Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 947226
Einführung
Dieser Artikel beschreibt verschiedene Sicherheit und auditing Ereignisse in Windows Vista und Windows Server 2008. Dieser Artikel enthält auch Informationen zu diesen Ereignissen. Diese Ereignisse im Sicherheitsprotokoll angezeigt werden und mit einer "Sicherheits-Auditing." protokolliert Dieser Artikel beschreibt auch beschreibende Daten zu Ereignissen abgerufen.
Weitere Informationen
Dieser Abschnitt listet alle Windows Vista-Sicherheit überwachen Ereignisse nach Kategorie und Unterkategorie.

Kategorie: Anmeldung

Unterkategorie: Überprüfung

IDNachricht
4774Ein Konto wurde für die Anmeldung zugeordnet.
4775Ein Konto konnte nicht für die Anmeldung zugeordnet.
4776Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto.
4777Der Domänencontroller konnte die Anmeldeinformationen für ein Konto.

Unterkategorie: Kerberos-Authentifizierungsdienst

IDNachricht
4768Eine Kerberos-Authentifizierungsticket (TGT) wurde angefordert.
4771Kerberos-Vorauthentifizierung ist fehlgeschlagen.
4772Eine Anfrage für Authentifizierungsticket Kerberos ist fehlgeschlagen.

Unterkategorie: Kerberos-Ticket Dienstvorgänge

IDNachricht
4769Ein Kerberos-Dienstticket wurde angefordert.
4770Ein Kerberos-Dienstticket wurde erneuert.
4773Kerberos-Ticket angefordert ist fehlgeschlagen.

Kategorie: Account-Management

Unterkategorie: Anwendungsgruppe Management

IDNachricht
4783Eine Basisanwendungsgruppe wurde erstellt.
4784Eine Basisanwendungsgruppe wurde geändert.
4785Eine Basisanwendungsgruppe wurde ein Mitglied hinzugefügt.
4786Eine Basisanwendungsgruppe wurde ein Mitglied entfernt.
4787Eine Basisanwendungsgruppe wurde nicht Mitglied hinzugefügt.
4788Eine Basisanwendungsgruppe wurde nicht Mitglied entfernt.
4789Eine Basisanwendungsgruppe wurde gelöscht.
4790Eine LDAP-Abfragegruppe erstellt wurde.
4791Eine Basisanwendungsgruppe wurde geändert.
4792Eine LDAP-Abfragegruppe wurde gelöscht.

Unterkategorie: Computer Account-Management

IDNachricht
4741Ein Computerkonto wurde erstellt.
4742Ein Computerkonto wurde geändert.
4743Ein Computerkonto wurde gelöscht.

Unterkategorie: Verteilergruppe Management

IDNachricht
4744Eine lokale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4745Eine lokale Gruppe mit deaktivierter Sicherheit wurde geändert.
4746Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4747Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt.
4748Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4749Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4750Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert.
4751Eine globale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4752Ein Mitglied wurde aus einer globalen Gruppe mit deaktivierter Sicherheit entfernt.
4753Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4759Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt.
4760Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert.
4761Eine universelle Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4762Ein Mitglied wurde aus einer universellen Gruppe mit deaktivierter Sicherheit entfernt.

Unterkategorie: Andere Kontenverwaltungsereignisse

IDNachricht
4739Domänenrichtlinie wurde geändert.
4782Der Hashwert des Kennworts eines Kontos wurde zugegriffen.
4793Kennwort Richtlinie überprüfen API aufgerufen wurde.

Unterkategorie: Sicherheitsgruppe Management

IDNachricht
4727Eine globale Gruppe mit aktivierter Sicherheit wurde erstellt.
4728Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4729Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt.
4730Eine globale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4731Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt.
4732Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4733Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt.
4734Eine lokale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4735Eine lokale Gruppe mit aktivierter Sicherheit wurde geändert.
4737Eine globale Gruppe mit aktivierter Sicherheit wurde geändert.
4754Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt.
4755Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert.
4756Eine universelle Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4757Ein Mitglied wurde aus einer universellen Gruppe mit aktivierter Sicherheit entfernt.
4758Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht.
4764Ein Gruppentyp wurde geändert.

Unterkategorie: Benutzerkontenverwaltung

IDNachricht
4720Ein Benutzerkonto wurde erstellt.
4722Ein Benutzerkonto wurde aktiviert.
4723Es wurde versucht, ein Kennwort zu ändern.
4724Es wurde versucht, ein Kennwort zurücksetzen.
4725Ein Benutzerkonto wurde deaktiviert.
4726Ein Benutzerkonto wurde gelöscht.
4738Ein Benutzerkonto wurde geändert.
4740Ein Benutzerkonto wurde gesperrt.
4765SID History wurde zu Ihrem Konto hinzugefügt.
4766SID History ein Konto hinzufügen ist fehlgeschlagen.
4767Die Sperrung eines Benutzerkontos wurde aufgehoben.
4780Die ACL wurde für Konten der Administratorengruppen Mitglieder festlegen.
4781Der Name eines Kontos wurde geändert:
4794Versuch der Verzeichnisdienste wiederherstellen festlegen.
5376Anmeldeinformations-Manager Anmeldeinformationen wurden gesichert.
5377Anmeldeinformations-Manager Anmeldeinformationen wurden von einer Sicherung wiederhergestellt.

Kategorie: Detaillierte Überwachung

Unterkategorie: DPAPI Aktivität

IDNachricht
4692Sicherung des Data Protection-Hauptschlüssel wurde versucht.
4693Wiederherstellung von Data Protection-Hauptschlüssel wurde versucht.
4694Schutz überwacht geschützte Daten wurde versucht.
4695Unprotection überwacht geschützte Daten wurde versucht.

Unterkategorien: Erstellung

IDNachricht
4688Ein neuer Prozess wurde erstellt.
4696Prozess wurde ein primäres Token zugewiesen.

Unterkategorie: Beendigung

IDNachricht
4689Ein Prozess wurde beendet.

Unterkategorie: RPC-Ereignisse

IDNachricht
5712Ein Remote Procedure Call (RPC) wurde versucht.

Kategorie: DS-Zugriff

Unterkategorie: Detaillierte Verzeichnisdienstreplikation

IDNachricht
4928Ein Namenskontext Active Directory Replikat Quelle wurde.
4929Ein Namenskontext Active Directory Replikat Quellcode entfernt wurde.
4930Ein Namenskontext Active Directory Replikat Quelle geändert wurde.
4931Ein Namenskontext Active Directory Replikat Ziel wurde geändert.
4934Attribute der Active Directory-Objekt repliziert.
4935Replikationsfehler beginnt.
4936Replikationsfehler endet.
4937Ein veraltetes Objekt wurde von einem Replikat entfernt.

Unterkategorie: Active Directory-Zugriff

IDNachricht
4662Ein Vorgang wurde für ein Objekt ausgeführt.

Unterkategorie: Verzeichnis geändert

IDNachricht
5136Ein Verzeichnisdienstobjekt wurde geändert.
5137Ein Verzeichnisdienstobjekt wurde erstellt.
5138Ein Verzeichnisdienstobjekt wurde wiederhergestellt.
5139Ein Verzeichnisdienstobjekt wurde verschoben.

Hinweis Das folgende Ereignis in der Unterkategorie Verzeichnisdienständerungen steht nur in Windows Vista Service Pack 1 und Windows Server 2008.
IDNachricht
5141Ein Verzeichnisdienstobjekt wurde gelöscht.

Unterkategorie: Verzeichnisdienstreplikation

IDNachricht
4932Synchronisierung eines Replikats eines Active Directory Namenskontext begonnen hat.
4933Ein Replikat des Namenskontexts ein Active Directory-Synchronisierung wurde beendet.

Kategorie: Anmeldung/Abmeldung

Unterkategorie: IPsec erweiterten Modus

IDNachricht
4978Während der Erweiterungsmodus Aushandlung erhalten IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
4979IPsec-Hauptmodus und erweiterte Sicherheitsassoziationen entstanden.
4980IPsec-Hauptmodus und erweiterte Sicherheitsassoziationen entstanden.
4981IPsec-Hauptmodus und erweiterte Sicherheitsassoziationen entstanden.
4982IPsec-Hauptmodus und erweiterte Sicherheitsassoziationen entstanden.
4983Eine erweiterte im IPSec-Aushandlung ist fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht.
4984Eine erweiterte im IPSec-Aushandlung ist fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht.

Unterkategorie: IPSec-Hauptmodus

IDNachricht
4646IKE-DoS-Schutzmodus wurde gestartet.
4650Eine IPsec-Hauptmodus Security Association gegründet. Erweiterter Modus wurde nicht aktiviert. Zertifikatauthentifizierung wurde nicht verwendet.
4651Eine IPsec-Hauptmodus Security Association gegründet. Erweiterter Modus wurde nicht aktiviert. Ein Zertifikat wurde für die Authentifizierung verwendet.
4652Ein IPsec-Hauptmodusaushandlung ist fehlgeschlagen.
4653Ein IPsec-Hauptmodusaushandlung ist fehlgeschlagen.
4655Ein IPsec-Hauptmodus Sicherheitszuordnungsdateien beendet.
4976Während der Aushandlung im Hauptmodus erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
5049IPSec-Sicherheitszuordnung wurde gelöscht.
5453Eine IPSec-Aushandlung mit einem Remotecomputer versagte, da der IKE- und AuthIP IPsec-Keying-Module (IKEEXT) Dienst nicht gestartet.

Unterkategorie: IPSec-Schnellmodus

IDNachricht
4654Eine IPSec-Verhandlung fehlgeschlagen
4977Während der Schnellmodusaushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
5451Eine IPSec-Schnellmodus Security Association gegründet.
5452Ein IPSec-Schnellmodus Sicherheitszuordnungsdateien beendet.

Unterkategorie: Abmelden

IDNachricht
4634Ein Konto wurde abgemeldet.
4647Benutzerinitiierte abmelden.

Unterkategorie: Anmeldung

IDNachricht
4624Ein Konto wurde erfolgreich angemeldet.
4625Ein Konto konnte sich nicht anmelden.
4648Ein Anmeldeversuch wurde explizite Anmeldeinformationen verwendet.
4675SIDs gefiltert wurden.
Hinweis Alle Ereignisse in der Unterkategorie Netzwerkrichtlinienserver sind nur in Windows Vista Service Pack 1 und Windows Server 2008 verfügbar.

Unterkategorie: Netzwerkrichtlinienserver

IDNachricht
6272Netzwerkrichtlinienserver Benutzer Zugriff gewährt.
6273Network Policy Server verweigert einem Benutzer.
6274Network Policy Server verworfen Anforderung für einen Benutzer.
6275Network Policy Server verworfen Accounting-Anforderung für einen Benutzer.
6276Netzwerkrichtlinienserver Isolierte Benutzer.
6277Network Policy Server Zugriff für einen Benutzer jedoch auf setzen, da der Host definierten Integritätsrichtlinien nicht erfüllen.
6278Netzwerkrichtlinienserver Mitglied voller Zugriff gewährt, da der Host definierten Integritätsrichtlinie erfüllt.
6279Netzwerkrichtlinienserver gesperrtes Benutzerkonto aufgrund wiederholter fehlgeschlagene Authentifizierungsversuche.
6280Netzwerkrichtlinienserver nicht das Benutzerkonto gesperrt.

Unterkategorie: Andere Anmelde-/Abmeldeereignisse

IDNachricht
4649Ein Replay-Angriff festgestellt.
4778Eine Sitzung wurde mit einer Arbeitsstation verbunden.
4779Eine Windowstation ist eine Sitzung getrennt.
4800Die Arbeitsstation wurde gesperrt.
4801Die Arbeitsstation wurde entsperrt.
4802Der Bildschirmschoner wurde aufgerufen.
4803Der Bildschirmschoner wurde geschlossen.
5378Die angeforderten Anmeldeinformationen Delegierung wurde gemäß Richtlinie nicht zulässig.
5632Anforderung mit einem drahtlosen Netzwerk authentifizieren.
5633Anforderung an ein verkabeltes Netzwerk authentifizieren.

Unterkategorie: Spezielle Anmeldung

IDNachricht
4964Gruppen haben eine neue Anmeldung zugeordnet.

Kategorie: Objektzugriff

Unterkategorie: Anwendung generieren

IDNachricht
4665Versuch ein Anwendungskontextes Client erstellen.
4666Eine Anwendung hat versucht, einen Vorgang:
4667Ein Clientkontext Anwendung wurde gelöscht.
4668Eine Anwendung initialisiert wurde.

Unterkategorie: Zertifikatdienste

IDNachricht
4868Der Zertifikat-Manager verweigert eine ausstehende Anforderung.
4869Die Zertifikatdienste haben eine Anforderung erneut erhalten.
4870Ein Zertifikat wurde gesperrt.
4871Zertifikatdienste haben eine Anforderung zum Veröffentlichen der Zertifikatssperrliste (CRL) erhalten.
4872Die Zertifikatssperrliste (CRL) veröffentlicht.
4873Eine Zertifikat-Anforderung Erweiterung geändert.
4874Ein oder mehrere Zertifikatanforderungsattribute wurden geändert.
4875Die Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten.
4876Die Sicherung der Zertifikatdienste wurde gestartet.
4877Die Sicherung der Zertifikatdienste wurde abgeschlossen.
4878Die Wiederherstellung der Zertifikatdienste wurde gestartet.
4879Beendet die Wiederherstellung der Zertifikatdienste.
4880Zertifikatdienste wurden gestartet.
4881Die Zertifikatdienste wurden beendet.
4882Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert.
4883Zertifikatsdienste wiedergefunden einen archivierten Schlüssel.
4884Zertifikatsdienste importiert ein Zertifikat in die Datenbank.
4885Audit-Filter für die Zertifikatsdienste geändert.
4886Die Zertifikatdienste haben eine Anforderung erhalten.
4887Zertifikatdienste eine Anforderung genehmigt und ein Zertifikat ausgestellt.
4888Eine Anforderung wurde abgelehnt.
4889Zertifikatsdienste festgelegt Status eine Zertifikat-Anforderung auf Ausstehend.
4890Die Zertifikat-Manager für die Zertifikatsdienste geändert.
4891Ein Konfigurationseintrag in den Zertifikatdiensten geändert.
4892Eine Eigenschaft der Zertifikatdienste geändert.
4893Zertifikatdienste haben einen Schlüssel archiviert.
4894Zertifikatdienste importiert und haben einen Schlüssel archiviert.
4895Veröffentlicht das Zertifizierungsstellenzertifikat in Active Directory.
4896Eine oder mehrere Zeilen wurden von der Zertifikatdatenbank gelöscht.
4897Optimale aktiviert:
4898Zertifikatsdienste laden eine Vorlage.
4899Zertifikatsdienste Vorlage wurde aktualisiert.
4900Sicherheit von Certificate Services Vorlage wurde aktualisiert.
5120OCSP-Responder-Dienst gestartet.
5121OCSP-Antwortdienst wurde beendet.
5122Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert.
5123Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert.
5124Eine Sicherheitsrichtlinie wurde OCSP-Responder-Dienst aktualisiert.
5125OCSP-Antwortdienst wurde eine Anforderung übermittelt.
5126Signaturzertifikat wurde von OCSP-Responder-Dienst automatisch aktualisiert.
5127Der Sperranbieter OCSP aktualisiert erfolgreich die Sperrinformationen.

Unterkategorie: Dateifreigabe

IDNachricht
5140Einer Netzwerk Freigabe zugegriffen.

Unterkategorie: Dateisystem

IDNachricht
4664Versuch, eine feste Verbindung erstellt.
4985Der Zustand der Transaktion wurde geändert.
5051Eine Datei wurde virtualisiert.

Unterkategorie: Filtern Plattform Verbindung

IDNachricht
5031Windows Firewall-Dienst blockiert eine Anwendung keine eingehende Verbindungen im Netzwerk.
5154Der Windows-Filterplattform hat eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen Überwachen erlaubt.
5155Der Windows-Filterplattform blockiert eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwacht.
5156Der Windows-Filterplattform hat eine Verbindung erlaubt.
5157Der Windows-Filterplattform hat eine Verbindung blockiert.
5158Der Windows-Filterplattform hat eine Bindung an einen lokalen Port erlaubt.
5159Der Windows-Filterplattform hat eine Bindung an einen lokalen Port blockiert.

Unterkategorie: Filtern Plattform Paket ablegen

IDNachricht
5152Der Windows-Filterplattform blockiert ein Paket.
5153Eine restriktiver Windows-Filterplattform Filter wurde blockiert.

Unterkategorie: Handle bearbeiten

IDNachricht
4656Ein Handle zu einem Objekt wurde angefordert.
4658Handle zu einem Objekt wurde geschlossen.
4690Es wurde versucht, ein Handle zu einem Objekt duplizieren.

Unterkategorie: Andere Objektzugriffsereignisse

IDNachricht
4671Eine Anwendung hat versucht, TBS blockierte Ordinalzahl zugreifen
4691Indirekter Zugriff auf ein Objekt angefordert wurde.
4698Ein geplanter Task erstellt wurde.
4699Ein geplanter Task wurde gelöscht.
4700Ein geplanter Task wurde aktiviert.
4701Eine geplante Aufgabe wurde deaktiviert.
4702Eine geplante Aufgabe wurde aktualisiert.
5888Ein Objekt im COM+-Katalog geändert wurde.
5889Ein Objekt wurde aus dem COM+-Katalog gelöscht.
5890Ein Objekt wurde COM+-Katalog hinzugefügt.

Unterkategorie: Registrierung

IDNachricht
4657Ein Registrierungswert geändert wurde.
5039Ein Registrierungsschlüssel wurde virtualisiert.

Unterkategorie: Spezielle Mehrzweck-Unterkategorie

Hinweis Zugehörigen Unterkategorien aktiviert ist, kann das folgende Ereignis von Ressourcen-Manager generiert werden. Beispielsweise kann das folgende Ereignis Ressourcenmanager Registrierung oder Dateisystem-Ressourcen-Manager generiert werden. Unterkategorie "Zugriff: Kernel Object" und "Objekt Zugriff: SAM" sind Beispiele für Unterkategorien, die ausschließlich diese Ereignisse verwenden.
IDNachricht
4659Ein Handle zu einem Objekt angefordert wurde mit Absicht gelöscht.
4660Ein Objekt wurde gelöscht.
4661Ein Handle zu einem Objekt wurde angefordert.
4663Es wurde versucht, auf ein Objekt zuzugreifen.

Kategorie: Änderung

Unterkategorie: Änderung der Überwachungsrichtlinien

IDNachricht
4715Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert.
4719Systemüberwachungsrichtlinie wurde geändert.
4902Pro-Benutzer-Audit Policy-Tabelle erstellt wurde.
4904Es wurde versucht, eine Sicherheit Ereignisquelle registrieren.
4905Es wurde versucht, eine Ereignisquelle Sicherheit aufgehoben werden.
4906Der Wert "CrashOnAuditFail" wurde geändert.
4907Überwachungsrichtlinien Objekts wurden geändert.
4908Spezielle Gruppen Anmeldung Tabelle geändert.
4912Pro Benutzer Überwachungsrichtlinie wurde geändert.

Unterkategorie: Authentifizierung Richtlinie ändern

IDNachricht
4706Eine neue Vertrauensstellung wurde einer Domäne erstellt.
4707Eine Vertrauensstellung zu einer Domäne wurde entfernt.
4713Kerberos-Richtlinie wurde geändert.
4716Informationen über vertrauenswürdige Domäne wurde geändert.
4717Ein Konto wurde Sicherheitszugriff gewährt.
4718Sicherheit der Systemzugriff wurde von einem Konto entfernt.
4864Ein Namespace-Konflikt wurde erkannt.
4865Einen Informationseintrag der vertrauten Gesamtstruktur hinzugefügt wurde.
4866Einen Informationseintrag der vertrauten Gesamtstruktur entfernt wurde.
4867Einen Informationseintrag der vertrauten Gesamtstruktur geändert wurde.

Unterkategorie: Autorisierung Richtlinie ändern

IDNachricht
4704Ein Benutzerrecht wurde zugewiesen.
4705Ein Benutzerrecht wurde entfernt.
4714Richtlinien Wiederherstellung verschlüsselter Daten wurde geändert.

Unterkategorie: Änderung Plattform filtern

IDNachricht
4709IPSec-Dienste gestartet wurde.
4710IPSec-Dienste wurde deaktiviert.
4711Die folgenden enthalten:
  • PAStore-Modul lokal zwischengespeicherte Kopie der IPSec-Richtlinie des Active Directory-Speichers auf dem Computer angewendet.
  • PAStore-Modul IPSec-Richtlinie des Active Directory-Speichers auf dem Computer angewendet.
  • PAStore-Modul IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer angewendet.
  • PAStore-Modul konnte nicht lokal zwischengespeicherte Kopie der IPSec-Richtlinie des Active Directory-Speichers auf dem Computer installieren.
  • PAStore-Modul konnte nicht IPSec-Richtlinie des Active Directory-Speichers auf dem Computer installieren.
  • PAStore-Modul konnte nicht IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer installieren.
  • PAStore-Modul konnte einige Regeln der aktiven IPSec-Richtlinie auf Computer anwenden.
  • PAStore-Modul konnte Verzeichnisspeicher-IPSec-Richtlinie auf dem Computer zu laden.
  • PAStore-Verzeichnisspeicher-IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul konnte nicht lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul für die Änderung der aktiven IPSec-Richtlinie abgefragt und keine Änderung festgestellt.
4712IPSec-Dienste hat einen schwerwiegenden Fehler entdeckt.
5040Geändert auf IPsec. Eine Authentifizierung wurde hinzugefügt.
5041Geändert auf IPsec. Authentifizierung festgelegt wurde geändert.
5042Geändert auf IPsec. Authentifizierung festgelegt wurde gelöscht.
5043Geändert auf IPsec. Eine Verbindungssicherheitsregel wurde hinzugefügt.
5044Geändert auf IPsec. Eine Verbindungssicherheitsregel wurde geändert.
5045Geändert auf IPsec. Eine Verbindungssicherheitsregel wurde gelöscht.
5046Geändert auf IPsec. Ein Crypto wurde hinzugefügt.
5047Geändert auf IPsec. Crypto festgelegt wurde geändert.
5048Geändert auf IPsec. Crypto festgelegt wurde gelöscht.
5440Die folgende Legende war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5441Der folgende Filter war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5442Der folgende Anbieter war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5443Folgende wurde Anbieter bei den Windows Filtern Plattform Basisfiltermodul gestartet.
5444Die folgende Schicht war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5446Windows-Filterplattform Legende wurde geändert.
5448Windows-Filterplattform Anbieter wurde geändert.
5449Ein Windows-Filterplattform Anbieterkontext wurde geändert.
5450Eine Windows-Filterplattform Schicht wurde geändert.
5456PAStore-Modul IPSec-Richtlinie des Active Directory-Speichers auf dem Computer angewendet.
5457PAStore-Modul konnte nicht IPSec-Richtlinie des Active Directory-Speichers auf dem Computer installieren.
5458PAStore-Modul lokal zwischengespeicherte Kopie der IPSec-Richtlinie des Active Directory-Speichers auf dem Computer angewendet.
5459PAStore-Modul konnte nicht lokal zwischengespeicherte Kopie der IPSec-Richtlinie des Active Directory-Speichers auf dem Computer installieren.
5460PAStore-Modul IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer angewendet.
5461PAStore-Modul konnte nicht IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer installieren.
5462PAStore-Modul konnte einige Regeln der aktiven IPSec-Richtlinie auf Computer anwenden. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.
5463PAStore-Modul für die Änderung der aktiven IPSec-Richtlinie abgefragt und keine Änderung festgestellt.
5464PAStore-Modul für die Änderung der aktiven IPSec-Richtlinie abgefragt, Änderungen erkannt und auf IPSec-Dienste angewendet.
5465PAStore-Modul hat eine Steuerung, erneute Laden der IPSec-Richtlinie und das Steuerelement erfolgreich verarbeitet.
5466PAStore-Modul überprüft die Active Directory-IPsec-Richtlinie bestimmt, dass Active Directory nicht erreicht werden kann, wird stattdessen die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie geändert. Jede Änderung der Active Directory-IPsec-Richtlinie seit die letzte Abfrage konnte nicht angewendet werden.
5467PAStore-Modul für die Änderung der Active Directory-IPsec-Richtlinie bestimmt, dass Active Directory erreicht und fand keine Änderung der Richtlinie abgefragt. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5468PAStore-Modul überprüft Änderungen der Active Directory-IPsec-Richtlinie bestimmt, dass Active Directory erreicht werden kann, ändert sich der Richtlinie die Änderungen übernommen. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5471PAStore-lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen.
5472PAStore-Modul konnte nicht lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen.
5473PAStore-Verzeichnisspeicher-IPSec-Richtlinie auf dem Computer geladen.
5474PAStore-Modul konnte Verzeichnisspeicher-IPSec-Richtlinie auf dem Computer zu laden.
5477PAStore-Modul konnte Schnellmodusfilter hinzufügen.

Unterkategorie: MPSSVC Regelebene Richtlinie ändern

IDNachricht
4944Die folgende Richtlinie war aktiv, wenn die Windows-Firewall gestartet.
4945Eine Regel wurde beim Start der Windows-Firewall aufgeführt.
4946Änderung zur Ausnahmeliste von Windows-Firewall. Eine Regel wurde hinzugefügt.
4947Änderung zur Ausnahmeliste von Windows-Firewall. Eine Regel wurde geändert.
4948Änderung zur Ausnahmeliste von Windows-Firewall. Eine Regel wurde gelöscht.
4949Windows Firewall Settings wurden auf die Standardwerte wiederhergestellt.
4950Windows-Firewall-Einstellung.
4951Eine Regel wurde ignoriert, da seine Hauptversionsnummer von Windows-Firewall nicht erkannt wurde.
4952Teile einer Regel wurden ignoriert, da die Nebenversionsnummer von Windows-Firewall nicht erkannt wurde. Die anderen Teile der Regel erzwungen werden.
4953Eine Regel wurde vom Windows-Firewall ignoriert, da die Regel nicht analysiert werden konnte.
4954Windows Firewall-Gruppenrichtlinien wurden geändert. Die neue Einstellung wurden übernommen.
4956Windows-Firewall wurde das aktive Profil geändert.
4957Windows-Firewall hat nicht die folgende Regel angewendet:
4958Windows-Firewall hat nicht die folgende Regel angewendet, da die Regel nicht auf diesem Computer konfigurierten Elemente verwiesen:
5050Da dieser API unter Windows Vista unterstützt wird abgelehnt, programmgesteuert mithilfe eines Aufrufs von INetFwProfile.FirewallEnabled(FALSE) Schnittstelle Windows-Firewall deaktiviert. Dies geschah wahrscheinlich durch ein Programm mit Windows Vista nicht kompatibel ist. Wenden Sie sich an den Hersteller des Programms sicherstellen, dass eine Windows Vista kompatibles Programm Version.

Unterkategorie: Andere Richtlinienänderungsereignisse

IDNachricht
4909Die lokalen Richtlinien für die TBS wurden geändert.
4910Gruppe-Richtlinien für die TBS wurden geändert.
5063Ein Kryptografiedienstanbieter wurde versucht.
5064Ein kryptografischer Kontext wurde versucht.
5065Eine Änderung der Kryptografiekontext versuchte.
5066Kryptografiefunktion Vorgang wurde versucht.
5067Eine Änderung Kryptografiefunktion versuchte.
5068Eine kryptografische Funktion Anbieter wurde versucht.
5069Eine kryptografische Funktion Operation wurde versucht.
5070Änderung Eigenschaft Kryptografiefunktion versuchte.
5447Windows-Filterplattform Filter wurde geändert.
6144Sicherheitsrichtlinien für die Gruppenrichtlinienobjekte erfolgreich angewendet.
6145Fehler beim Verarbeiten der Sicherheitsrichtlinie in Gruppenrichtlinienobjekte.

Unterkategorie: Spezielle Mehrzweck-Unterkategorie

Hinweis Zugehörigen Unterkategorien aktiviert ist, kann das folgende Ereignis von Ressourcen-Manager generiert werden. Beispielsweise kann das folgende Ereignis Ressourcenmanager Registrierung oder Dateisystem-Ressourcen-Manager generiert werden.
IDNachricht
4670Berechtigungen für ein Objekt geändert wurden.

Kategorie: Rechteverwendung

Unterkategorie: Sensible Verwendung von rechten / nicht vertraulichen Rechteverwendung

IDNachricht
4672Besondere Rechte bei neuer Anmeldung.
4673Privilegierter Dienst aufgerufen wurde.
4674Ein Vorgang bezog sich auf ein privilegiertes Objekt.

Kategorie: System

Unterkategorie: IPSec-Treiber

IDNachricht
4960IPsec verworfen ein eingehendes Paket, das ein Integritätstest fehlgeschlagen ist. Wenn das Problem weiterhin besteht, kann dafür sein, dass ein Netzwerkproblem oder diese Pakete während der Übertragung auf diesem Computer geändert werden. Überprüfen Sie die Pakete vom Remotecomputer dieselben wie von diesem Computer empfangen. Dieser Fehler kann auch Probleme hinsichtlich der Interoperabilität mit anderen IPsec-Implementationen angeben.
4961IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Wenn das Problem weiterhin besteht, könnte dies einen Replay-Angriff gegen diese Computer hinweisen.
4962IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Eingehende Paket war zu niedrig Sequenznummer sicherstellen, dass es keine Wiederholung.
4963IPsec verworfen ein eingehender Klartext-Paket sollte gesichert. Dies ist normalerweise durch Ändern einer IPSec-Richtlinie ohne Computer Remotecomputer. Dies kann auch ein spoofing Angriffsversuch sein.
4965IPsec hat ein Paket von einem Remotecomputer mit einer falschen Security Parameter Index (SPI). Dies wird normalerweise durch fehlerhafte Hardware verursacht, die Pakete beschädigen. Wenn dieser Fehler weiterhin auftritt, überprüfen Sie die Pakete vom Remotecomputer dieselben wie von diesem Computer empfangen. Dieser Fehler kann auch Probleme hinsichtlich der Interoperabilität mit anderen IPsec-Implementationen angeben. In diesem Fall wenn Verbindung nicht behindert wird, können dies ignoriert werden.
5478IPSec-Dienste wurde erfolgreich gestartet.
5479IPSec-Dienste wurde erfolgreich heruntergefahren. Das Beenden des IPSec-Dienste kann den Computer stärker gefährdet Angriff oder setzen den Computer potenziellen Sicherheitsrisiken.
5480IPSec-Dienste konnten die vollständige Liste von Netzwerkschnittstellen auf dem Computer abzurufen. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.
5483IPSec-Dienste konnte RPC-Server nicht initialisieren. IPSec-Dienste konnte nicht gestartet werden.
5484IPSec-Dienste einen Schwerwiegender Fehler ist aufgetreten und wurde heruntergefahren. Das Beenden des IPSec-Dienste kann den Computer stärker gefährdet Angriff oder setzen den Computer potenziellen Sicherheitsrisiken.
5485IPSec-Dienste konnte einige IPSec-Filter auf einem Plug & Play-Ereignis für Netzwerkschnittstellen verarbeiten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.

Unterkategorie: Andere Systemereignisse

IDNachricht
5024Der Windows-Firewalldienst wurde erfolgreich gestartet.
5025Der Windows-Firewalldienst wurde beendet.
5027Der Windows-Firewalldienst konnte die Sicherheitsrichtlinie vom lokalen Speicher abrufen. Der Dienst wird weiterhin die aktuelle Richtlinie erzwingen.
5028Der Windows-Firewalldienst konnte die neue Sicherheitsrichtlinie nicht analysieren. Der Dienst weiterhin derzeit erzwungene Richtlinie.
5029Der Windows-Firewalldienst konnte den Treiber nicht initialisieren. Der Dienst wird weiterhin die aktuelle Richtlinie zu erzwingen.
5030Der Windows-Firewalldienst konnte nicht gestartet werden.
5032Windows-Firewall konnte dem Benutzer benachrichtigen, dass eine Anwendung keine eingehende Verbindungen im Netzwerk blockiert.
5033Der Windows-Firewalltreiber wurde erfolgreich gestartet.
5034Der Windows-Firewalltreiber wurde beendet.
5035Der Windows-Firewalltreiber konnte nicht gestartet werden.
5037Der Windows-Firewalltreiber erkannt kritischen Laufzeitfehler. Beendet.
5058Schlüsseldatei Vorgang.
5059Wichtige Migrationsvorgang.

Unterkategorie: Sicherheit ändern

IDNachricht
4608Windows wird gestartet.
4616Die Systemzeit wurde geändert.
4621Administrator CrashOnAuditFail System erholt. Benutzer, die keine Administratoren sind nun kann sich anmelden. Überwachbare Aktivitäten wurden möglicherweise nicht aufgezeichnet.

Unterkategorie: Security Systemerweiterung

IDNachricht
4610Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
4611Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert.
4614Von der Sicherheitskontenverwaltung hat ein Benachrichtigungspaket geladen.
4622Ein Sicherheitspaket wurde durch die lokale Sicherheitsinstanz geladen.
4697Ein Dienst wurde im System installiert.

Unterkategorie: Systemintegrität

IDNachricht
4612Queuing Überwachung reservierte interne Ressourcen sind erschöpft, Verlust von Überwachungsereignissen.
4615Ungültige Verwendung des LPC-Port.
4618Ein Ereignismuster überwachten Sicherheit aufgetreten.
4816RPC entdeckt eine Verletzung der Integrität beim Entschlüsseln einer eingehenden Nachricht.
5038Codeintegrität hat ermittelt, dass der Bild Hash einer Datei nicht gültig ist. Die Datei durch unbefugte Änderung beschädigt oder ungültige Hash deutet auf einen möglichen Gerätefehler.
5056Kryptografischer Selbsttest wurde durchgeführt.
5057Einen kryptografischen primitive ist fehlgeschlagen.
5060Überprüfung ist fehlgeschlagen.
5061Kryptographischer Vorgang.
5062Kernelmodus-kryptografische Selbsttest wurde durchgeführt.
Hinweise
  • Um eine detaillierte Liste aller Sicherheitsüberwachungs-Ereignisse auszugeben, führen Sie den folgenden Befehl mit einer erhöhten Eingabeaufforderung als Administrator aus:
    Wevtutil Gp Microsoft-Windows-Security-Überwachung/ge /gm:true
    Im folgende Beispiel zeigt einen Teil der Ausgabe:
    event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		Security ID	Account Name:		Account NameAccount Domain:	 Account Domain	Logon ID:		Logon IDTrusted Domain:	Domain Name:		Domain Name	Domain ID:		Domain IDTrust Information:	Trust Type:		Trust Type	Trust Direction:	Trust Direction	Trust Attributes:	Trust Attributes	SID Filtering:		SID Filtering
  • Führen Sie den folgenden Befehl in ein Eingabeaufforderungsfenster mit erhöhten Rechten als Administrator, um eine Liste aller Sicherheits ü berwachung Kategorien und Unterkategorien:
    Auditpol List SubCategory: *
Informationsquellen
Weitere Informationen zum Dienstprogramm Wevtutil finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zum Dienstprogramm Auditpol finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zur Verwendung von Gruppenrichtlinien ausführliche Überwachung konfigurieren klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
921469 Verwendung von Gruppenrichtlinien zum Konfigurieren detaillierten Sicherheitsüberwachungsrichtlinien für Windows Vista und Windows Server 2008-basierten Computer in einer Domäne Windows Server 2008, Windows Server 2003-Domäne oder einer Windows 2000-Domäne
Weitere Informationen zu Windows Vista-Sicherheitshandbuch finden Sie auf der folgenden Microsoft-Website:

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 947226 – Letzte Überarbeitung: 10/04/2015 12:15:00 – Revision: 11.0

Windows Vista Enterprise 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 for Itanium-Based Systems

  • kbexpertiseadvanced kbinfo kbmt KB947226 KbMtde
Feedback