovat problém.

Podkategorie: Jiné systémové události

IDZpráva
5024Služba Brána Firewall systému Windows byla úspěšně spuštěna.
5025Služba Brána Firewall systému Windows byla zastavena.
5027Služba Brána Firewall systému Windows se nepodařilo načíst zásady zabezpečení z místního úložiště. Služba bude nadále používat aktuální zásady.
5028Služba Brána Firewall systému Windows nemohla analyzovat nové zásady zabezpečení. Služba bude pokračovat s aktuální zásady.
5029Služba Brána Firewall systému Windows se nepodařilo inicializovat ovladač. Služba bude pokračovat v aktuální zásady.
5030Služba Brána Firewall systému Windows se nepodařilo spustit.
5032Brána Firewall systému Windows se nepodařilo upozornit uživatele, že je blokován aplikace přijímat příchozí připojení v síti.
5033Ovladač brány Firewall systému Windows byla úspěšně spuštěna.
5034Ovladač brány Firewall systému Windows byla zastavena.
5035Ovladač brány Firewall systému Windows se nepodařilo spustit.
5037Ovladač brány Windows Firewall zjištěna chyba runtime kritické. Ukončení.
5058Soubor klíče operace.
5059Operace přenesení klíče.

Podkategorie: Změna stavu zabezpečení

IDZpráva
4608Spouštění systému Windows.
4616Systémový čas byl změněn.
4621Správce obnovit systém ze CrashOnAuditFail. Uživatelé, kteří nejsou správci, bude nyní povoleno přihlášení. Některé aktivity auditovatelné nenahrál.

Podkategorie: Rozšíření systému zabezpečení

IDZpráva
4610Ověřovací balíček byl načten podle místního úřadu zabezpečení.
4611Místní úřad zabezpečení důvěryhodné přihlášení zaregistrována.
4614Oznamovací balíček byl načten pomocí Správce účtů zabezpečení.
4622Balíček zabezpečení byl načten podle místního úřadu zabezpečení.
4697Služba byla nainstalována v systému.

Podkategorie: Integrita systému

IDZpráva
4612Vnitřní prostředky přidělené pro službu Řízení front zpráv auditu byly vyčerpány, což způsobí ztrátu některých auditů.
4615Neplatné použití portu LPC.
4618Vzorek zabezpečení sledované události došlo.
4816RPC zjistil narušení integrity při dešifrování příchozí zprávy.
5038Kód integrity zjištěno, že obraz hash souboru není platná. Soubor může být poškozen v důsledku neoprávněné změně nebo neplatný algoritmus hash může znamenat potenciální chyba disku zařízení.
5056Kryptografické samočinného testu byla provedena.
5057Kryptografické primitivní operace se nezdařila.
5060Ověření se nezdařilo.
5061Kryptografické operace.
5062Jádru kryptografické že samočinného testu byla provedena.
Poznámky
  • Vrátit více detailní seznam položek všech auditování zabezpečení událost, spusťte následující příkaz na příkazovém řádku se zvýšenými oprávněními jako správce:
    wevtutil gp, Microsoft-Windows-Security-auditování /ge /gm:true
    Následující příklad ukazuje část produkce:
    event:    value: 4706
    version: 0
    opcode: 0
    channel: 10
    level: 4
    task: 0
    keywords: 0x8000000000000000
    message: A new trust was created to a domain.
    Subject:
    Security ID:
    Security IDAccount Name:Account NameAccount Domain: Account DomainLogon ID:Logon IDTrusted Domain:Domain Name:
    Domain NameDomain ID:Domain IDTrust Information:Trust Type:
    Trust TypeTrust Direction:Trust DirectionTrust Attributes:Trust AttributesSID Filtering:SID Filtering
  • Chcete-li seznam všech auditování zabezpečení kategorií a podkategorií, spusťte následující příkaz na příkazovém řádku se zvýšenými oprávněními jako správce:
    auditpol/list / subcategory: *

Odkazy

Další informace o nástroji Wevtutil naleznete na následujícím webu společnosti Microsoft:Další informace o nástroji Auditpol naleznete na následujícím webu společnosti Microsoft:Další informace o použití Zásady skupiny ke konfiguraci podrobných nastavení auditu zabezpečení klepněte na následující číslo článku databáze Microsoft Knowledge Base:

921469 jak použít Zásady skupiny ke konfiguraci podrobných nastavení auditu zabezpečení pro počítače se systémem Windows Vista a systémem Windows Server 2008 v doméně systému Windows Server 2008, v doméně systému Windows Server 2003 nebo v doméně systému Windows 2000

Další informace o Průvodce zabezpečením systému Windows Vista naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 947226 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor