Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Beschreibung der Sicherheitsereignisse in Windows 7 und Windows Server 2008 R2

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 977519
Einführung
Dieser Artikel beschreibt verschiedene Sicherheit und auditing Ereignisse in Windows 7 und Windows Server 2008 R2. Dieser Artikel enthält auch Informationen wie diese Ereignisse zu interpretieren. Diese Ereignisse werden im Sicherheitsprotokoll angezeigt und mit Security Auditingprotokolliert. Dieser Artikel beschreibt auch beschreibende Daten zu Ereignissen abrufen.
Weitere Informationen
Dieser Abschnitt listet alle Windows 7 und Windows Server 2008 R2 Sicherheit überwachen Ereignisse nach Kategorie und Unterkategorie.

Kategorie: Anmeldung

Unterkategorie: Überprüfung der Anmeldeinformationen

ID Nachricht
4774Ein Konto wurde für die Anmeldung zugeordnet.
4775Ein Konto konnte nicht für die Anmeldung zugeordnet werden.
4776Der Computer versucht, die Anmeldeinformationen für ein Konto zu überprüfen.
4777Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen.

Unterkategorie: Kerberos-Authentifizierungsdienst

ID Nachricht
4768Kerberos-Authentifizierung-Ticket (TGT) wurde angefordert.
4771Kerberos-Vorauthentifizierung ist fehlgeschlagen.
4772Eine Anfrage für Authentifizierungsticket Kerberos ist fehlgeschlagen.

Unterkategorie: Kerberos-Ticket Servicearbeitsgänge

ID Nachricht
4769Ein Kerberos-Dienstticket wurde angefordert.
4770Ein Kerberos-Dienstticket wurde erneuert.
4773Kerberos-Ticket angefordert ist fehlgeschlagen.

Kategorie: Account-Management

Unterkategorie: Anwendungsgruppe Management

ID Nachricht
4783Eine Basisanwendungsgruppe wurde erstellt.
4784Eine Basisanwendungsgruppe wurde geändert.
4785Eine Basisanwendungsgruppe wurde ein Mitglied hinzugefügt.
4786Eine Basisanwendungsgruppe wurde ein Mitglied entfernt.
4787Eine Basisanwendungsgruppe wurde nicht-Mitglied hinzugefügt.
4788Nicht-Mitglied wurde aus eine Basisanwendungsgruppe entfernt.
4789Eine Basisanwendungsgruppe wurde gelöscht.
4790Eine LDAP-Abfragegruppe erstellt wurde.
4791Eine Basisanwendungsgruppe wurde geändert.
4792Eine LDAP-Abfragegruppe wurde gelöscht.

Unterkategorie: Computer Account-Management

ID Nachricht
4741Ein Computerkonto wurde erstellt.
4742Ein Computerkonto wurde geändert.
4743Ein Computerkonto wurde gelöscht.

Unterkategorie: Verteilergruppe Management

ID Nachricht
4744Eine lokale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4745Eine lokale Gruppe mit deaktivierter Sicherheit wurde geändert.
4746Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4747Eine lokale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt.
4748Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4749Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4750Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert.
4751Eine globale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4752Ein Mitglied wurde aus einer globalen Gruppe mit deaktivierter Sicherheit entfernt.
4753Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4759Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt.
4760Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert.
4761Eine universelle Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4762Ein Mitglied wurde aus einer universellen Gruppe mit deaktivierter Sicherheit entfernt.

Unterkategorie: Andere überwachen

ID Nachricht
4782Der Kennworthash ein Konto zugegriffen wurde.
4793Kennwort Richtlinie überprüfen API aufgerufen wurde.

Unterkategorie: Sicherheitsgruppe Management

ID Nachricht
4727Eine globale Gruppe mit aktivierter Sicherheit wurde erstellt.
4728Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4729Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt.
4730Eine globale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4731Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt.
4732Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4733Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt.
4734Eine lokale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4735Eine lokale Gruppe mit aktivierter Sicherheit wurde geändert.
4737Eine globale Gruppe mit aktivierter Sicherheit wurde geändert.
4754Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt.
4755Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert.
4756Eine universelle Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4757Ein Mitglied wurde aus einer universellen Gruppe mit aktivierter Sicherheit entfernt.
4758Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht.
4764Ein Gruppentyp wurde geändert.

Unterkategorie: Benutzerkontenverwaltung

ID Nachricht
4720Ein Benutzerkonto wurde erstellt.
4722Ein Benutzerkonto wurde aktiviert.
4723Es wurde versucht, ein Kennwort zu ändern.
4724Es wurde versucht, ein Passwort zurücksetzen.
4725Ein Benutzerkonto wurde deaktiviert.
4726Ein Benutzerkonto wurde gelöscht.
4738Ein Benutzerkonto wurde geändert.
4740Ein Benutzerkonto wurde gesperrt.
4765SID History wurde zu einem Konto hinzugefügt.
4766SID History ein Konto hinzufügen ist fehlgeschlagen.
4767Die Sperrung eines Benutzerkontos wurde aufgehoben.
4780Die ACL wurde für Konten der Gruppen Mitglieder festlegen.
4781Der Name eines Kontos wurde geändert:
4794Versuch der Verzeichnisdienste wiederherstellen festlegen.
5376Anmeldeinformations-Manager Anmeldeinformationen wurden gesichert.
5377Anmeldeinformations-Manager Anmeldeinformationen wurden von einer Sicherung wiederhergestellt.

Kategorie: Detaillierte Überwachung

Unterkategorie: DPAPI Aktivität

ID Nachricht
4692Sicherung des Data Protection-Hauptschlüssel wurde versucht.
4693Wiederherstellung von Data Protection-Hauptschlüssel wurde versucht.
4694Schutz von überwachten geschützten Daten wurde versucht.
4695Unprotection überwacht geschützte Daten wurde versucht.

Unterkategorien: Erstellung

ID Nachricht
4688Ein neuer Prozess wurde erstellt.
4696Prozess wurde ein primäres Token zugewiesen.

Unterkategorie: Beendigung

ID Nachricht
4689Ein Prozess wurde beendet.

Unterkategorie: RPC-Ereignisse

ID Nachricht
5712 Ein Remote Procedure Call (RPC) wurde versucht.

Kategorie: DS-Zugriff

Unterkategorie: Detaillierte Verzeichnisdienstreplikation

ID Nachricht
4928Ein Namenskontext Active Directory Replikat Quelle wurde.
4929Ein Namenskontext Active Directory Replikat Quelle wurde entfernt.
4930Ein Namenskontext Active Directory Replikat Quelle geändert wurde.
4931Ein Namenskontext Active Directory Replikat Ziel wurde geändert.
4934Attribute eines Active Directory-Objekts repliziert.
4935Replikationsfehler beginnt.
4936Replikationsfehler endet.
4937Ein veraltetes Objekt wurde von einem Replikat entfernt.

Unterkategorie: Active Directory-Zugriff

ID Nachricht
4662 Ein Vorgang wurde für ein Objekt ausgeführt.

Unterkategorie: Verzeichnis geändert

ID Nachricht
5136Ein Verzeichnisdienstobjekt wurde geändert.
5137Ein Verzeichnisdienstobjekt erstellt wurde.
5138Ein Verzeichnisdienstobjekt wurde wiederhergestellt.
5139Ein Verzeichnisdienstobjekt wurde verschoben.
5141 Ein Verzeichnisdienstobjekt wurde gelöscht.

Unterkategorie: Directory-Replikation

ID Nachricht
4932Synchronisierung eines Replikats eines Active Directory Namenskontext begonnen hat.
4933Synchronisierung eines Replikats einer Active Directory-Namenskontext wurde beendet.

Kategorie: Anmeldung/Abmeldung

Unterkategorie: IPsec Erweiterter Modus

ID Nachricht
4978Im erweiterten Modus Aushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
4979IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden.
4980IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden.
4981IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden.
4982IPSec-Hauptmodus und erweiterten Modus Sicherheitsaushandlungen eingerichtet wurden.
4983Eine IPsec erweiterten Modus Verhandlung fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht.
4984Eine IPsec erweiterten Modus Verhandlung fehlgeschlagen. Der entsprechende Hauptmodus Security Association wurde gelöscht.

Unterkategorie: IPSec-Hauptmodus

ID Nachricht
4646IKE-DoS-Schutzmodus wurde gestartet.
4650IPSec-Hauptmodus sicherheitszuordnung wurde. Erweiterter Modus wurde nicht aktiviert. Zertifikatauthentifizierung wurde nicht verwendet.
4651IPSec-Hauptmodus sicherheitszuordnung wurde. Erweiterter Modus wurde nicht aktiviert. Ein Zertifikat wurde für die Authentifizierung verwendet.
4652Eine Hauptmodus-IPSec-Aushandlung ist fehlgeschlagen.
4653Eine Hauptmodus-IPSec-Aushandlung ist fehlgeschlagen.
4655IPSec-Hauptmodus sicherheitszuordnung beendet.
4976Während der Hauptmodusaushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
5049IPSec-sicherheitszuordnung wurde gelöscht.
5453IPSec-Richtlinienagent Active Directory Storage-Richtlinie auf dem Computer angewendet.

Unterkategorie: IPSec-Schnellmodus

ID Nachricht
4654Eine IPSec-Verhandlung fehlgeschlagen
4977Während der Schnellmodusaushandlung erhielt IPsec ein Paket Ungültiger Aushandlung. Wenn das Problem weiterhin besteht, deutet ein Netzwerkproblem oder ein Versuch, diese Aushandlung wiedergeben oder ändern.
5451IPSec-Schnellmodus sicherheitszuordnung wurde.
5452IPSec-Schnellmodus sicherheitszuordnung beendet.

Unterkategorie: Abmelden

ID Nachricht
4634 Ein Konto wurde abgemeldet.
4647 Benutzerinitiierte abmelden.

Unterkategorie: Anmeldung

ID Nachricht
4624Ein Konto wurde erfolgreich angemeldet.
4625Ein Konto konnte sich nicht anmelden.
4648Ein Anmeldeversuch wurde explizite Anmeldeinformationen verwendet.
4675SIDs gefiltert wurden.

Unterkategorie: Netzwerkrichtlinienserver

ID Nachricht
6272Network Policy Server einen Benutzer Zugriff gewährt.
6273Network Policy Server verweigert einem Benutzer.
6274Network Policy Server verworfen Anforderung für einen Benutzer.
6275Network Policy Server verworfen Accounting Anforderung für einen Benutzer.
6276Netzwerkrichtlinienserver Isolierte Benutzer.
6277Network Policy Server Zugriff für einen Benutzer jedoch auf Probe setzen, da der Host nicht definierten Integritätsrichtlinie erfüllen.
6278Netzwerkrichtlinienserver Mitglied voller Zugriff gewährt, da der Host definierten Integritätsrichtlinie erfüllt.
6279Netzwerkrichtlinienserver gesperrtes Benutzerkonto durch wiederholte, fehlgeschlagene Authentifizierungsversuche.
6280Netzwerkrichtlinienserver entsperrt das Benutzerkonto.

Unterkategorie: Andere Anmelde-/Abmeldeereignisse

ID Nachricht
4649Ein Replay-Angriff festgestellt.
4778Eine Sitzung wurde mit einer Arbeitsstation verbunden.
4779Eine Windowstation wurde eine Sitzung getrennt.
4800Die Arbeitsstation wurde gesperrt.
4801Die Arbeitsstation wurde entsperrt.
4802Der Bildschirmschoner wurde aufgerufen.
4803Der Bildschirmschoner wurde geschlossen.
5378Die angeforderten Anmeldeinformationen Delegierung wurde gemäß Richtlinie nicht zulässig.
5632Antrag mit einem drahtlosen Netzwerk authentifizieren.
5633Antrag an ein verkabeltes Netzwerk authentifizieren.

Unterkategorie: Spezielle Anmeldung

ID Nachricht
4964 Gruppen haben eine neue Anmeldung zugeordnet.

Kategorie: Objektzugriff

Unterkategorie: Anwendung generieren

ID Nachricht
4665Versuch ein Anwendungskontextes Client erstellen.
4666Eine Anwendung hat versucht, einen Vorgang:
4667Ein Clientkontext Anwendung wurde gelöscht.
4668Eine Anwendung initialisiert wurde.

Unterkategorie: Zertifikatdienste

ID Nachricht
4868Der Zertifikat-Manager verweigert eine ausstehende Anforderung.
4869Die Zertifikatdienste haben eine Anforderung erneut erhalten.
4870Ein Zertifikat wurde gesperrt.
4871Zertifikatsdienste erhielt eine Anforderung zum Veröffentlichen der Zertifikatssperrliste (CRL).
4872Die Zertifikatssperrliste (CRL) veröffentlicht.
4873Eine Zertifikat-Anforderung Erweiterung geändert.
4874Ein oder mehrere Zertifikatanforderungsattribute wurden geändert.
4875Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten.
4876Die Sicherung der Zertifikatdienste wurde gestartet.
4877Die Sicherung der Zertifikatdienste wurde abgeschlossen.
4878Die Wiederherstellung der Zertifikatdienste wurde gestartet.
4879Beendet die Wiederherstellung der Zertifikatdienste.
4880Zertifikatsdienste gestartet.
4881Die Zertifikatdienste wurden beendet.
4882Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert.
4883Zertifikatsdienste wiedergefunden einen archivierten Schlüssel.
4884Zertifikatsdienste importiert ein Zertifikat in die Datenbank.
4885Audit-Filter für die Zertifikatsdienste geändert.
4886Die Zertifikatdienste haben eine Anforderung erhalten.
4887Zertifikatdienste eine Anforderung genehmigt und ein Zertifikat ausgestellt.
4888Eine Anforderung wurde abgelehnt.
4889Zertifikatsdienste festgelegt Status einer auf Ausstehend.
4890Der Zertifikat-Manager für die Zertifikatsdienste geändert.
4891Ein Konfigurationseintrag in den Zertifikatdiensten geändert.
4892Eine Eigenschaft der Zertifikatdienste geändert.
4893Zertifikatdienste haben einen Schlüssel archiviert.
4894Zertifikatdienste importiert und haben einen Schlüssel archiviert.
4895Veröffentlicht das CA-Zertifikat in Active Directory-Domänendienste.
4896Eine oder mehrere Zeilen wurden von der Zertifikatdatenbank gelöscht.
4897Optimale aktiviert:
4898Zertifikatdienste geladen Vorlage.
4899Zertifikatsdienste Vorlage wurde aktualisiert.
4900Sicherheit von Certificate Services Vorlage wurde aktualisiert.
5120OCSP-Responder-Dienst wurde gestartet.
5121OCSP-Antwortdienst wurde beendet.
5122Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert.
5123Ein Konfigurationseintrag in OCSP-Responder-Dienst geändert.
5124Eine Sicherheitsrichtlinie wurde OCSP-Responder-Dienst aktualisiert.
5125OCSP-Antwortdienst wurde eine Anforderung übermittelt.
5126Signaturzertifikat wurde von OCSP-Responder-Dienst automatisch aktualisiert.
5127Der Sperranbieter OCSP aktualisiert erfolgreich die Sperrinformationen.

Unterkategorie: Detaillierte Dateifreigabe

ID Nachricht
5145 Ein Netzwerkfreigabeobjekt wurde daraufhin überprüft, ob dem Client der gewünschte Zugriff erteilt werden kann.

Unterkategorie: Dateifreigabe

ID Nachricht
5140Einer Netzwerk Freigabe zugegriffen.
5142Ein Netzwerkobjekt Freigabe wurde hinzugefügt.
5143Einer Netzwerk Freigabe-Objekt wurde geändert.
5144Einer Netzwerk Freigabe-Objekt wurde gelöscht.
5168Fehler beim Überprüfen der SPN für SMB-SMB2.

Unterkategorie: Dateisystem

ID Nachricht
4664Wurde versucht, eine feste Verknüpfung erstellen.
4985Der Zustand der Transaktion wurde geändert.
5051Eine Datei wurde virtualisiert.

Unterkategorie: Filtern Plattform Verbindung

ID Nachricht
5031Die Windows-Firewall-Dienst blockiert eine Anwendung keine eingehende Verbindungen im Netzwerk.
5148Der Windows-Filterplattform hat einen DoS-Angriff erkannt und eine defensive im Modus. mit diesem Angriff verknüpften Pakete werden verworfen.
5149DoS-Angriff nachgelassen hat und die normale Verarbeitung wird fortgesetzt.
5150Von der Windows-Filterplattform wurde ein Paket blockiert.
5151Eine restriktiver Windows-Filterplattform Filter wurde blockiert.
5154Der Windows-Filterplattform ermöglichte eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwachen.
5155Der Windows-Filterplattform blockiert eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwacht.
5156Der Windows-Filterplattform hat eine Verbindung zulässig.
5157Der Windows-Filterplattform blockiert die Verbindung.
5158Der Windows-Filterplattform wurde eine Bindung an einen lokalen Anschluss zugelassen.
5159Der Windows-Filterplattform blockiert eine Bindung an einen lokalen Anschluss.

Unterkategorie: Filtern Plattform Paket ablegen

ID Nachricht
5152 Von der Windows-Filterplattform wurde ein Paket blockiert.
5153 Eine restriktiver Windows-Filterplattform Filter wurde blockiert.

Unterkategorie: Handle bearbeiten

ID Nachricht
4656Ein Handle zu einem Objekt wurde angefordert.
4658Das Handle zu einem Objekt wurde geschlossen.
4690Es wurde versucht, ein Handle zu einem Objekt duplizieren.

Unterkategorie: Andere überwachen

ID Nachricht
4671Eine Anwendung hat versucht, TBS blockierte Ordinalzahl zugreifen
4691Indirekter Zugriff auf ein Objekt angefordert wurde.
4698Ein geplanter Task wurde erstellt.
4699Eine geplante Aufgabe wurde gelöscht.
4700Ein geplanter Task wurde aktiviert.
4701Eine geplante Aufgabe wurde deaktiviert.
4702Ein geplanter Task wurde aktualisiert.
4702Ein geplanter Task wurde aktualisiert.
5888Ein Objekt im COM+-Katalog geändert wurde.
5889Ein Objekt wurde aus dem COM+-Katalog gelöscht.
5890Ein Objekt wurde COM+-Katalog hinzugefügt.

Unterkategorie: Registrierung

ID Nachricht
4657 Ein Registrierungswert geändert wurde.
5039 Ein Registrierungsschlüssel wurde virtualisiert.

Unterkategorie: spezielle Mehrzweck-Unterkategorie

Hinweis Das folgende Ereignis kann durch alle Ressourcen-Manager generiert werden, wenn die Unterkategorie aktiviert ist. Beispielsweise kann das folgende Ereignis Registrierung Ressource-Manager oder Datei-Systemressourcen-Manager generiert. Das Objektzugriff: Kernelobjekt und Objektzugriff: SAM Unterkategorien sind Beispiele für Unterkategorien, die ausschließlich diese Ereignisse verwenden.
ID Nachricht
4659Ein Handle zu einem Objekt wurde mit Absicht gelöscht.
4660Ein Objekt wurde gelöscht.
4661Ein Handle zu einem Objekt wurde angefordert.
4663Es wurde versucht, auf ein Objekt zuzugreifen.

Kategorie: Änderung

Unterkategorie: Überwachungsrichtlinien Sie Änderung der

ID Nachricht
4715Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert.
4719Systemüberwachungsrichtlinie wurde geändert.
4817Überwachen wurden eines Objekts geändert.
4902Der pro-Benutzer-Audit-Tabelle wurde erstellt.
4904Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren.
4905Es wurde versucht, eine Ereignisquelle Sicherheit aufgehoben werden.
4906Der Wert "CrashOnAuditFail" wurde geändert.
4907Überwachungsrichtlinien Objekts wurden geändert.
4908Spezielle Gruppen Anmeldung Tabelle geändert.
4912Pro Benutzer Überwachungsrichtlinie wurde geändert.

Unterkategorie: Authentifizierung Änderung

ID Nachricht
4706Eine neue Vertrauensstellung wurde zu einer Domäne erstellt.
4707Eine Vertrauensstellung zu einer Domäne wurde entfernt.
4713Kerberos-Richtlinie wurde geändert.
4716Informationen über vertrauenswürdige Domäne wurde geändert.
4717Ein Konto wurde Sicherheitszugriff gewährt.
4718Ein Konto wurde Sicherheitszugriff entfernt.
4739Domänenrichtlinie wurde geändert.
4864Ein Namespace-Konflikt aufgetreten.
4865Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde hinzugefügt.
4866Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde entfernt.
4867Einer vertrauenswürdigen Gesamtstruktur Informationseintrag wurde geändert.

Unterkategorie: Autorisierung Änderung

ID Nachricht
4704Ein Benutzerrecht wurde zugewiesen.
4705Ein Benutzerrecht wurde entfernt.
4714Data Recovery Agent Gruppenrichtlinie für Encrypting File System (EFS) wurde geändert. Die Änderungen wurden übernommen.

Unterkategorie: Änderung Plattform filtern

ID Nachricht
4709IPSec-Richtlinien-Agent-Dienst wurde gestartet.
4710Der IPSec-Richtlinien-Agent-Dienst wurde deaktiviert.
4711Die folgenden enthalten:
  • PAStore lokal zwischengespeicherte Kopie der IPSec-Richtlinie für Active Directory-Speichers auf dem Computer angewendet.
  • PAStore IPSec-Richtlinie für Active Directory-Speichers auf dem Computer angewendet.
  • PAStore IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer angewendet.
  • PAStore-Modul konnte nicht lokal zwischengespeicherte Kopie der IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren.
  • PAStore-Modul konnte nicht IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren.
  • PAStore-Modul konnte nicht IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer installieren.
  • PAStore-Modul konnte einige Regeln der aktiven IPSec-Richtlinie auf Computer anwenden.
  • PAStore-Modul konnte Verzeichnisspeicher IPSec-Richtlinie auf den Computer laden.
  • PAStore-Modul hat Directory Speicher IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul konnte nicht lokalen Speicher IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul hat die lokalen Speicher IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul für die Änderung der aktiven IPSec-Richtlinie abgefragt und keine Änderung festgestellt.
4712IPSec-Richtlinienagent hat einen schwerwiegenden Fehler entdeckt.
5040IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde hinzugefügt.
5041IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde geändert.
5042IPSec-Einstellung wurde geändert. Eine Authentifizierungsgruppe wurde gelöscht.
5043IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde hinzugefügt.
5044IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde geändert.
5045IPSec-Einstellung wurde geändert. Eine Verbindungssicherheitsregel wurde gelöscht.
5046IPSec-Einstellung wurde geändert. Crypto wurde hinzugefügt.
5047IPSec-Einstellung wurde geändert. Ein Crypto wurde geändert.
5048IPSec-Einstellung wurde geändert. Ein Crypto wurde gelöscht.
5440Die folgende Legende war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5441Der folgende Filter wurde bei der Windows-Filterung Plattform Basisfiltermodul gestartet.
5442Der folgende Anbieter war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5443Die folgenden Anbieterkontext war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5444Die folgende untergeordneten Ebene war zu Beginn der Windows Filtern Plattform Basisfiltermodul.
5446Windows-Filterplattform Legende wurde geändert.
5448Windows-Filterplattform Anbieter wurde geändert.
5449Ein Windows-Filterplattform Anbieterkontext wurde geändert.
5450Eine untergeordnete Ebene Windows-Filterplattform wurde geändert.
5456PAStore IPSec-Richtlinie für Active Directory-Speichers auf dem Computer angewendet.
5457IPSec-Richtlinien-Agent konnte IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren.
5458IPSec-Richtlinien-Agent lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer.
5459IPSec-Richtlinien-Agent konnte lokal zwischengespeicherte Kopie der IPSec-Richtlinie für Active Directory-Speichers auf dem Computer installieren.
5460IPSec-Richtlinien-Agent die IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer angewendet.
5461IPSec-Richtlinien-Agent konnte IPSec-Richtlinie des lokalen Registrierungsspeichers auf dem Computer installieren.
5462IPSec-Richtlinien-Agent konnte einige Regeln der aktiven IPSec-Richtlinie auf dem Computer. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.
5463IPSec-Richtlinien-Agent für die Änderung der aktiven IPSec-Richtlinie abgefragt und keine Änderung erkannt.
5464IPSec-Richtlinien-Agent für die Änderung der aktiven IPSec-Richtlinie abgefragt, Änderung erkannt und angewendet.
5465IPSec-Richtlinien-Agent hat eine Steuerung für das erneute Laden der IPSec-Richtlinie und das Steuerelement verarbeitet.
5466IPSec-Richtlinien-Agent abgerufen Änderungen der Active Directory-IPSec-Richtlinie bestimmt, dass Active Directory nicht erreicht werden kann, wird stattdessen die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie. Änderungen an Active Directory-IPSec-Richtlinie seit die letzte Abfrage konnte nicht angewendet werden.
5467IPSec-Richtlinien-Agent abgerufen Änderungen der Active Directory-IPSec-Richtlinie bestimmt, dass Active Directory erreicht und keine Änderungen gefunden. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5468IPSec-Richtlinien-Agent für die Änderung der Active Directory-IPSec-Richtlinie abgefragt ermittelt Active Directory erreichen, Änderungen und die Änderungen übernommen. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5471IPSec-Richtlinien-Agent geladen lokalen Speicher-IPSec-Richtlinie auf dem Computer.
5472IPSec-Richtlinien-Agent konnte lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen.
5473IPSec-Richtlinien-Agent geladen Verzeichnisspeicher IPSec-Richtlinie auf dem Computer.
5474IPSec-Richtlinien-Agent konnte Verzeichnisspeicher IPSec-Richtlinie auf dem Computer geladen.
5477IPSec-Richtlinien-Agent konnte Schnellmodusfilter hinzufügen.

Unterkategorie: MPSSVC Regelebene Änderung

ID Nachricht
4944Die folgende Richtlinie war aktiv, wenn die Windows-Firewall gestartet.
4945Eine Regel wurde aufgeführt, wenn die Windows-Firewall gestartet.
4946Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde hinzugefügt.
4947Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde geändert.
4948Ausnahmeliste der Windows-Firewall wurde geändert. Eine Regel wurde gelöscht.
4949Windows Firewall Settings wurden auf die Standardwerte wiederhergestellt.
4950Windows-Firewall-Einstellung wurde geändert.
4951Windows-Firewall ignoriert eine Regel, seine Hauptversionsnummer nicht erkannt.
4952Windows-Firewall ignoriert Teile einer Regel, da die Nebenversionsnummer nicht erkannt wird. Andere Teile der Regel erzwungen werden.
4953Windows-Firewall ignoriert Regel, da konnte nicht analysiert werden.
4954Gruppenrichtlinien für Windows-Firewall geändert und die neue Einstellung angewendet wurden.
4956Windows-Firewall geändert das aktive Profil.
4957Windows-Firewall hat die folgende Regel nicht angewendet:
4958Windows-Firewall hat nicht die folgende Regel angewendet, da die Regel nicht auf diesem Computer konfigurierten Elemente verwiesen:
5050Da diese API nicht auf dieser Version von Windows unterstützt wird abgelehnt, programmgesteuert mithilfe eines Aufrufs von INetFwProfile.FirewallEnabled(FALSE) Schnittstelle Windows-Firewall deaktiviert. Dies ist wahrscheinlich ein Programm, das mit dieser Version von Windows nicht kompatibel ist. Wenden Sie sich an den Hersteller des Programms sicherstellen, dass Sie eine kompatibles Programmversion.

Unterkategorie: Andere Richtlinienänderungsereignisse

ID Nachricht
4909Die lokale Richtlinie der TBS wurden geändert.
4910Gruppenrichtlinien für die TBS wurden geändert.
5063Ein Kryptografiedienstanbieter wurde versucht.
5064Ein kryptografischer Kontext Vorgang wurde versucht.
5065Eine kryptografischer Kontext Änderung wurde versucht.
5066Kryptografiefunktion Vorgang wurde versucht.
5067Eine kryptografische Funktion Änderung wurde versucht.
5068Ein kryptografische Funktion Anbieter Vorgang wurde versucht.
5069Eine kryptografische Funktion Operation wurde versucht.
5070Änderung Eigenschaft Kryptografiefunktion versuchte.
5447Windows-Filterplattform Filter wurde geändert.
6144Sicherheitsrichtlinien in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.
6145Fehler beim Verarbeiten der Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten.

Unterkategorie: spezielle Mehrzweck-Unterkategorie

Hinweis Das folgende Ereignis kann durch alle Ressourcen-Manager generiert werden, wenn die Unterkategorie aktiviert ist. Beispielsweise kann das folgende Ereignis Registrierung Ressource-Manager oder Datei-Systemressourcen-Manager generiert.
ID Nachricht
4670 Berechtigungen für ein Objekt geändert wurden.

Kategorie: Rechteverwendung

Unterkategorie: Sensible Verwendung von rechten / unempfindlich Rechteverwendung

ID Nachricht
4672Besondere Rechte bei neuer Anmeldung.
4673Privilegierter Dienst aufgerufen wurde.
4674Ein Vorgang bezog sich auf ein privilegiertes Objekt.

Kategorie: System

Unterkategorie: IPSec-Treiber

ID Nachricht
4960IPsec verworfen ein eingehendes Paket, das eine Integritätstest fehlgeschlagen. Wenn das Problem weiterhin besteht, kann dafür sein, dass ein Netzwerkproblem oder diese Pakete während der Übertragung an den Computer geändert werden. Überprüfen Sie die Pakete vom Remotecomputer identisch mit denen von diesem Computer empfangen. Dieser Fehler möglicherweise auch Probleme der Interoperabilität mit anderen IPSec-Implementierung.
4961IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Wenn das Problem weiterhin besteht, könnte dies einen Replay-Angriff gegen diese Computer hinweisen.
4962IPsec verworfen ein eingehendes Paket, das Replay-Überprüfung fehlgeschlagen. Eingehende Paket war zu niedrig Sequenznummer um sicherzustellen, dass es keine Wiederholung.
4963IPsec verworfen eingehenden Klartext-Paket, die verschlüsselt sein sollten. Wenn der Remotecomputer mit einer Anforderung ausgehende IPSec-Richtlinie konfiguriert ist, möglicherweise diese gutartigen und erwartet. Dies kann auch durch Ändern der IPSec-Richtlinie ohne diesen Computer Remotecomputer verursacht werden. Dies könnte ein spoofing Angriffsversuch.
4965IPsec hat ein Paket von einem Remotecomputer mit einer falschen Security Parameter Index (SPI). Dies wird normalerweise durch fehlerhafte Hardware verursacht, die Pakete beschädigen. Wenn dieser Fehler weiterhin auftritt, überprüfen Sie die Pakete vom Remotecomputer identisch mit denen von diesem Computer empfangen. Dieser Fehler möglicherweise auch Probleme der Interoperabilität mit anderen IPSec-Implementierung. In diesem Fall wenn Konnektivität nicht behindert wird, können dies ignoriert werden.
5478IPSec-Richtlinien-Agent-Dienst wurde gestartet.
5479IPSec-Dienste wurde beendet. Das Beenden des IPSec-Dienste kann gefährdet Computers größer Angriff oder den Computer potenziellen Sicherheitsrisiken aussetzen.
5480IPSec-Richtlinien-Agent konnte die vollständige Liste der Netzwerkschnittstellen auf dem Computer. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten kann. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.
5483IPSec-Richtlinien-Agent konnte nicht den RPC-Server initialisiert werden. Der Dienst konnte nicht gestartet werden.
5484IPSec-Richtlinien-Agent einen kritischen Fehler und wurde beendet. Das Beenden dieses Dienstes kann den Computer stärker gefährdet Angriff oder den Computer potenziellen Sicherheitsrisiken aussetzen.
5485IPSec-Richtlinien-Agent konnte einige IPSec-Filter auf einem Plug & Play-Ereignis für Netzwerkschnittstellen verarbeiten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht erhalten kann. Das IP-Sicherheitsmonitor-Snap-in zur diagnose des Problems verwenden.

Unterkategorie: Andere Systemereignisse

ID Nachricht
5024Windows Firewall-Dienst wurde erfolgreich gestartet.
5025Der Windows-Firewall-Dienst wurde beendet.
5027Der Dienst Windows-Firewall konnte die Sicherheitsrichtlinie vom lokalen Speicher abrufen. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen.
5028Windows-Firewall konnte die neue Sicherheitsrichtlinie nicht analysieren. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen.
5029Windows Firewall-Dienst konnte den Treiber nicht initialisieren. Windows-Firewall weiterhin die aktuelle Richtlinie zu erzwingen.
5030Der Windows-Firewall-Dienst konnte nicht gestartet werden.
5032Windows-Firewall konnte dem Benutzer benachrichtigen, dass eine Anwendung keine eingehende Verbindungen im Netzwerk blockiert.
5033Der Windows-Firewalltreiber wurde erfolgreich gestartet.
5034Der Windows-Firewalltreiber wurde beendet.
5035Der Windows-Firewalltreiber konnte nicht gestartet werden.
5037Windows Firewalltreiber hat einen kritischen Laufzeitfehler beendet.
5058Schlüsseldatei Vorgang.
5059Wichtige Migrationsvorgang.
6400BranchCache: Antwort falsch formatierte Inhalte entdecken.
6401BranchCache: Ungültige Daten von einem Peer empfangen. Daten verworfen.
6403BranchCache: Gehostete Caches gesendet eine falsch formatierte Antwort an den Client.
6404BranchCache: Gehostete Caches konnte nicht authentifiziert werden bereitgestellte Zertifikat verwenden.
6405BranchCache: %2 Instanzen der Ereignis-Id %1 ist aufgetreten.
6406%1 die Windows-Firewall Filterung für folgende Steuerelement registriert: %2
64071 %

Unterkategorie: Sicherheit ändern

ID Nachricht
4608Windows wird gestartet.
4616Die Systemzeit wurde geändert.
4621Administrator CrashOnAuditFail System erholt. Benutzer, die keine Administratoren sind nun kann sich anmelden. Überwachbare Aktivitäten wurden möglicherweise nicht aufgezeichnet.

Unterkategorie: Sicherheitserweiterung

ID Nachricht
4610Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
4611Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert.
4614Ein Benachrichtigungspaket wurde von der Sicherheitskontenverwaltung geladen.
4622Ein Sicherheitspaket wurde durch die lokale Sicherheitsinstanz geladen.
4697Ein Dienst wurde im System installiert.

Unterkategorie: Systemintegrität

ID Nachricht
4612Queuing Überwachung reservierte interne Ressourcen sind erschöpft, zu einem Verlust von Überwachungsereignissen.
4615Ungültige Verwendung des LPC-Port.
4618Ein Ereignismuster überwachten Sicherheit aufgetreten.
4816RPC entdeckt eine integritätsverletzung beim Entschlüsseln einer eingehenden Nachricht.
5038Codeintegrität hat ermittelt, dass der Bild Hash einer Datei nicht gültig ist. Die Datei durch unbefugte Änderung beschädigt oder ungültige Hash deutet auf einen möglichen Gerätefehler.
5056Eine kryptografische selbst durchgeführt wurde.
5057Einen kryptografischen primitive ist fehlgeschlagen.
5060Überprüfung ist fehlgeschlagen.
5061Kryptographischer Vorgang.
5062Kernelmodus-kryptografische Selbsttest wurde durchgeführt.
6281Codeintegrität hat ermittelt, dass Seitenhashes der Bilddatei nicht gültig sind. Die Datei konnte nicht ordnungsgemäß ohne Seitenhashs signierte oder nicht autorisierte Änderung beschädigt sein. Ungültige Hashwerte deutet auf einen möglichen Gerätefehler

Hinweise

  • Um eine detaillierte Liste aller Sicherheitsüberwachungs-Ereignisse auszugeben, führen Sie den folgenden Befehl mit einer erhöhten Eingabeaufforderung als Administrator aus:
    Wevtutil Gp Microsoft-Windows-Security-Überwachung/ge /gm:true
    Das folgende Beispiel zeigt einen Teil der Ausgabe:
      event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		%3	Account Name:		%4	Account Domain:		%5	Logon ID:		%6Trusted Domain:	Domain Name:		%1	Domain ID:		%2Trust Information:	Trust Type:		%7	Trust Direction:		%8	Trust Attributes:		%9	SID Filtering:		%10
  • Um eine Liste aller Sicherheits ü berwachung Kategorien und Unterkategorien zurückzukehren, führen Sie den folgenden Befehl in ein Eingabeaufforderungsfenster mit erhöhten Rechten als Administrator:
    Auditpol/List /subcategory: *
Informationsquellen
Weitere Informationen zum Dienstprogramm "Wevtutil" finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zum Dienstprogramm Auditpol finden Sie auf der folgenden Microsoft-Website: Weitere Informationen über erweiterte Überwachung Sicherheitsrichtlinien in Windows 7 und Windows Server 2008 R2 finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zur in Windows Vista und Windows Server 2008 sicherheitsüberwachung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
947226 Beschreibung der Sicherheitsereignisse in Windows Vista und Windows Server 2008

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 977519 – Letzte Überarbeitung: 06/11/2016 04:52:00 – Revision: 4.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtde
Feedback
s"> ript' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");
El Salvador - Español
Panamá - Español
Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
://c1.microsoft.com/c.gif?DI=4050&did=1&t=">;m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> ne; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">pt>