Einführung
Dieser Artikel beschreibt verschiedene Sicherheit und auditing Ereignisse in Windows 7 und Windows Server 2008 R2. Dieser Artikel enthält außerdem Informationen dazu, wie diese Ereignisse zu interpretieren sind. Diese Ereignisse werden im Sicherheitsprotokoll angezeigt und mit Security Auditing protokolliert. Dieser Artikel beschreibt auch beschreibende Daten zu Ereignissen abrufen.
Weitere Informationen
Dieser Abschnitt listet alle Windows 7 und Windows Server 2008 R2 Sicherheit überwachen Ereignisse nach Kategorie und Unterkategorie.
Kategorie: Anmeldung
Unterkategorie: Überprüfung der Anmeldeinformationen
| ID | Nachricht |
|---|---|
| 4774 | Ein Konto wurde für die Anmeldung zugeordnet. |
| 4775 | Ein Konto konnte nicht für die Anmeldung zugeordnet werden. |
| 4776 | Der Computer versucht, die Anmeldeinformationen für ein Konto zu überprüfen. |
| 4777 | Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen. |
Unterkategorie: Kerberos-Authentifizierungsdienst
| ID | Nachricht |
|---|---|
| 4768 | Kerberos-Authentifizierung-Ticket (TGT) wurde angefordert. |
| 4771 | Kerberos-Vorauthentifizierung ist fehlgeschlagen. |
| 4772 | Eine Anfrage für Authentifizierungsticket Kerberos ist fehlgeschlagen. |
Unterkategorie: Kerberos-Ticket Servicearbeitsgänge
| ID | Nachricht |
|---|---|
| 4769 | Ein Kerberos-Dienstticket wurde angefordert. |
| 4770 | Ein Kerberos-Dienstticket wurde erneuert. |
| 4773 | Kerberos-Ticket angefordert ist fehlgeschlagen. |
Kategorie: Account-Management
Unterkategorie: Anwendungsgruppe Management
| ID | Nachricht |
|---|---|
| 4783 | Eine Basisanwendungsgruppe wurde erstellt. |
| 4784 | Eine Basisanwendungsgruppe wurde geändert. |
| 4785 | Eine Basisanwendungsgruppe wurde ein Mitglied hinzugefügt. |
| 4786 | Eine Basisanwendungsgruppe wurde ein Mitglied entfernt. |
| 4787 | Eine Basisanwendungsgruppe wurde nicht-Mitglied hinzugefügt. |
| 4788 | Nicht-Mitglied wurde aus eine Basisanwendungsgruppe entfernt. |
| 4789 | Eine Basisanwendungsgruppe wurde gelöscht. |
| 4790 | Eine LDAP-Abfragegruppe erstellt wurde. |
| 4791 | Eine Basisanwendungsgruppe wurde geändert. |
| 4792 | Eine LDAP-Abfragegruppe wurde gelöscht. |
Unterkategorie: Computer Account-Management
| ID | Nachricht |
|---|---|
| 4741 | Ein Computerkonto wurde erstellt. |
| 4742 | Ein Computerkonto wurde geändert. |
| 4743 | Ein Computerkonto wurde gelöscht. |
Unterkategorie: Verteilergruppe Management
| ID | Nachricht |
|---|---|
| 4744 | Eine lokale Gruppe mit deaktivierter Sicherheit wurde erstellt. |
| 4745 | Eine lokale Gruppe mit deaktivierter Sicherheit wurde geändert. |
| 4746 | Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4747 | Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt. |
| 4748 | Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht. |
| 4749 | Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt. |
| 4750 | Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert. |
| 4751 | Eine globale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4752 | Ein Mitglied wurde aus einer globalen Gruppe mit deaktivierter Sicherheit entfernt. |
| 4753 | Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht. |
| 4759 | Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt. |
| 4760 | Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert. |
| 4761 | Eine universelle Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4762 | Ein Mitglied wurde aus einer universellen Gruppe mit deaktivierter Sicherheit entfernt. |
Unterkategorie: Andere überwachen
| ID | Nachricht |
|---|---|
| 4782 | Der Kennworthash ein Konto zugegriffen wurde. |
| 4793 | Kennwort Richtlinie überprüfen API aufgerufen wurde. |
Unterkategorie: Sicherheitsgruppe Management
| ID | Nachricht |
|---|---|
| 4727 | Eine globale Gruppe mit aktivierter Sicherheit wurde erstellt. |
| 4728 | Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4729 | Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt. |
| 4730 | Eine globale Gruppe mit aktivierter Sicherheit wurde gelöscht. |
| 4731 | Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt. |
| 4732 | Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4733 | Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt. |
| 4734 | Eine lokale Gruppe mit aktivierter Sicherheit wurde gelöscht. |
| 4735 | Eine lokale Gruppe mit aktivierter Sicherheit wurde geändert. |
| 4737 | Eine globale Gruppe mit aktivierter Sicherheit wurde geändert. |
| 4754 | Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt. |
| 4755 | Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert. |
| 4756 | Eine universelle Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt. |
| 4757 | Ein Mitglied wurde aus einer universellen Gruppe mit aktivierter Sicherheit entfernt. |
| 4758 | Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht. |
| 4764 | Ein Gruppentyp wurde geändert. |
Unterkategorie: Benutzerkontenverwaltung
| ID | Nachricht |
|---|---|
| 4720 | Ein Benutzerkonto wurde erstellt. |
| 4722 | Ein Benutzerkonto wurde aktiviert. |
| 4723 | Es wurde versucht, ein Kennwort zu ändern. |
| 4724 | Es wurde versucht, ein Passwort zurücksetzen. |
| 4725 | Ein Benutzerkonto wurde deaktiviert. |
| 4726 | Ein Benutzerkonto wurde gelöscht. |
| 4738 | Ein Benutzerkonto wurde geändert. |
| 4740 | Ein Benutzerkonto wurde gesperrt. |
| 4765 | SID History wurde zu einem Konto hinzugefügt. |
| 4766 | SID History ein Konto hinzufügen ist fehlgeschlagen. |
| 4767 | Die Sperrung eines Benutzerkontos wurde aufgehoben. |
| 4780 | Die ACL wurde für Konten der Gruppen Mitglieder festlegen. |
| 4781 | Der Name eines Kontos wurde geändert: |
| 4794 | Versuch der Verzeichnisdienste wiederherstellen festlegen. |
| 5376 | Anmeldeinformations-Manager Anmeldeinformationen wurden gesichert. |
| 5377 | Anmeldeinformations-Manager Anmeldeinformationen wurden von einer Sicherung wiederhergestellt. |
Kategorie: Detaillierte Überwachung
Unterkategorie: DPAPI Aktivität
| ID | Nachricht |
|---|---|
| 4692 | Sicherung des Data Protection-Hauptschlüssel wurde versucht. |
| 4693 | Wiederherstellung von Data Protection-Hauptschlüssel wurde versucht. |
| 4694 | Schutz von überwachten geschützten Daten wurde versucht. |
| 4695 | Unprotection überwacht geschützte Daten wurde versucht. |
Unterkategorien: Erstellung
| ID | Nachricht |
|---|---|
| 4688 | Ein neuer Prozess wurde erstellt. |
| 4696 | Prozess wurde ein primäres Token zugewiesen. |
Unterkategorie: Beendigung
| ID | Nachricht |
|---|---|
| 4689 | Ein Prozess wurde beendet. |
Unterkategorie: RPC-Ereignisse
| ID | Nachricht |
|---|---|
| 5712 | Ein Remote Procedure Call (RPC) wurde versucht. |
Kategorie: DS-Zugriff
Unterkategorie: Detaillierte Verzeichnisdienstreplikation
| ID | Nachricht |
|---|---|
| 4928 | Ein Namenskontext Active Directory Replikat Quelle wurde. |
| 4929 | Ein Namenskontext Active Directory Replikat Quelle wurde entfernt. |
| 4930 | Ein Namenskontext Active Directory Replikat Quelle geändert wurde. |
| 4931 | Ein Namenskontext Active Directory Replikat Ziel wurde geändert. |
| 4934 | Attribute eines Active Directory-Objekts repliziert. |
| 4935 | Replikationsfehler beginnt. |
| 4936 | Replikationsfehler endet. |
| 4937 | Ein veraltetes Objekt wurde von einem Replikat entfernt. |
Unterkategorie: Active Directory-Zugriff
| ID | Nachricht |
|---|---|
| 4662 | Ein Vorgang wurde für ein Objekt ausgeführt. |
Unterkategorie: Verzeichnis geändert
| ID | Nachricht |
|---|---|
| 5136 | Ein Verzeichnisdienstobjekt wurde geändert. |
| 5137 | Ein Verzeichnisdienstobjekt erstellt wurde. |
| 5138 | Ein Verzeichnisdienstobjekt wurde wiederhergestellt. |
| 5139 | Ein Verzeichnisdienstobjekt wurde verschoben. |
| 5141 | Ein Verzeichnisdienstobjekt wurde gelöscht. |
Unterkategorie: Directory-Replikation
| ID | Nachricht |
|---|---|
| 4932 | Synchronisierung eines Replikats eines Active Directory Namenskontext begonnen hat. |
| 4933 | Synchronisierung eines Replikats einer Active Directory-Namenskontext wurde beendet. |
Kategorie: Anmeldung/Abmeldung
Unterkategorie: IPsec Erweiterter Modus
| ID | Nachricht |
|---|---|
| 4978 | Im erweiterten Modus Aushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern. |
| 4979 | IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden. |
| 4980 | IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden. |
| 4981 | IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden. |
| 4982 | IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden. |
| 4983 | Eine IPsec erweiterten Modus Verhandlung fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht. |
| 4984 | Eine IPsec erweiterten Modus Verhandlung fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht. |
Unterkategorie: IPSec-Hauptmodus
| ID | Nachricht |
|---|---|
| 4646 | IKE-DoS-Schutzmodus wurde gestartet. |
| 4650 | IPSec-Hauptmodus sicherheitszuordnung wurde. Erweiterter Modus wurde nicht aktiviert. Zertifikatauthentifizierung wurde nicht verwendet. |
| 4651 | IPSec-Hauptmodus sicherheitszuordnung wurde. Erweiterter Modus wurde nicht aktiviert. Ein Zertifikat wurde für die Authentifizierung verwendet. |
| 4652 | Eine Hauptmodus-IPSec-Aushandlung ist fehlgeschlagen. |
| 4653 | Eine Hauptmodus-IPSec-Aushandlung ist fehlgeschlagen. |
| 4655 | IPSec-Hauptmodus sicherheitszuordnung beendet. |
| 4976 | Während der Hauptmodusaushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern. |
| 5049 | IPSec-sicherheitszuordnung wurde gelöscht. |
| 5453 | IPSec-Richtlinienagent Active Directory Storage-Richtlinie auf dem Computer angewendet. |
Unterkategorie: IPSec-Schnellmodus
| ID | Nachricht |
|---|---|
| 4654 | Eine IPSec-Verhandlung fehlgeschlagen |
| 4977 | Während der Schnellmodusaushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern. |
| 5451 | IPSec-Schnellmodus sicherheitszuordnung wurde. |
| 5452 | IPSec-Schnellmodus sicherheitszuordnung beendet. |
Unterkategorie: Abmelden
| ID | Nachricht |
|---|---|
| 4634 | Ein Konto wurde abgemeldet. |
| 4647 | Benutzerinitiierte abmelden. |
Unterkategorie: Anmeldung
| ID | Nachricht |
|---|---|
| 4624 | Ein Konto wurde erfolgreich angemeldet. |
| 4625 | Ein Konto konnte sich nicht anmelden. |
| 4648 | Ein Anmeldeversuch wurde explizite Anmeldeinformationen verwendet. |
| 4675 | SIDs gefiltert wurden. |
Unterkategorie: Netzwerkrichtlinienserver
| ID | Nachricht |
|---|---|
| 6272 | Network Policy Server einen Benutzer Zugriff gewährt. |
| 6273 | Network Policy Server verweigert einem Benutzer. |
| 6274 | Network Policy Server verworfen Anforderung für einen Benutzer. |
| 6275 | Network Policy Server verworfen Accounting Anforderung für einen Benutzer. |
| 6276 | Netzwerkrichtlinienserver Isolierte Benutzer. |
| 6277 | Network Policy Server Zugriff für einen Benutzer jedoch auf Probe setzen, da der Host nicht definierten Integritätsrichtlinie erfüllen. |
| 6278 | Netzwerkrichtlinienserver Mitglied voller Zugriff gewährt, da der Host definierten Integritätsrichtlinie erfüllt. |
| 6279 | Netzwerkrichtlinienserver gesperrtes Benutzerkonto durch wiederholte, fehlgeschlagene Authentifizierungsversuche. |
| 6280 | Netzwerkrichtlinienserver entsperrt das Benutzerkonto. |
Unterkategorie: Andere Anmelde-/Abmeldeereignisse
| ID | Nachricht |
|---|---|
| 4649 | Ein Replay-Angriff festgestellt. |
| 4778 | Eine Sitzung wurde mit einer Arbeitsstation verbunden. |
| 4779 | Eine Windowstation wurde eine Sitzung getrennt. |
| 4800 | Die Arbeitsstation wurde gesperrt. |
| 4801 | Die Arbeitsstation wurde entsperrt. |
| 4802 | Der Bildschirmschoner wurde aufgerufen. |
| 4803 | Der Bildschirmschoner wurde geschlossen. |
| 5378 | Die angeforderten Anmeldeinformationen Delegierung wurde gemäß Richtlinie nicht zulässig. |
| 5632 | Antrag mit einem drahtlosen Netzwerk authentifizieren. |
| 5633 | Antrag an ein verkabeltes Netzwerk authentifizieren. |
Unterkategorie: Spezielle Anmeldung
| ID | Nachricht |
|---|---|
| 4964 | Gruppen haben eine neue Anmeldung zugeordnet. |
Kategorie: Objektzugriff
Unterkategorie: Anwendung generieren
| ID | Nachricht |
|---|---|
| 4665 | Versuch ein Anwendungskontextes Client erstellen. |
| 4666 | Eine Anwendung hat versucht, einen Vorgang: |
| 4667 | Ein Clientkontext Anwendung wurde gelöscht. |
| 4668 | Eine Anwendung initialisiert wurde. |
Unterkategorie: Zertifikatdienste
| ID | Nachricht |
|---|---|
| 4868 | Der Zertifikat-Manager verweigert eine ausstehende Anforderung. |
| 4869 | Die Zertifikatdienste haben eine Anforderung erneut erhalten. |
| 4870 | Ein Zertifikat wurde gesperrt. |
| 4871 | Zertifikatsdienste erhielt eine Anforderung zum Veröffentlichen der Zertifikatssperrliste (CRL). |
| 4872 | Die Zertifikatssperrliste (CRL) veröffentlicht. |
| 4873 | Eine Zertifikat-Anforderung Erweiterung geändert. |
| 4874 | Ein oder mehrere Zertifikatanforderungsattribute wurden geändert. |
| 4875 | Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten. |
| 4876 | Die Sicherung der Zertifikatdienste wurde gestartet. |
| 4877 | Die Sicherung der Zertifikatdienste wurde abgeschlossen. |
| 4878 | Die Wiederherstellung der Zertifikatdienste wurde gestartet. |
| 4879 | Beendet die Wiederherstellung der Zertifikatdienste. |
| 4880 | Zertifikatsdienste gestartet. |
| 4881 | Die Zertifikatdienste wurden beendet. |
| 4882 | Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert. |
| 4883 | Zertifikatsdienste wiedergefunden einen archivierten Schlüssel. |
| 4884 | Zertifikatsdienste importiert ein Zertifikat in die Datenbank. |
| 4885 | Audit-Filter für die Zertifikatsdienste geändert. |
| 4886 | Die Zertifikatdienste haben eine Anforderung erhalten. |
| 4887 | Zertifikatdienste eine Anforderung genehmigt und ein Zertifikat ausgestellt. |
| 4888 | Eine Anforderung wurde abgelehnt. |
| 4889 | Zertifikatsdienste festgelegt Status einer auf Ausstehend. |
| 4890 | Der Zertifikat-Manager für die Zertifikatsdienste geändert. |
| 4891 | Ein Konfigurationseintrag in den Zertifikatdiensten geändert. |
| 4892 | Eine Eigenschaft der Zertifikatdienste geändert. |
| 4893 | Zertifikatdienste haben einen Schlüssel archiviert. |
| 4894 | Zertifikatdienste importiert und haben einen Schlüssel archiviert. |
| 4895 | Veröffentlicht das CA-Zertifikat in Active Directory-Domänendienste. |
| 4896 | Eine oder mehrere Zeilen wurden von der Zertifikatdatenbank gelöscht. |
| 4897 | Optimale aktiviert: |
| 4898 | Zertifikatdienste geladen Vorlage. |
| 4899 | Zertifikatsdienste Vorlage wurde aktualisiert. |
| 4900 | Sicherheit von Certificate Services Vorlage wurde aktualisiert. |
| 5120 | OCSP-Responder-Dienst wurde gestartet. |
| 5121 | OCSP-Antwortdienst wurde beendet. |
| 5122 | Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert. |
| 5123 | Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert. |
| 5124 | Eine Sicherheitsrichtlinie wurde OCSP-Responder-Dienst aktualisiert. |
| 5125 | OCSP-Antwortdienst wurde eine Anforderung übermittelt. |
| 5126 | Signaturzertifikat wurde von OCSP-Responder-Dienst automatisch aktualisiert. |
| 5127 | Der Sperranbieter OCSP aktualisiert erfolgreich die Sperrinformationen. |
Unterkategorie: Detaillierte Dateifreigabe
| ID | Nachricht |
|---|---|
| 5145 | Ein Netzwerkfreigabeobjekt wurde daraufhin überprüft, ob dem Client der gewünschte Zugriff erteilt werden kann. |
Unterkategorie: Dateifreigabe
| ID | Nachricht |
|---|---|
| 5140 | Einer Netzwerk Freigabe zugegriffen. |
| 5142 | Ein Netzwerkobjekt Freigabe wurde hinzugefügt. |
| 5143 | Einer Netzwerk Freigabe-Objekt wurde geändert. |
| 5144 | Einer Netzwerk Freigabe-Objekt wurde gelöscht. |
| 5168 | Fehler beim Überprüfen der SPN für SMB-SMB2. |
Unterkategorie: Dateisystem
| ID | Nachricht |
|---|---|
| 4664 | Wurde versucht, eine feste Verknüpfung erstellen. |
| 4985 | Der Zustand der Transaktion wurde geändert. |
| 5051 | Eine Datei wurde virtualisiert. |
Unterkategorie: Filtern Plattform Verbindung
| ID | Nachricht |
|---|---|
| 5031 | Die Windows-Firewall-Dienst blockiert eine Anwendung keine eingehende Verbindungen im Netzwerk. |
| 5148 | Der Windows-Filterplattform hat einen DoS-Angriff erkannt und eine defensive im Modus. mit diesem Angriff verknüpften Pakete werden verworfen. |
| 5149 | DoS-Angriff nachgelassen hat und die normale Verarbeitung wird fortgesetzt. |
| 5150 | Von der Windows-Filterplattform wurde ein Paket blockiert. |
| 5151 | Eine restriktiver Windows-Filterplattform Filter wurde blockiert. |
| 5154 | Der Windows-Filterplattform ermöglichte eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwachen. |
| 5155 | Der Windows-Filterplattform blockiert eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwacht. |
| 5156 | Der Windows-Filterplattform hat eine Verbindung zulässig. |
| 5157 | Der Windows-Filterplattform blockiert die Verbindung. |
| 5158 | Der Windows-Filterplattform wurde eine Bindung an einen lokalen Anschluss zugelassen. |
| 5159 | Der Windows-Filterplattform blockiert eine Bindung an einen lokalen Anschluss. |
Unterkategorie: Filtern Plattform Paket ablegen
| ID | Nachricht |
|---|---|
| 5152 | Von der Windows-Filterplattform wurde ein Paket blockiert. |
| 5153 | Eine restriktiver Windows-Filterplattform Filter wurde blockiert. |
Unterkategorie: Handle bearbeiten
| ID | Nachricht |
|---|---|
| 4656 | Ein Handle zu einem Objekt wurde angefordert. |
| 4658 | Das Handle zu einem Objekt wurde geschlossen. |
| 4690 | Es wurde versucht, ein Handle zu einem Objekt duplizieren. |
Unterkategorie: Andere überwachen
| ID | Nachricht |
|---|---|
| 4671 | Eine Anwendung hat versucht, TBS blockierte Ordinalzahl zugreifen |
| 4691 | Indirekter Zugriff auf ein Objekt angefordert wurde. |
| 4698 | Ein geplanter Task wurde erstellt. |
| 4699 | Eine geplante Aufgabe wurde gelöscht. |
| 4700 | Ein geplanter Task wurde aktiviert. |
| 4701 | Eine geplante Aufgabe wurde deaktiviert. |
| 4702 | Ein geplanter Task wurde aktualisiert. |
| 4702 | Ein geplanter Task wurde aktualisiert. |
| 5888 | Ein Objekt im COM+-Katalog geändert wurde. |
| 5889 | Ein Objekt wurde aus dem COM+-Katalog gelöscht. |
| 5890 | Ein Objekt wurde COM+-Katalog hinzugefügt. |
Unterkategorie: Registrierung
| ID | Nachricht |
|---|---|
| 4657 | Ein Registrierungswert geändert wurde. |
| 5039 | Ein Registrierungsschlüssel wurde virtualisiert. |
Unterkategorie: spezielle Mehrzweck-Unterkategorie
Hinweis Das folgende Ereignis kann durch alle Ressourcen-Manager generiert werden, wenn die Unterkategorie aktiviert ist. Beispielsweise kann das folgende Ereignis Registrierung Ressource-Manager oder Datei-Systemressourcen-Manager generiert. Das Objektzugriff: Kernelobjekt und Objektzugriff: SAM Unterkategorien sind Beispiele für Unterkategorien, die ausschließlich diese Ereignisse verwenden.| ID | Nachricht |
|---|---|
| 4659 | Ein Handle zu einem Objekt wurde mit Absicht gelöscht. |
| 4660 | Ein Objekt wurde gelöscht. |
| 4661 | Ein Handle zu einem Objekt wurde angefordert. |
| 4663 | Es wurde versucht, auf ein Objekt zuzugreifen. |
Kategorie: Änderung
Unterkategorie: Überwachungsrichtlinien Sie Änderung der
| ID | Nachricht |
|---|---|
| 4715 | Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert. |
| 4719 | Systemüberwachungsrichtlinie wurde geändert. |
| 4817 | Überwachen wurden eines Objekts geändert. |
| 4902 | Der pro-Benutzer-Audit-Tabelle wurde erstellt. |
| 4904 | Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. |
| 4905 | Es wurde versucht, eine Ereignisquelle Sicherheit aufgehoben werden. |
| 4906 | Der Wert "CrashOnAuditFail" wurde geändert. |
| 4907 | Überwachungsrichtlinien Objekts wurden geändert. |
| 4908 | Spezielle Gruppen Anmeldung Tabelle geändert. |
| 4912 | Pro Benutzer Überwachungsrichtlinie wurde geändert. |
Unterkategorie: Authentifizierung Änderung
| ID | Nachricht |
|---|---|
| 4706 | Eine neue Vertrauensstellung wurde zu einer Domäne erstellt. |
| 4707 | Eine Vertrauensstellung zu einer Domäne wurde entfernt. |
| 4713 | Kerberos-Richtlinie wurde geändert. |
| 4716 | Informationen über vertrauenswürdige Domäne wurde geändert. |
| 4717 | Ein Konto wurde Sicherheitszugriff gewährt. |
| 4718 | Ein Konto wurde Sicherheitszugriff entfernt. |
| 4739 | Domänenrichtlinie wurde geändert. |
| 4864 | Ein Namespace-Konflikt aufgetreten. |
| 4865 | Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde hinzugefügt. |
| 4866 | Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde entfernt. |
| 4867 | Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde geändert. |
Unterkategorie: Autorisierung Änderung
| ID | Nachricht |
|---|---|
| 4704 | Ein Benutzerrecht wurde zugewiesen. |
| 4705 | Ein Benutzerrecht wurde entfernt. |
| 4714 | Data Recovery Agent Gruppenrichtlinie für Encrypting File System (EFS) wurde geändert. Die Änderungen wurden übernommen. |
Unterkategorie: Änderung Plattform filtern
| ID | Nachricht |
|---|---|
| 4709 | IPSec-Richtlinien-Agent-Dienst wurde gestartet. |
| 4710 | Der IPSec-Richtlinien-Agent-Dienst wurde deaktiviert. |
| 4711 | Die folgenden enthalten:
|
| 4712 | IPSec-Richtlinienagent hat einen schwerwiegenden Fehler entdeckt. |
| 5040 | IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde hinzugefügt. |
| 5041 | IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde geändert. |
| 5042 | IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde gelöscht. |
| 5043 | IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde hinzugefügt. |
| 5044 | IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde geändert. |
| 5045 | IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde gelöscht. |
| 5046 | IPSec-Einstellung wurde geändert. Crypto wurde hinzugefügt. |
| 5047 | IPSec-Einstellung wurde geändert. Ein Crypto wurde geändert. |
| 5048 | IPSec-Einstellung wurde geändert. Ein Crypto wurde gelöscht. |
| 5440 | Die folgende Legende war zu Beginn der Windows Filtern Plattform Basisfiltermodul. |
| 5441 | Der folgende Filter wurde bei der Windows-Filterung Plattform Basisfiltermodul gestartet. |
| 5442 | Der folgende Anbieter war zu Beginn der Windows Filtern Plattform Basisfiltermodul. |
| 5443 | Die folgenden Anbieterkontext war zu Beginn der Windows Filtern Plattform Basisfiltermodul. |
| 5444 | Die folgende untergeordneten Ebene war zu Beginn der Windows Filtern Plattform Basisfiltermodul. |
| 5446 | Windows-Filterplattform Legende wurde geändert. |
| 5448 | Windows-Filterplattform Anbieter wurde geändert. |
| 5449 | Ein Windows-Filterplattform Anbieterkontext wurde geändert. |
| 5450 | Eine untergeordnete Ebene Windows-Filterplattform wurde geändert. |
| 5456 | PAStore IPSec-Richtlinie für Active Directory-Speichers auf dem Computer angewendet. |
| 5457 | IPSec-Richtlinien-Agent konnte IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren. |
| 5458 | IPSec-Richtlinien-Agent lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer. |
| 5459 | IPSec-Richtlinien-Agent konnte lokal zwischengespeicherte Kopie der IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren. |
| 5460 | IPSec-Richtlinien-Agent die IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer angewendet. |
| 5461 | IPSec-Richtlinien-Agent konnte IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer installieren. |
| 5462 | IPSec-Richtlinien-Agent konnte einige Regeln der aktiven IPSec-Richtlinie auf dem Computer. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden. |
| 5463 | IPSec-Richtlinien-Agent für die Änderung der aktiven IPSec-Richtlinie abgefragt und keine Änderung erkannt. |
| 5464 | IPSec-Richtlinien-Agent für die Änderung der aktiven IPSec-Richtlinie abgefragt, Änderung erkannt und angewendet. |
| 5465 | IPSec-Richtlinien-Agent hat eine Steuerung für das erneute Laden der IPSec-Richtlinie und das Steuerelement verarbeitet. |
| 5466 | IPSec-Richtlinien-Agent abgerufen Änderungen der Active Directory-IPSec-Richtlinie bestimmt, dass Active Directory nicht erreicht werden kann, wird stattdessen die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie. Änderungen an Active Directory-IPSec-Richtlinie seit die letzte Abfrage konnte nicht angewendet werden. |
| 5467 | IPSec-Richtlinien-Agent abgerufen Änderungen der Active Directory-IPSec-Richtlinie bestimmt, dass Active Directory erreicht und keine Änderungen gefunden. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet. |
| 5468 | IPSec-Richtlinien-Agent für die Änderung der Active Directory-IPSec-Richtlinie abgefragt ermittelt Active Directory erreichen, Änderungen und die Änderungen übernommen. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet. |
| 5471 | IPSec-Richtlinien-Agent geladen lokalen Speicher-IPSec-Richtlinie auf dem Computer. |
| 5472 | IPSec-Richtlinien-Agent konnte lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen. |
| 5473 | IPSec-Richtlinien-Agent geladen Verzeichnisspeicher IPSec-Richtlinie auf dem Computer. |
| 5474 | IPSec-Richtlinien-Agent konnte Verzeichnisspeicher IPSec-Richtlinie auf dem Computer geladen. |
| 5477 | IPSec-Richtlinien-Agent konnte Schnellmodusfilter hinzufügen. |
Unterkategorie: MPSSVC Regelebene Änderung
| ID | Nachricht |
|---|---|
| 4944 | Die folgende Richtlinie war aktiv, wenn die Windows-Firewall gestartet. |
| 4945 | Eine Regel wurde aufgeführt, wenn die Windows-Firewall gestartet. |
| 4946 | Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde hinzugefügt. |
| 4947 | Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde geändert. |
| 4948 | Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde gelöscht. |
| 4949 | Windows Firewall Settings wurden auf die Standardwerte wiederhergestellt. |
| 4950 | Windows-Firewall-Einstellung wurde geändert. |
| 4951 | Windows-Firewall ignoriert eine Regel, seine Hauptversionsnummer nicht erkannt. |
| 4952 | Windows-Firewall ignoriert Teile einer Regel, da die Nebenversionsnummer nicht erkannt wird. Andere Teile der Regel erzwungen werden. |
| 4953 | Windows-Firewall ignoriert Regel, da konnte nicht analysiert werden. |
| 4954 | Gruppenrichtlinien für Windows-Firewall geändert und die neue Einstellung angewendet wurden. |
| 4956 | Windows-Firewall geändert das aktive Profil. |
| 4957 | Windows-Firewall hat die folgende Regel nicht angewendet: |
| 4958 | Windows-Firewall hat nicht die folgende Regel angewendet, da die Regel nicht auf diesem Computer konfigurierten Elemente verwiesen: |
| 5050 | Da diese API nicht auf dieser Version von Windows unterstützt wird abgelehnt, programmgesteuert mithilfe eines Aufrufs von INetFwProfile.FirewallEnabled(FALSE) Schnittstelle Windows-Firewall deaktiviert. Dies ist wahrscheinlich ein Programm, das mit dieser Version von Windows nicht kompatibel ist. Wenden Sie sich an den Hersteller des Programms sicherstellen, dass Sie eine kompatibles Programmversion. |
Unterkategorie: Andere Richtlinienänderungsereignisse
| ID | Nachricht |
|---|---|
| 4909 | Die lokale Richtlinie der TBS wurden geändert. |
| 4910 | Gruppenrichtlinien für die TBS wurden geändert. |
| 5063 | Ein Kryptografiedienstanbieter wurde versucht. |
| 5064 | Ein kryptografischer Kontext Vorgang wurde versucht. |
| 5065 | Eine kryptografischer Kontext Änderung wurde versucht. |
| 5066 | Kryptografiefunktion Vorgang wurde versucht. |
| 5067 | Eine kryptografische Funktion Änderung wurde versucht. |
| 5068 | Ein kryptografische Funktion Anbieter Vorgang wurde versucht. |
| 5069 | Eine kryptografische Funktion Operation wurde versucht. |
| 5070 | Änderung Eigenschaft Kryptografiefunktion versuchte. |
| 5447 | Windows-Filterplattform Filter wurde geändert. |
| 6144 | Sicherheitsrichtlinien in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet. |
| 6145 | Fehler beim Verarbeiten der Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten. |
Unterkategorie: spezielle Mehrzweck-Unterkategorie
Hinweis Das folgende Ereignis kann durch alle Ressourcen-Manager generiert werden, wenn die Unterkategorie aktiviert ist. Beispielsweise kann das folgende Ereignis Registrierung Ressource-Manager oder Datei-Systemressourcen-Manager generiert.| ID | Nachricht |
|---|---|
| 4670 | Berechtigungen für ein Objekt geändert wurden. |
Kategorie: Rechteverwendung
Unterkategorie: Sensible Verwendung von rechten / unempfindlich Rechteverwendung
| ID | Nachricht |
|---|---|
| 4672 | Besondere Rechte bei neuer Anmeldung. |
| 4673 | Privilegierter Dienst aufgerufen wurde. |
| 4674 | Ein Vorgang bezog sich auf ein privilegiertes Objekt. |
Kategorie: System
Unterkategorie: IPSec-Treiber
| ID | Nachricht |
|---|---|
| 4960 | IPsec verworfen ein eingehendes Paket, das eine Integritätstest fehlgeschlagen. Wenn das Problem weiterhin besteht, kann dafür sein, dass ein Netzwerkproblem oder diese Pakete während der Übertragung an den Computer geändert werden. Überprüfen Sie die Pakete vom Remotecomputer identisch mit denen von diesem Computer empfangen. Dieser Fehler möglicherweise auch Probleme der Interoperabilität mit anderen IPSec-Implementierung. |
| 4961 | IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Wenn das Problem weiterhin besteht, könnte dies einen Replay-Angriff gegen diese Computer hinweisen. |
| 4962 | IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Eingehende Paket war zu niedrig Sequenznummer um sicherzustellen, dass es keine Wiederholung. |
| 4963 | IPsec verworfen eingehenden Klartext-Paket, die verschlüsselt sein sollten. Wenn der Remotecomputer mit einer Anforderung ausgehende IPSec-Richtlinie konfiguriert ist, möglicherweise diese gutartigen und erwartet. Dies kann auch durch Ändern der IPSec-Richtlinie ohne diesen Computer Remotecomputer verursacht werden. Dies könnte ein spoofing Angriffsversuch. |
| 4965 | IPsec hat ein Paket von einem Remotecomputer mit einer falschen Security Parameter Index (SPI). Dies wird normalerweise durch fehlerhafte Hardware verursacht, die Pakete beschädigen. Wenn dieser Fehler weiterhin auftritt, überprüfen Sie die Pakete vom Remotecomputer identisch mit denen von diesem Computer empfangen. Dieser Fehler möglicherweise auch Probleme der Interoperabilität mit anderen IPSec-Implementierung. In diesem Fall wenn Konnektivität nicht behindert wird, können dies ignoriert werden. |
| 5478 | IPSec-Richtlinien-Agent-Dienst wurde gestartet. |
| 5479 | IPSec-Dienste wurde beendet. Das Beenden des IPSec-Dienste kann gefährdet Computers größer Angriff oder den Computer potenziellen Sicherheitsrisiken aussetzen. |
| 5480 | IPSec-Richtlinien-Agent konnte die vollständige Liste der Netzwerkschnittstellen auf dem Computer. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten kann. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden. |
| 5483 | IPSec-Richtlinien-Agent konnte nicht den RPC-Server initialisiert werden. Der Dienst konnte nicht gestartet werden. |
| 5484 | IPSec-Richtlinien-Agent einen kritischen Fehler und wurde beendet. Das Beenden dieses Dienstes kann den Computer stärker gefährdet Angriff oder den Computer potenziellen Sicherheitsrisiken aussetzen. |
| 5485 | IPSec-Richtlinien-Agent konnte einige IPSec-Filter auf einem Plug & Play-Ereignis für Netzwerkschnittstellen verarbeiten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten kann. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden. |
Unterkategorie: Andere Systemereignisse
| ID | Nachricht |
|---|---|
| 5024 | Windows Firewall-Dienst wurde erfolgreich gestartet. |
| 5025 | Der Windows-Firewall-Dienst wurde beendet. |
| 5027 | Der Dienst Windows-Firewall konnte die Sicherheitsrichtlinie vom lokalen Speicher abrufen. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen. |
| 5028 | Windows-Firewall konnte die neue Sicherheitsrichtlinie nicht analysieren. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen. |
| 5029 | Windows Firewall-Dienst konnte den Treiber nicht initialisieren. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen. |
| 5030 | Der Windows-Firewall-Dienst konnte nicht gestartet werden. |
| 5032 | Windows-Firewall konnte dem Benutzer benachrichtigen, dass eine Anwendung keine eingehende Verbindungen im Netzwerk blockiert. |
| 5033 | Der Windows-Firewalltreiber wurde erfolgreich gestartet. |
| 5034 | Der Windows-Firewalltreiber wurde beendet. |
| 5035 | Der Windows-Firewalltreiber konnte nicht gestartet werden. |
| 5037 | Windows Firewalltreiber hat einen kritischen Laufzeitfehler beendet. |
| 5058 | Schlüsseldatei Vorgang. |
| 5059 | Wichtige Migrationsvorgang. |
| 6400 | BranchCache: Antwort falsch formatierte Inhalte entdecken. |
| 6401 | BranchCache: Ungültige Daten von einem Peer empfangen. Daten verworfen. |
| 6403 | BranchCache: Gehostete Caches gesendet eine falsch formatierte Antwort an den Client. |
| 6404 | BranchCache: Gehostete Caches konnte nicht authentifiziert werden bereitgestellte Zertifikat verwenden. |
| 6405 | BranchCache: %2 Instanzen der Ereignis-Id %1 ist aufgetreten. |
| 6406 | %1 die Windows-Firewall Filterung für folgende Steuerelement registriert: %2 |
| 6407 | 1% |
Unterkategorie: Sicherheit ändern
| ID | Nachricht |
|---|---|
| 4608 | Windows wird gestartet. |
| 4616 | Die Systemzeit wurde geändert. |
| 4621 | Administrator CrashOnAuditFail System erholt. Benutzer, die keine Administratoren sind nun kann sich anmelden. Überwachbare Aktivitäten wurden möglicherweise nicht aufgezeichnet. |
Unterkategorie: Sicherheitserweiterung
| ID | Nachricht |
|---|---|
| 4610 | Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. |
| 4611 | Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert. |
| 4614 | Ein Benachrichtigungspaket wurde von der Sicherheitskontenverwaltung geladen. |
| 4622 | Ein Sicherheitspaket wurde durch die lokale Sicherheitsinstanz geladen. |
| 4697 | Ein Dienst wurde im System installiert. |
Unterkategorie: Systemintegrität
| ID | Nachricht |
|---|---|
| 4612 | Queuing Überwachung reservierte interne Ressourcen sind erschöpft, zu einem Verlust von Überwachungsereignissen. |
| 4615 | Ungültige Verwendung des LPC-Port. |
| 4618 | Ein Ereignismuster überwachten Sicherheit aufgetreten. |
| 4816 | RPC entdeckt eine integritätsverletzung beim Entschlüsseln einer eingehenden Nachricht. |
| 5038 | Codeintegrität hat ermittelt, dass der Bild Hash einer Datei nicht gültig ist. Die Datei durch unbefugte Änderung beschädigt oder ungültige Hash deutet auf einen möglichen Gerätefehler. |
| 5056 | Eine kryptografische selbst durchgeführt wurde. |
| 5057 | Einen kryptografischen primitive ist fehlgeschlagen. |
| 5060 | Überprüfung ist fehlgeschlagen. |
| 5061 | Kryptographischer Vorgang. |
| 5062 | Kernelmodus-kryptografische Selbsttest wurde durchgeführt. |
| 6281 | Codeintegrität hat ermittelt, dass Seitenhashes der Bilddatei nicht gültig sind. Die Datei konnte nicht ordnungsgemäß ohne Seitenhashs signierte oder nicht autorisierte Änderung beschädigt sein. Ungültige Hashwerte deutet auf einen möglichen Gerätefehler |
Hinweise
- Um eine detaillierte Liste aller Sicherheitsüberwachungs-Ereignisse auszugeben, führen Sie den folgenden Befehl mit einer erhöhten Eingabeaufforderung als Administrator aus:Wevtutil Gp Microsoft-Windows-Security-Überwachung/ge /gm:true
Das folgende Beispiel zeigt einen Teil der Ausgabe:event: value: 4706
version: 0
opcode: 0
channel: 10
level: 4
task: 0
keywords: 0x8000000000000000
message: A new trust was created to a domain.
Subject:
Security ID:%3
Account Name:%4
Account Domain:%5
Logon ID:%6
Trusted Domain:
Domain Name:%1
Domain ID:%2
Trust Information:
Trust Type:%7
Trust Direction:%8
Trust Attributes:%9
SID Filtering:%10
- Um eine Liste aller Sicherheits ü berwachung Kategorien und Unterkategorien zurückzukehren, führen Sie den folgenden Befehl in ein Eingabeaufforderungsfenster mit erhöhten Rechten als Administrator:Auditpol/List /subcategory: *
Referenzen
Weitere Informationen zum Dienstprogramm "Wevtutil" finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen zum Dienstprogramm Auditpol finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen über erweiterte Überwachung Sicherheitsrichtlinien in Windows 7 und Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen zur in Windows Vista und Windows Server 2008 sicherheitsüberwachung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
Weitere Informationen zum Dienstprogramm Auditpol finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen über erweiterte Überwachung Sicherheitsrichtlinien in Windows 7 und Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen zur in Windows Vista und Windows Server 2008 sicherheitsüberwachung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base: