Descripción de los eventos de seguridad en Windows 7 y Windows Server 2008 R2

INTRODUCCIÓN

Este artículo describe varios eventos relacionados con la seguridad y relacionados con la auditoría en Windows 7 y Windows Server 2008 R2. En este artículo también proporciona información sobre cómo interpretar estos eventos. Todos estos eventos aparecen en el registro de seguridad y se registran con una fuente de Auditoría de seguridad. Este artículo también describe cómo recuperar datos más descriptivos sobre eventos individuales.

Más información

Esta sección enumeran todos los Windows 7 y Windows Server 2008 R2 relacionadas con la auditoría de sucesos de seguridad por categoría y subcategoría.

Categoría: Inicio de sesión

Subcategoría: Validación de credenciales

ID.Mensaje
4774Se ha asignado una cuenta de inicio de sesión.
4775No se pudo asignar una cuenta de inicio de sesión.
4776El equipo ha intentado validar las credenciales de una cuenta.
4777Error en el controlador de dominio validar las credenciales para una cuenta.

Subcategoría: Servicio de autenticación de Kerberos

ID.Mensaje
4768Se solicitó un vale de autenticación de Kerberos (TGT).
4771Error de autenticación previa Kerberos.
4772Error en una solicitud de vale de autenticación de Kerberos.

Subcategoría: Operaciones de vale de servicio Kerberos

ID.Mensaje
4769Se solicitó un vale de servicio Kerberos.
4770Ha renovado un vale de servicio Kerberos.
4773Error en una solicitud de vale de servicio Kerberos.

Categoría: Administración de cuentas

Subcategoría: Grupo de aplicaciones administración

ID.Mensaje
4783Se creó un grupo de aplicaciones básicas.
4784Un grupo de aplicaciones básicas cambió.
4785Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787No se agregó a un grupo de aplicaciones básicas.
4788Se quitó no miembro de un grupo de aplicaciones básicas.
4789Se ha eliminado un grupo de aplicaciones básicas.
4790Se creó un grupo de consulta LDAP.
4791Un grupo de aplicaciones básicas cambió.
4792Se ha eliminado un grupo de consulta LDAP.

Subcategoría: Administración de cuentas de equipo

ID.Mensaje
4741Se creó una cuenta de equipo.
4742Se ha modificado una cuenta de equipo.
4743Se ha eliminado una cuenta de equipo.

Subcategoría: Administración de grupo de distribución

ID.Mensaje
4744Se creó un grupo local con seguridad deshabilitada.
4745Se cambió un grupo local con seguridad deshabilitada.
4746Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748Se ha eliminado un grupo local con seguridad deshabilitada.
4749Se creó un grupo global con seguridad deshabilitada.
4750Se cambió un grupo global con seguridad deshabilitada.
4751Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753Se ha eliminado un grupo global con seguridad deshabilitada.
4759Se creó un grupo universal con seguridad deshabilitada.
4760Se ha modificado un grupo universal con seguridad deshabilitada.
4761Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.

Subcategoría: Otros sucesos de administración de cuentas

ID.Mensaje
4782Se tuvo acceso a lo hash de contraseña de una cuenta.
4793Se llamó a la API de comprobación de directivas de contraseña.

Subcategoría: Administración de grupos de seguridad

ID.Mensaje
4727Se creó un grupo global con seguridad habilitada.
4728Se ha agregado un miembro a un grupo global con seguridad habilitada.
4729Se ha quitado un miembro de un grupo global con seguridad habilitada.
4730Se ha eliminado un grupo global con seguridad habilitada.
4731Se creó un grupo local con seguridad habilitada.
4732Se ha agregado un miembro a un grupo local con seguridad habilitada.
4733Se ha quitado un miembro de un grupo local con seguridad habilitada.
4734Se ha eliminado un grupo local con seguridad habilitada.
4735Se cambió un grupo local con seguridad habilitada.
4737Se cambió un grupo global con seguridad habilitada.
4754Se creó un grupo universal con seguridad habilitada.
4755Se ha modificado un grupo universal con seguridad habilitada.
4756Se ha agregado un miembro a un grupo universal con seguridad habilitada.
4757Se ha quitado un miembro de un grupo universal con seguridad habilitada.
4758Se ha eliminado un grupo universal con seguridad habilitada.
4764Se ha cambiado el tipo de un grupo.

Subcategoría: Administración de cuentas de usuario

ID.Mensaje
4720Se creó una cuenta de usuario.
4722Se ha habilitado una cuenta de usuario.
4723Se ha intentado cambiar la contraseña de la cuenta.
4724Se intentó restablecer la contraseña de la cuenta.
4725Se ha deshabilitado una cuenta de usuario.
4726Se ha eliminado una cuenta de usuario.
4738Una cuenta de usuario ha cambiado.
4740Se ha bloqueado una cuenta de usuario.
4765SID History se ha agregado a una cuenta.
4766Error al intentar agregar SID History a una cuenta.
4767Se ha desbloqueado una cuenta de usuario.
4780Se estableció la ACL en las cuentas que son miembros de los grupos de administradores.
4781Se cambió el nombre de una cuenta:
4794Se ha intentado establecer el modo de restauración de servicios de directorio.
5376Se creó una copia de seguridad de las credenciales del administrador de credenciales.
5377Credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.

Categoría: Seguimiento detallado

Subcategoría: Actividad DPAPI

ID.Mensaje
4692Se intentó realizar la copia de seguridad de la clave maestra de protección de datos.
4693Se intentó la recuperación de la clave maestra de protección de datos.
4694Se intentó la protección de datos protegidos auditables.
4695Se ha intentado la desprotección de datos protegidos auditables.

Subcategoría: Creación de procesos de

ID.Mensaje
4688Se ha creado un nuevo proceso.
4696Se asignó un identificador primario para procesar.

Subcategoría: La terminación del proceso

ID.Mensaje
4689Un proceso ha terminado.

Subcategoría: Eventos RPC

ID.Mensaje
5712Se intentó realizar una llamada a procedimiento remoto (RPC).

Categoría: Acceso DS

Subcategoría: Replicación del servicio de directorio detallada

ID.Mensaje
4928Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929Un contexto de nombres de origen de réplica de Active Directory se ha quitado.
4930Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934Atributos de un objeto de Active Directory se han replicado.
4935Error de replicación comienza.
4936Error de replicación finaliza.
4937Se quitó un objeto persistente de una réplica.

Subcategoría: Directory Service Access

ID.Mensaje
4662Se realizó una operación en un objeto.

Subcategoría: Cambios de servicio de directorio

ID.Mensaje
5136Se ha modificado un objeto de servicio de directorio.
5137Se creó un objeto de servicio de directorio.
5138No se ha borrado un objeto de servicio de directorio.
5139Se ha movido un objeto de servicio de directorio.
5141Se ha eliminado un objeto de servicio de directorio.

Subcategoría: Replicación del servicio de directorio

ID.Mensaje
4932Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
4933Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

Categoría: Inicio/cierre de sesión

Subcategoría: Modo extendido de IPsec

ID.Mensaje
4978Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
4979Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4980Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4981Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4982Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4983Una IPsec extendido error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.
4984Una IPsec extendido error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.

Subcategoría: El modo principal de IPsec

ID.Mensaje
4646Inicia el modo de prevención DoS IKE.
4650Se ha establecido una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. No se utilizó la autenticación de certificados.
4651Se ha establecido una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. Se utilizó un certificado para la autenticación.
4652Error en una negociación de modo principal de IPsec.
4653Error en una negociación de modo principal de IPsec.
4655Una asociación de seguridad de modo principal de IPsec finalizó.
4976Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5049Se eliminó una asociación de seguridad IPsec.
5453Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de Active Directory en el equipo.

Subcategoría: Modo rápido de IPsec

ID.Mensaje
4654Error en la negociación de modo rápido IPsec.
4977Durante la negociación de modo rápido IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5451Se ha establecido una asociación de seguridad IPsec de modo rápido.
5452Una asociación de seguridad de modo rápido IPsec terminó.

Subcategoría: cierre de sesión

ID.Mensaje
4634Una cuenta se ha cerrado la sesión.
4647Cierre de sesión iniciada por el usuario.

Subcategoría: inicio de sesión

ID.Mensaje
4624Se inició sesión correctamente en una cuenta
4625No se pudo iniciar sesión una cuenta.
4648Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.
4675Se han filtrado SID.

Subcategoría: Servidor de directivas de red

ID.Mensaje
6272Servidor de directivas de red se concede acceso a un usuario.
6273Servidor de directivas de red había denegado el acceso a un usuario.
6274Servidor de directivas de red descarta la solicitud de un usuario.
6275Servidor de directivas de red descarta la solicitud de cuentas para un usuario.
6276Servidor de directivas de red en cuarentena a un usuario.
6277Servidor de directivas de red con acceso a un usuario pero ponerlo en libertad condicional porque el host no cumplía con la directiva de mantenimiento definidas.
6278Servidor de directivas de red se concede acceso completo a un usuario porque el host cumple la directiva de mantenimiento definidas.
6279Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.
6280Servidor de directivas de red desbloquear la cuenta de usuario.

Subcategoría: Otros eventos de inicio de sesión/cierre de sesión

ID.Mensaje
4649Se detectó un ataque de reproducción.
4778Se volvió a conectar una sesión en una estación de ventana.
4779Se ha desconectado una sesión desde una estación de ventana.
4800Se bloqueó la estación de trabajo.
4801La estación de trabajo se ha desbloqueado.
4802Se invocó el protector de pantalla.
4803Se ha descartado el protector de pantalla.
5378Directiva no permitió la delegación de credenciales solicitadas.
5632Se realizó una solicitud para autenticar a una red inalámbrica.
5633Se realizó una solicitud para autenticar a una red cableada.

Subcategoría: Inicio de sesión especial

ID.Mensaje
4964Grupos especiales se han asignado a un nuevo inicio de sesión.

Categoría: El acceso a objetos

Subcategoría: Aplicación generado

ID.Mensaje
4665Se ha intentado crear un contexto de aplicación cliente.
4666Una aplicación intentó una operación:
4667Se eliminó un contexto de aplicación cliente.
4668Se inicializó una aplicación.

Subcategoría: Servicios de certificación

ID.Mensaje
4868El Administrador de certificados denegó una solicitud de certificado pendiente.
4869Servicios de Certificate Server recibieron una solicitud de certificado reenviada.
4870Servicios de Certificate Server revocan un certificado.
4871Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).
4872Servicios de Certificate Server publicaron la lista de revocación de certificados (CRL).
4873Cambia una extensión de solicitud de certificado.
4874Cambiar uno o más atributos de solicitud de certificados.
4875Servicios de Certificate Server recibieron una solicitud de cierre.
4876Se inicia la copia de seguridad de servicios de certificado.
4877Certificado servicios copia de seguridad terminada.
4878Inició la restauración de servicios de certificado.
4879Completado de restauración de servicios de certificados.
4880Se inician Servicios de Certificate Server.
4881Detienen servicios de Certificate Server.
4882Cambian los permisos de seguridad para servicios de Certificate Server.
4883Servicios de Certificate Server recuperan una clave archivada.
4884Servicios de Certificate Server ha importado un certificado en su base de datos.
4885Cambia el filtro de auditoría para servicios de Certificate Server.
4886Servicios de Certificate Server recibieron una solicitud de certificado.
4887Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.
4888Servicios de Certificate Server ha denegado una solicitud de certificado.
4889Servicios de Certificate Server, establecen el estado de una solicitud de certificado en pendiente.
4890Cambia la configuración del Administrador de certificados para servicios de Certificate Server.
4891Una entrada de configuración cambiada en servicios de Certificate Server.
4892Cambiar una propiedad de servicios de Certificate Server.
4893Servicios de Certificate Server archivan una clave.
4894Servicios de Certificate Server importaron y archivaron una clave.
4895Servicios de Certificate Server publican el certificado de entidad emisora de certificados en los servicios de dominio de Active Directory.
4896Una o más filas se han eliminado de la base de datos de certificados.
4897Función de separación habilitada:
4898Servicios de Certificate Server cargan una plantilla.
4899Se ha actualizado una plantilla de servicios de Certificate Server.
4900Se actualizó la seguridad de plantillas de servicios de certificado.
5120Se inició el servicio de contestador OCSP.
5121Se detuvo el servicio del contestador OCSP.
5122Una entrada de configuración cambiada en el servicio del contestador de OCSP.
5123Una entrada de configuración cambiada en el servicio del contestador de OCSP.
5124Una configuración de seguridad se actualizó en el servicio del contestador de OCSP.
5125Se envió una solicitud al servicio del Respondedor de OCSP.
5126Certificado de firma se actualizó automáticamente por el servicio del contestador de OCSP.
5127El proveedor de revocación de OCSP se actualizó correctamente la información de revocación.

Subcategoría: Recurso compartido de archivos detallados

ID.Mensaje
5145Un objeto de recurso compartido de red se comprueba para ver si se puede conceder el cliente lo desea el acceso.

Subcategoría: Recurso compartido de archivos

ID.Mensaje
5140Se tiene acceso a un objeto de recurso compartido de red.
5142Se ha agregado un objeto de recurso compartido de red.
5143Se ha modificado un objeto de recurso compartido de red.
5144Se ha eliminado un objeto de recurso compartido de red.
5168Error en la comprobación de SPN para SMB/SMB2.

Subcategoría: Sistema de archivos

ID.Mensaje
4664Se ha intentado crear un vínculo físico.
4985Ha cambiado el estado de una transacción.
5051Un archivo fue virtualizado.

Subcategoría: Conexión de Filtering Platform

ID.Mensaje
5031El servicio de Firewall de Windows bloquea una aplicación acepte conexiones entrantes de la red.
5148La plataforma de filtrado de Windows ha detectado un ataque DoS y entrado en un modo defensivo; se descartarán los paquetes asociados con este ataque.
5149El ataque ha perdido fuerza y se está reanudando el procesamiento normal.
5150La plataforma de filtrado de Windows ha bloqueado un paquete.
5151Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.
5154La plataforma de filtrado de Windows ha permitido una aplicación o servicio que escuche en un puerto para las conexiones entrantes.
5155La plataforma de filtrado de Windows ha bloqueado una aplicación o un servicio de escucha en un puerto para las conexiones entrantes.
5156La plataforma de filtrado de Windows ha permitido una conexión.
5157La plataforma de filtrado de Windows ha bloqueado una conexión.
5158La plataforma de filtrado de Windows ha permitido un enlace a un puerto local.
5159La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Colocación de paquetes de plataforma de filtrado

ID.Mensaje
5152La plataforma de filtrado de Windows ha bloqueado un paquete.
5153Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.

Subcategoría: Controlador de manipulación

ID.Mensaje
4656Se solicitó un identificador para un objeto.
4658Se cerró el identificador de objeto.
4690Se intentó duplicar un identificador a un objeto.

Subcategoría: Otros eventos de acceso a objetos

ID.Mensaje
4671Una aplicación ha intentado tener acceso a un ordinal bloqueado a través de TBs.
4691Se solicitó el acceso indirecto a un objeto.
4698Se creó una tarea programada.
4699Se ha eliminado una tarea programada.
4700Se habilitó una tarea programada.
4701Se ha deshabilitado una tarea programada.
4702Se ha actualizado una tarea programada.
4702Se ha actualizado una tarea programada.
5888Ha modificado un objeto en el catálogo COM +.
5889Se ha eliminado un objeto desde el catálogo de COM +.
5890Se ha agregado un objeto en el catálogo COM +.

Subcategoría: registro

ID.Mensaje
4657Un valor del registro se modificó.
5039Una clave del registro se virtualiza.

Subcategoría: subcategoría de uso múltiple especial

Nota: El suceso siguiente puede generarse por cualquier administrador de recursos cuando está habilitada la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategorías son ejemplos de subcategorías que utilizan estos eventos exclusivamente.
ID.Mensaje
4659Se solicitó un identificador para un objeto con la intención de eliminar.
4660Se ha eliminado un objeto.
4661Se solicitó un identificador para un objeto.
4663Se ha intentado obtener acceso a un objeto.

Categoría: Cambio de directiva

Subcategoría: Cambio de directiva de auditoría

ID.Mensaje
4715Se cambió la directiva de auditoría (SACL) en un objeto.
4719Se cambió la directiva de auditoría del sistema.
4817Se cambió la configuración de auditoría en un objeto.
4902Se creó la tabla de normas de auditoría por usuario.
4904Se ha intentado registrar un origen de eventos de seguridad.
4905Se ha intentado anular el registro de un origen de eventos de seguridad.
4906El valor de CrashOnAuditFail ha cambiado.
4907Se cambió la configuración de auditoría en el objeto.
4908Tabla de grupos de inicio de sesión especial modificado.
4912Se ha cambiado por la directiva de auditoría del usuario.

Subcategoría: Cambio de la directiva de autenticación

ID.Mensaje
4706Se creó una nueva confianza a un dominio.
4707Se quitó una confianza a un dominio.
4713Se cambió la directiva Kerberos.
4716Se ha modificado la información de dominio de confianza.
4717Se ha concedido acceso al sistema de seguridad para una cuenta.
4718Se ha quitado una cuenta de acceso al sistema de seguridad.
4739Se cambió la directiva de dominio.
4864Se detectó una colisión de espacio de nombres.
4865Se ha agregado una entrada de información de confianza del bosque.
4866Se quitó una entrada de información de confianza del bosque.
4867Se modificó una entrada de información de confianza del bosque.

Subcategoría: Cambio de la directiva de autorización

ID.Mensaje
4704Se asignó un derecho de usuario.
4705Se ha quitado un derecho de usuario.
4714Ha cambiado la directiva de grupo de agente de recuperación de datos para el sistema de archivos de cifrado (EFS). Se han aplicado los cambios.

Subcategoría: Cambio de directiva de plataforma de filtrado

ID.Mensaje
4709Se inició el servicio Agente de directivas IPsec.
4710Se deshabilitó el servicio Agente de directivas IPsec.
4711Puede contener cualquiera de las siguientes acciones:
  • El motor PAStore aplicó la copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de registro local en el equipo.
  • Error del motor PAStore no pudo aplicar la copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
  • Error Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo.
  • Error Error del motor PAStore al cargar la directiva IPsec en el equipo de almacenamiento de directorio.
  • El motor PAStore cargó en el equipo de directiva IPsec de almacenamiento de directorio.
  • El motor PAStore no pudo cargar el almacenamiento local de directiva de IPsec en el equipo.
  • El motor PAStore cargó el almacenamiento local de directiva de IPsec en el equipo.
  • El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
4712Agente de directivas IPsec ha encontrado un error potencialmente grave.
5040Se realiza un cambio en la configuración de IPsec. Se ha agregado un conjunto de autenticación.
5041Se realiza un cambio en la configuración de IPsec. Se modificó un conjunto de autenticación.
5042Se realiza un cambio en la configuración de IPsec. Se eliminó un conjunto de autenticación.
5043Se realiza un cambio en la configuración de IPsec. Se agregó una regla de seguridad de conexión.
5044Se realiza un cambio en la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.
5045Se realiza un cambio en la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.
5046Se realiza un cambio en la configuración de IPsec. Se ha agregado un conjunto de cifrado.
5047Se realiza un cambio en la configuración de IPsec. Se modificó un conjunto de cifrado.
5048Se realiza un cambio en la configuración de IPsec. Se eliminó un conjunto de cifrado.
5440La siguiente llamada estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5441El siguiente filtro estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5442El proveedor siguiente estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5443El contexto de proveedor siguiente estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5444El siguiente subnivel estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5446Una llamada de plataforma de filtrado de Windows ha cambiado.
5448Un proveedor de plataforma de filtrado de Windows ha cambiado.
5449Un contexto de proveedor de la plataforma de filtrado de Windows ha cambiado.
5450Subnivel de plataforma de filtrado de Windows ha cambiado.
5456El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458Agente de directivas IPsec aplica localmente en caché la copia de directiva de IPsec en el equipo de almacenamiento de Active Directory.
5459Agente de directivas IPsec no se pudo aplicar la copia en caché local de directiva IPsec de almacenamiento de Active Directory en el equipo.
5460Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de registro local en el equipo.
5461Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
5462Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5463Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicado.
5465Agente de directivas IPsec recibió un control para la recarga forzada de directiva IPsec y procesó correctamente el control.
5466Agente de directivas IPsec sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede alcanzar Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados a la directiva IPsec de Active Directory, ya que no se pudo aplicar el último sondeo.
5467Agente de directivas IPsec sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y no encontró cambios en la directiva. La copia en caché de la directiva IPsec de Active Directory ya no está utilizándose.
5468Agente de directivas IPsec sondeo de cambios en la directiva IPsec de Active Directory, determinó que Active Directory puede llegar, encontró cambios en la directiva y aplicar esos cambios. La copia en caché de la directiva IPsec de Active Directory ya no está utilizándose.
5471Agente de directivas IPsec carga el almacenamiento local de directiva de IPsec en el equipo.
5472Agente de directivas IPsec no se pudo cargar el almacenamiento local de directiva de IPsec en el equipo.
5473Agente de directivas IPsec carga almacenamiento directory directiva de IPsec en el equipo.
5474Agente de directivas IPsec no se pudo cargar la directiva IPsec en el equipo de almacenamiento de directorio.
5477Agente de directivas IPsec no se pudo agregar el filtro de modo rápido.

Subcategoría: Cambio de la directiva de nivel de reglas MPSSVC

ID.Mensaje
4944La siguiente directiva estaba activa cuando inicia el Firewall de Windows.
4945Una regla se mostró cuando inicia el Firewall de Windows.
4946Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha agregado una regla.
4947Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se modificó una regla.
4948Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla.
4949Configuración de Firewall de Windows se han restaurado los valores predeterminados.
4950Se ha cambiado una configuración de Firewall de Windows.
4951Firewall de Windows se omite una regla porque no se reconoce su número de versión principal.
4952Firewall de Windows se omite partes de una regla porque no se reconoce su número de versión secundaria. Otras partes de la regla se aplicará.
4953Firewall de Windows se omite una regla porque no pudo analizar.
4954Configuración de directiva de grupo para Firewall de Windows se han cambiado y se aplica la nueva configuración.
4956Firewall de Windows cambiar el perfil activo.
4957Firewall de Windows no aplicó la siguiente regla:
4958Firewall de Windows no aplicó la siguiente regla porque la regla mencionada elementos no configurados en este equipo:
5050Un intento para deshabilitar mediante programación el Firewall de Windows mediante una llamada a la interfaz de INetFwProfile.FirewallEnabled(FALSE) fue rechazado porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un programa que no es compatible con esta versión de Windows. Póngase en contacto con el fabricante del programa para asegurarse de que dispone de una versión del programa compatible.

Subcategoría: Otros eventos de cambio de directiva

ID.Mensaje
4909Se han cambiado la configuración de directiva local para el TBS.
4910Se han cambiado la configuración de directiva de grupo para el TBS.
5063Se intentó una operación de proveedor de servicios criptográficos.
5064Se intentó una operación de contexto de cifrado.
5065Se intentó realizar una modificación de contexto de cifrado.
5066Se intentó una operación de función criptográfica.
5067Se intentó realizar una modificación de la función criptográfica.
5068Se intentó una operación de proveedor de función criptográfica.
5069Se intentó una operación de propiedad de función criptográfica.
5070Se intentó realizar una modificación de la propiedad de función criptográfica.
5447Se ha cambiado un filtro de plataforma de filtrado de Windows.
6144Se ha aplicado correctamente la directiva de seguridad en los objetos de directiva de grupo.
6145Uno o más errores al procesar la directiva de seguridad en los objetos de directiva de grupo.

Subcategoría: subcategoría de uso múltiple especial

Nota: El suceso siguiente puede generarse por cualquier administrador de recursos cuando está habilitada la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos.
ID.Mensaje
4670Se cambiaron los permisos de un objeto.

Categoría: El uso de privilegios

Subcategoría: Uso de privilegio confidencial / uso de privilegio no confidencial

ID.Mensaje
4672Privilegios especiales asignados al nuevo inicio de sesión.
4673Se llama a un servicio con privilegios.
4674Se intentó una operación en un objeto con privilegios.

Categoría: sistema

Subcategoría: Controlador de IPsec

ID.Mensaje
4960IPsec descartó un paquete entrante que no se pudo una comprobación de integridad. Si el problema persiste, podría indicar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son los mismos que los recibidos por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961IPsec descartó un paquete entrante que falló la comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción contra este equipo.
4962IPsec descartó un paquete entrante que falló la comprobación de la reproducción. El paquete entrante tenía demasiado bajo un número de secuencia para asegurarse de que no fue una reproducción.
4963IPsec descartó un paquete de entrada de texto sin cifrar que debería haber protegido. Si el equipo remoto está configurado con una directiva IPsec saliente solicite, podría resultar benignos y esperado. Esto también puede deberse al equipo remoto, cambiar su directiva IPsec sin informar a este equipo. Esto también podría ser un intento de ataque de suplantación.
4965IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Esto ocurre normalmente por hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son los mismos que los recibidos por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se obstaculice la conectividad, pueden ignorar estos eventos.
5478Se inició el servicio Agente de directivas IPsec.
5479Los servicios IPsec se cerró correctamente. El apagado de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a riesgos de seguridad potenciales.
5480Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto constituye un riesgo de seguridad potencial porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5483El servicio Agente de directivas IPsec no se pudo inicializar el servidor RPC. No se pudo iniciar el servicio.
5484El servicio Agente de directivas IPsec experimentó un error crítico y apagó. El cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a riesgos de seguridad potenciales.
5485Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento plug-and-play para interfaces de red. Esto constituye un riesgo de seguridad potencial porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategoría: Otros eventos del sistema

ID.Mensaje
5024El servicio de Firewall de Windows se inició correctamente.
5025Se detuvo el servicio de Firewall de Windows.
5027El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual.
5028Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de Windows seguirá aplicando la directiva actual.
5029El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de Windows seguirá aplicando la directiva actual.
5030No se pudo iniciar el servicio Firewall de Windows.
5032Firewall de Windows no pudo notificar al usuario que bloquea una aplicación acepte conexiones entrantes de la red.
5033El controlador de Firewall de Windows se inició correctamente.
5034El controlador de Firewall de Windows se ha detenido.
5035No se pudo iniciar el controlador de Firewall de Windows.
5037El controlador de Firewall de Windows ha detectado un error en tiempo de ejecución crítico, finalizando.
5058Operación de archivo de clave.
5059Operación de clave de migración.
6400BranchCache: Recibió una respuesta incorrectamente formateada al descubrir la disponibilidad del contenido.
6401BranchCache: Recibido datos no válidos de un elemento del mismo nivel. Los datos se descartan.
6403BranchCache: La caché hospedada envió una respuesta con formato incorrecto en el cliente.
6404BranchCache: Memoria caché hospedada no se pudo autenticar con el certificado SSL con provisioning.
6405BranchCache: instancias de %2 de %1 de id de evento se ha producido.
6406%1 registrado en Firewall de Windows al control de filtrado para lo siguiente: %2
64071%

Subcategoría: Cambio de estado de seguridad

ID.Mensaje
4608Windows se está iniciando.
4616Se cambió la hora del sistema.
4621Administrador recuperado sistema de CrashOnAuditFail. Ahora se permitirá a los usuarios que no son administradores para iniciar sesión. Pueden que no se han registrado algunas actividades auditables.

Subcategoría: Extensión del sistema de seguridad

ID.Mensaje
4610La autoridad de seguridad Local ha cargado un paquete de autenticación.
4611Un proceso de inicio de sesión de confianza se ha registrado con la autoridad de seguridad Local.
4614Mediante el Administrador de cuentas de seguridad ha cargado un paquete de notificación.
4622La autoridad de seguridad Local ha cargado un paquete de seguridad.
4697Un servicio se ha instalado en el sistema.

Subcategoría: Integridad del sistema

ID.Mensaje
4612Los recursos internos asignados para la cola de mensajes de auditoría se han agotado, provocando la pérdida de algunas auditorías.
4615Uso no válido de puerto LPC.
4618Se ha producido un modelo de eventos de seguridad supervisados.
4816RPC detecta una infracción de integridad al descifrar un mensaje entrante.
5038Integridad de código determinó que el hash de la imagen de un archivo no es válido. El archivo podría estar dañado debido a modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco.
5056Se realizó una prueba criptográfica automática.
5057Error en una operación primitiva criptográfica.
5060Error en la operación de comprobación.
5061Operación criptográfica.
5062Se realizó un cifrado de autocomprobación en modo de núcleo.
6281Integridad de código determinó que los hash de página de un archivo de imagen no válidos. El archivo podría ser incorrecto firmado sin los hash de página o dañado debido a modificación no autorizada. Los valores de hash no válidos podrían indicar un posible error de dispositivo de disco

Notas:

  • Para devolver una más detallada lista todas las auditorías de seguridad de entradas de eventos, ejecute el comando siguiente en un símbolo del sistema con privilegios elevados como administrador:
    wevtutil gp Microsoft-Windows--auditoría de seguridad /ge /gm:true

    En el ejemplo siguiente se muestra parte del resultado:
      event:    value: 4706
    version: 0
    opcode: 0
    channel: 10
    level: 4
    task: 0
    keywords: 0x8000000000000000
    message: A new trust was created to a domain.

    Subject:
    Security ID:%3
    Account Name:%4
    Account Domain:%5
    Logon ID:%6

    Trusted Domain:
    Domain Name:%1
    Domain ID:%2

    Trust Information:
    Trust Type:%7
    Trust Direction:%8
    Trust Attributes:%9
    SID Filtering:%10

  • Para devolver una lista de todas las auditorías de seguridad categorías y subcategorías, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados como administrador:
    Auditpol/List /subcategory: *

Referencias

Para obtener más información acerca de la utilidad Wevtutil, visite el siguiente sitio Web de Microsoft:


Para obtener más información acerca de la utilidad Auditpol, visite el siguiente sitio Web de Microsoft:


Para obtener más información acerca de la auditoría de directiva de configuración de seguridad avanzada en Windows 7 y Windows Server 2008 R2, visite el siguiente sitio Web de Microsoft:
Para obtener más información acerca de la auditoría de seguridad en Windows Vista y Windows Server 2008, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Descripción de 947226 de sucesos de seguridad en Windows Vista y Windows Server 2008

Propiedades

Id. de artículo: 977519 - Última revisión: 13 ene. 2017 - Revisión: 1

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

Comentarios