Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Tu explorador no es compatible

Debes actualizar tu explorador para usar el sitio.

Actualiza a la versión más reciente de Internet Explorer

Descripción de los sucesos de seguridad en Windows 7 y Windows Server 2008 R2

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 977519
INTRODUCCIÓN
Este artículo describe varios eventos relacionados con la seguridad y de auditoría en Windows 7 y Windows Server 2008 R2. Este artículo también proporciona información sobre cómo interpretar estos eventos. Todos estos eventos aparecen en el registro de seguridad y se registran con una fuente de Auditoría de seguridad. Este artículo también describe cómo recuperar datos más descriptivos sobre eventos individuales.
Más información
En esta sección se enumera todos los Windows 7 y Windows Server 2008 R2 seguridad relacionada con la auditoría eventos por categoría y subcategoría.

Categoría: Inicio de sesión

Subcategoría: Validación de credenciales

ID. Mensaje
4774Se ha asignado una cuenta de inicio de sesión.
4775No se pudo asignar una cuenta de inicio de sesión.
4776El equipo intentado validar las credenciales de una cuenta.
4777El controlador de dominio no pudo validar las credenciales de una cuenta.

Subcategoría: Servicio de autenticación de Kerberos

ID. Mensaje
4768Se solicitó un vale de autenticación de Kerberos (TGT).
4771Error en la autenticación Kerberos previa.
4772Error en una solicitud de vale de autenticación de Kerberos.

Subcategoría: Las operaciones de vale de servicio Kerberos

ID. Mensaje
4769Se solicitó un vale de servicio Kerberos.
4770Se ha renovado un vale de servicio Kerberos.
4773Error en una solicitud de vale de servicio Kerberos.

Categoría: Administración de cuentas de

Subcategoría: Grupo de aplicaciones administración

ID. Mensaje
4783Se creó un grupo de aplicaciones básicas.
4784Un grupo de aplicaciones básicas cambió.
4785Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787Se ha agregado un miembro a un grupo de aplicaciones básicas.
4788Se quitó un miembro de un grupo de aplicaciones básicas.
4789Se ha eliminado un grupo de aplicaciones básicas.
4790Se creó un grupo de consulta LDAP.
4791Un grupo de aplicaciones básicas cambió.
4792Se ha eliminado un grupo de consulta LDAP.

Subcategoría: Administración de cuentas de equipo

ID. Mensaje
4741Se creó una cuenta de equipo.
4742Se ha modificado una cuenta de equipo.
4743Se ha eliminado una cuenta de equipo.

Subcategoría: Administración de grupo de distribución

ID. Mensaje
4744Se creó un grupo local con seguridad deshabilitada.
4745Un grupo local con seguridad deshabilitada cambió.
4746Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748Se ha eliminado un grupo local con seguridad deshabilitada.
4749Se creó un grupo global con seguridad deshabilitada.
4750Un grupo global con seguridad deshabilitada cambió.
4751Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753Se ha eliminado un grupo global con seguridad deshabilitada.
4759Se creó un grupo universal con seguridad deshabilitada.
4760Un grupo universal con seguridad deshabilitada cambió.
4761Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.

Subcategoría: Otros sucesos de administración de cuentas

ID. Mensaje
4782El hash de contraseña de una cuenta se obtuvo acceso.
4793Se llamó a la API de comprobación de directivas de contraseña.

Subcategoría: Grupo de seguridad administración

ID. Mensaje
4727Se creó un grupo global con seguridad habilitada.
4728Se ha agregado un miembro a un grupo global con seguridad habilitada.
4729Se ha quitado un miembro de un grupo global con seguridad habilitada.
4730Se ha eliminado un grupo global con seguridad habilitada.
4731Se creó un grupo local con seguridad habilitada.
4732Se ha agregado un miembro a un grupo local con seguridad habilitada.
4733Se ha quitado un miembro de un grupo local con seguridad habilitada.
4734Se ha eliminado un grupo local con seguridad habilitada.
4735Un grupo local con seguridad habilitada cambió.
4737Un grupo global con seguridad habilitada cambió.
4754Se creó un grupo universal con la seguridad habilitada.
4755Un grupo universal con seguridad habilitada cambió.
4756Se ha agregado un miembro a un grupo universal con la seguridad habilitada.
4757Se ha quitado un miembro de un grupo universal con la seguridad habilitada.
4758Se ha eliminado un grupo universal con la seguridad habilitada.
4764Se cambió el tipo de un grupo.

Subcategoría: Administración de cuentas de usuario

ID. Mensaje
4720Se creó una cuenta de usuario.
4722Se ha habilitado una cuenta de usuario.
4723Se intentó cambiar la contraseña de una cuenta.
4724Se intentó restablecer la contraseña de una cuenta.
4725Se ha deshabilitado una cuenta de usuario.
4726Se ha eliminado una cuenta de usuario.
4738Se cambió una cuenta de usuario.
4740Se ha bloqueado una cuenta de usuario.
4765SID History se ha agregado a una cuenta.
4766Error al intentar agregar SID History a una cuenta.
4767Una cuenta de usuario se ha desbloqueado.
4780Se ha establecido la ACL en las cuentas que son miembros de los grupos de administradores.
4781Se cambió el nombre de una cuenta:
4794Se intentó establecer el modo de restauración de servicios de directorio.
5376Se copia de las credenciales de administrador de credenciales.
5377Credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.

Categoría: Realizar un seguimiento detallado

Subcategoría: Actividad DPAPI

ID. Mensaje
4692Se intentó realizar la copia de seguridad de la clave maestra de protección de datos.
4693Se intentó realizar la recuperación de la clave maestra de protección de datos.
4694Se ha intentado la protección de los datos protegidos auditables.
4695Se ha intentado la desprotección de datos protegidos auditables.

Subcategoría: La creación del proceso

ID. Mensaje
4688Se ha creado un nuevo proceso.
4696Se asignó un identificador primario para procesar.

Subcategoría: La terminación del proceso

ID. Mensaje
4689Un proceso ha terminado.

Subcategoría: Eventos RPC

ID. Mensaje
5712 Se ha intentado efectuar una llamada a procedimiento remoto (RPC).

Categoría: Acceso DS

Subcategoría: Replicación del servicio de directorio detallada

ID. Mensaje
4928Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929Se quitó un contexto de nombres de origen de réplica de Active Directory.
4930Se modificó un contexto de nombres de origen de réplica de Active Directory.
4931Se modificó un contexto de nombres de destino de réplica de Active Directory.
4934Atributos de un objeto de Active Directory se han replicado.
4935Comienza el error de replicación.
4936Error de replicación finaliza.
4937Se quitó un objeto persistente de una réplica.

Subcategoría: Acceso al servicio de directorio

ID. Mensaje
4662 Se realizó una operación en un objeto.

Subcategoría: Cambios de servicio de directorio

ID. Mensaje
5136Se ha modificado un objeto de servicio de directorio.
5137Se creó un objeto de servicio de directorio.
5138No se ha borrado un objeto de servicio de directorio.
5139Se ha movido un objeto de servicio de directorio.
5141 Se ha eliminado un objeto del servicio de directorio.

Subcategoría: Replicación del servicio de directorio

ID. Mensaje
4932Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
4933Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

Categoría: Inicio/cierre de sesión

Subcategoría: Modo extendido de IPsec

ID. Mensaje
4978Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
4979Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4980Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4981Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4982Se han establecido el modo principal de IPsec y las asociaciones de seguridad de modo extendido.
4983IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.
4984IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.

Subcategoría: El modo principal de IPsec

ID. Mensaje
4646Iniciada el modo de prevención DoS IKE.
4650Se ha establecido una asociación de seguridad IPsec de modo principal. No se habilitó el modo extendido. No se utilizó la autenticación de certificados.
4651Se ha establecido una asociación de seguridad IPsec de modo principal. No se habilitó el modo extendido. Se utilizó un certificado para la autenticación.
4652Error en una negociación de modo principal de IPsec.
4653Error en una negociación de modo principal de IPsec.
4655Finalizó una asociación de seguridad IPsec de modo principal.
4976Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5049Una asociación de seguridad IPsec se ha eliminado.
5453Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de Active Directory en el equipo.

Subcategoría: Modo rápido de IPsec

ID. Mensaje
4654Error en la negociación de modo rápido IPsec.
4977Durante la negociación de modo rápido IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o reproducir esta negociación.
5451Se ha establecido una asociación de seguridad IPsec de modo rápido.
5452Una asociación de seguridad IPsec de modo rápido finalizado.

Subcategoría: cierre de sesión

ID. Mensaje
4634 Una cuenta se ha cerrado la sesión.
4647 Cierre de sesión iniciada por el usuario.

Subcategoría: inicio de sesión

ID. Mensaje
4624Se inició sesión correctamente en una cuenta
4625No se pudo iniciar sesión una cuenta.
4648Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.
4675Se han filtrado SID.

Subcategoría: Servidor de directivas de red

ID. Mensaje
6272Servidor de directivas de red había concedido acceso a un usuario.
6273Servidor de directivas de red había denegado el acceso a un usuario.
6274Servidor de directivas de red descarta la solicitud de un usuario.
6275Servidor de directivas de red descarta la solicitud de cuentas de usuario.
6276Servidor de directivas de red en cuarentena a un usuario.
6277Servidor de directivas de red con acceso a un usuario pero poner en libertad condicional porque el host no cumplía con la directiva de mantenimiento definidos.
6278Servidor de directivas de red acceso completo a un usuario porque el host cumple la directiva de mantenimiento definidos.
6279Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.
6280Servidor de directivas de red desbloquear la cuenta de usuario.

Subcategoría: Otros eventos de inicio de sesión/cierre de sesión

ID. Mensaje
4649Se detectó un ataque de reproducción.
4778Se volvió a conectar una sesión en una estación de ventana.
4779Se ha desconectado una sesión desde una estación de ventana.
4800Se ha bloqueado la estación de trabajo.
4801La estación de trabajo se ha desbloqueado.
4802Se invocó el protector de pantalla.
4803Se ha descartado el protector de pantalla.
5378Directiva no permitió la delegación de credenciales solicitadas.
5632Se realizó una solicitud para autenticarse en una red inalámbrica.
5633Se realizó una solicitud para autenticarse en una red cableada.

Subcategoría: Inicio de sesión especial

ID. Mensaje
4964 Los grupos especiales se han asignado a un nuevo inicio de sesión.

Categoría: El acceso a objetos

Subcategoría: Aplicación generado

ID. Mensaje
4665Se intentó crear un contexto de aplicación cliente.
4666Una aplicación intentó realizar una operación:
4667Se ha eliminado un contexto de aplicación cliente.
4668Una aplicación se ha inicializado.

Subcategoría: Servicios de certificación de

ID. Mensaje
4868El Administrador de certificados denegó una solicitud de certificado pendiente.
4869Servicios de Certificate Server recibieron una solicitud de certificado reenviada.
4870Servicios de Certificate Server revocan un certificado.
4871Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).
4872Servicios de Certificate Server publicaron la lista de revocación de certificados (CRL).
4873Cambia una extensión de solicitud de certificado.
4874Cambiaron uno o más atributos de solicitud de certificados.
4875Servicios de Certificate Server recibieron una solicitud de cierre.
4876Se inicia la copia de seguridad de servicios de certificado.
4877Certificado de copia de seguridad de servicios realizada.
4878Inició la restauración de servicios de certificado.
4879Certificado de restauración de servicios de completado.
4880Se inician Servicios de Certificate Server.
4881Se detienen servicios de Certificate Server.
4882Cambiaron los permisos de seguridad para servicios de Certificate Server.
4883Servicios de Certificate Server recuperaron una clave archivada.
4884Servicios de Certificate Server importan un certificado a su base de datos.
4885Cambia el filtro de auditoría para servicios de Certificate Server.
4886Servicios de Certificate Server recibieron una solicitud de certificado.
4887Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.
4888Servicios de Certificate Server ha denegado una solicitud de certificado.
4889Servicios de Certificate Server establece el estado de una solicitud de certificado en pendiente.
4890Cambia la configuración del Administrador de certificados para servicios de Certificate Server.
4891Una entrada de configuración cambiada en los servicios de Certificate Server.
4892Cambiar una propiedad de servicios de Certificate Server.
4893Servicios de Certificate Server archivan una clave.
4894Servicios de Certificate Server importaron y archivaron una clave.
4895Servicios de Certificate Server publican el certificado de entidad emisora de certificados en los servicios de dominio de Active Directory.
4896Una o más filas se han eliminado de la base de datos de certificados.
4897Función de separación habilitada:
4898Servicios de Certificate Server cargan una plantilla.
4899Se ha actualizado una plantilla de servicios de Certificate Server.
4900Se actualizó la seguridad de plantillas de servicios de certificado.
5120Se inició el servicio de contestador OCSP.
5121Se detuvo el servicio Respondedor OCSP.
5122Una entrada de configuración cambiada en el servicio de contestador de OCSP.
5123Una entrada de configuración cambiada en el servicio de contestador de OCSP.
5124Una configuración de seguridad se actualizó en el servicio de contestador de OCSP.
5125Se envió una solicitud al servicio del Respondedor de OCSP.
5126Certificado de firma se actualizó automáticamente por el servicio de contestador de OCSP.
5127El proveedor de revocación de OCSP había actualizado correctamente la información de revocación.

Subcategoría: Recurso compartido de archivos detallados

ID. Mensaje
5145 Un objeto de recurso compartido de red se comprueba para ver si el cliente se puede conceder desea acceso.

Subcategoría: Recurso compartido de archivos

ID. Mensaje
5140Se tiene acceso a un objeto de recurso compartido de red.
5142Se ha agregado un objeto de recurso compartido de red.
5143Se ha modificado un objeto de recurso compartido de red.
5144Se ha eliminado un objeto de recurso compartido de red.
5168Comprobación de SPN de SMB/SMB2 falló.

Subcategoría: Sistema de archivos

ID. Mensaje
4664Se intentó crear un vínculo físico.
4985Ha cambiado el estado de una transacción.
5051Un archivo se virtualizado.

Subcategoría: Conexión de Filtering Platform

ID. Mensaje
5031El servicio de Firewall de Windows bloquea una aplicación acepte conexiones entrantes de la red.
5148La plataforma de filtrado de Windows ha detectado un ataque DoS y se entró en un modo de defensivo; se descartarán los paquetes asociados con este ataque.
5149El ataque ha disminuido y se está reanudando el procesamiento normal.
5150La plataforma de filtrado de Windows ha bloqueado un paquete.
5151Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.
5154La plataforma de filtrado de Windows ha permitido una aplicación o servicio que escuche en un puerto para conexiones entrantes.
5155La plataforma de filtrado de Windows ha bloqueado una aplicación o un servicio de escucha en un puerto para conexiones entrantes.
5156La plataforma de filtrado de Windows ha permitido una conexión.
5157La plataforma de filtrado de Windows ha bloqueado una conexión.
5158La plataforma de filtrado de Windows ha permitido un enlace a un puerto local.
5159La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Colocación de paquetes de plataforma de filtrado

ID. Mensaje
5152 La plataforma de filtrado de Windows ha bloqueado un paquete.
5153 Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.

Subcategoría: Identificador de manipulación

ID. Mensaje
4656Se ha solicitado un identificador de objeto.
4658El identificador de un objeto se ha cerrado.
4690Se intentó duplicar un identificador de objeto.

Subcategoría: Otros eventos de acceso a objetos

ID. Mensaje
4671Una aplicación ha intentado tener acceso a un ordinal bloqueado a través de TBs.
4691Se ha solicitado acceso indirecto a un objeto.
4698Se creó una tarea programada.
4699Se ha eliminado una tarea programada.
4700Se ha habilitado una tarea programada.
4701Se ha deshabilitado una tarea programada.
4702Se ha actualizado una tarea programada.
4702Se ha actualizado una tarea programada.
5888Se modificó un objeto en el catálogo de COM +.
5889Un objeto se ha eliminado desde el catálogo de COM +.
5890Se ha agregado un objeto en el catálogo de COM +.

Subcategoría: registro

ID. Mensaje
4657 Un valor del registro se modificó.
5039 Una clave del registro se virtualizado.

Subcategoría: subcategoría especial de uso múltiple

Nota: Debido a que existen varias versiones de Microsoft Windows, los siguientes pasos pueden ser diferentes en su equipo. El suceso siguiente puede generarse por cualquier administrador de recursos cuando está habilitada la subcategoría. Por ejemplo, el siguiente suceso puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos. El de acceso a objetos: objeto de núcleo y el acceso a objetos: SAM subcategorías son ejemplos de las subcategorías que utilizan estos eventos exclusivamente.
ID. Mensaje
4659Se ha solicitado un identificador de un objeto con la intención de eliminar.
4660Un objeto se ha eliminado.
4661Se ha solicitado un identificador de objeto.
4663Se intentó tener acceso a un objeto.

Categoría: Cambio de directiva

Subcategoría: Cambio de la directiva de auditoría

ID. Mensaje
4715Se cambió la directiva de auditoría (SACL) en un objeto.
4719Se cambió la directiva de auditoría del sistema.
4817Se cambió la configuración de auditoría en un objeto.
4902Se creó la tabla de normas de auditoría por usuario.
4904Se intentó registrar un origen de eventos de seguridad.
4905Se intentó anular el registro de un origen de eventos de seguridad.
4906El valor de CrashOnAuditFail ha cambiado.
4907Se cambió la configuración de auditoría en el objeto.
4908Modificadas una tabla de grupos de inicio de sesión especial.
4912Se ha cambiado por la directiva de auditoría del usuario.

Subcategoría: Cambio de la directiva de autenticación

ID. Mensaje
4706Se creó una nueva confianza a un dominio.
4707Se ha quitado una confianza a un dominio.
4713Se cambió la directiva Kerberos.
4716Se ha modificado la información de dominio de confianza.
4717Acceso al sistema de seguridad se ha concedido a una cuenta.
4718Se ha quitado una cuenta de acceso al sistema de seguridad.
4739Se cambió la directiva de dominio.
4864Se detectó una colisión de espacio de nombres.
4865Se ha agregado una entrada de información de confianza del bosque.
4866Se quitó una entrada de información de confianza del bosque.
4867Se modificó la entrada de información de un bosque de confianza.

Subcategoría: Cambio de la directiva de autorización

ID. Mensaje
4704Se asignó un derecho de usuario.
4705Se ha quitado un derecho de usuario.
4714Ha cambiado la directiva de grupo del agente de recuperación de datos para el sistema de archivos de cifrado (EFS). Los cambios se han aplicado.

Subcategoría: Cambio de directiva de plataforma de filtrado de

ID. Mensaje
4709Se inició el servicio Agente de directivas IPsec.
4710Se ha deshabilitado el servicio Agente de directivas IPsec.
4711Puede contener cualquiera de las siguientes acciones:
  • El motor PAStore aplicó la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • El motor PAStore aplicó la directiva IPsec de almacenamiento de registro local en el equipo.
  • El motor PAStore error al aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
  • Error del motor PAStore aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
  • Error del motor PAStore aplicar algunas reglas de la directiva IPsec activa en el equipo.
  • El motor PAStore no se pudo cargar la directiva de IPsec en el equipo de almacenamiento de directorio.
  • El motor PAStore cargó en el equipo de directiva IPsec de almacenamiento de directorio.
  • El motor PAStore no se pudo cargar la directiva IPsec en el equipo de almacenamiento local.
  • El motor PAStore cargó en el equipo de directiva IPsec de almacenamiento local.
  • El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.
4712Agente de directivas IPsec ha encontrado un error potencialmente grave.
5040Se realiza un cambio en la configuración de IPsec. Se ha agregado un sistema de autenticación.
5041Se realiza un cambio en la configuración de IPsec. Un conjunto de autenticación se modificó.
5042Se realiza un cambio en la configuración de IPsec. Se ha eliminado un sistema de autenticación.
5043Se realiza un cambio en la configuración de IPsec. Se ha agregado una regla de seguridad de conexión.
5044Se realiza un cambio en la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.
5045Se realiza un cambio en la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.
5046Se realiza un cambio en la configuración de IPsec. Se ha agregado un conjunto de cifrado.
5047Se realiza un cambio en la configuración de IPsec. Un conjunto de cifrado se modificó.
5048Se realiza un cambio en la configuración de IPsec. Se ha eliminado un conjunto de cifrado.
5440La siguiente llamada estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5441El siguiente filtro estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5442El proveedor siguiente estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5443El siguiente contexto de proveedor estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5444El siguiente subnivel estaba presente cuando inició la plataforma de filtrado de Windows motor de filtro Base.
5446Se ha cambiado una llamada Windows Filtering Platform.
5448Se cambió un proveedor de plataforma de filtrado de Windows.
5449Se ha cambiado un contexto de proveedor de la plataforma de filtrado de Windows.
5450Se ha cambiado una subcapa de plataforma de filtrado de Windows.
5456El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457Agente de directivas IPsec no puede aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458El agente de directivas IPsec aplica localmente en caché copia de directiva de IPsec en el equipo de almacenamiento de Active Directory.
5459Agente de directivas IPsec no puede aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5460Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de registro local en el equipo.
5461Agente de directivas IPsec no pudo aplicar la directiva IPsec de almacenamiento de registro local en el equipo.
5462Agente de directivas IPsec no puede aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilizar el complemento Monitor de seguridad IP para diagnosticar el problema.
5463Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicado.
5465Agente de directivas IPsec recibió un control para la recarga forzada de la directiva IPsec y procesó el control correctamente.
5466Agente de directivas IPsec sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede alcanzar de Active Directory y utilizará en su lugar la copia en caché de la directiva IPsec de Active Directory. Los cambios realizados a la directiva IPsec de Active Directory, ya que no se pudo aplicar el último sondeo.
5467Agente de directivas IPsec sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede alcanzado y no encontró cambios en la directiva. Ya no se utiliza la copia en caché de la directiva IPsec de Active Directory.
5468Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas IPsec determina que Active Directory puede llegar, encontró cambios en la directiva y los aplicó. Ya no se utiliza la copia en caché de la directiva IPsec de Active Directory.
5471Agente de directivas IPsec se carga en el equipo de directiva IPsec de almacenamiento local.
5472Agente de directivas IPsec no se pudo cargar la directiva IPsec en el equipo de almacenamiento local.
5473Agente de directivas IPsec carga el almacenamiento de información de directorio la directiva IPsec en el equipo.
5474Agente de directivas IPsec no se pudo cargar la directiva IPsec en el equipo de almacenamiento del directorio.
5477Agente de directivas IPsec no se pudo agregar el filtro de modo rápido.

Subcategoría: Cambio de la directiva de nivel de reglas MPSSVC

ID. Mensaje
4944La siguiente directiva estaba activa cuando el Firewall de Windows se inicia.
4945Una regla aparece cuando el Firewall de Windows se inicia.
4946Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha agregado una regla.
4947Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha modificado una regla.
4948Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla.
4949Configuración de Firewall de Windows se han restaurado los valores predeterminados.
4950Se ha cambiado una configuración de Firewall de Windows.
4951Firewall de Windows se omite una regla porque no se reconoce su número de versión principal.
4952Firewall de Windows se omite partes de una regla porque no se reconoce su número de versión secundaria. Otras partes de la regla se aplicará.
4953Firewall de Windows se omite una regla porque no se pudo analizar.
4954Configuración de directiva de grupo para Firewall de Windows se han cambiado, y se aplica la nueva configuración.
4956Firewall de Windows cambiar el perfil activo.
4957Firewall de Windows no aplicará la siguiente regla:
4958Firewall de Windows no ha aplicado la regla siguiente debido a la regla hace referencia a elementos no está configurados en este equipo:
5050Un intento de deshabilitar mediante programación el Firewall de Windows mediante una llamada a la interfaz de INetFwProfile.FirewallEnabled(FALSE) fue rechazado porque esta API no es compatible con esta versión de Windows. Esto es muy probablemente debido a un programa que no es compatible con esta versión de Windows. Póngase en contacto con el fabricante del programa para asegurarse de que dispone de una versión del programa compatible.

Subcategoría: Otros eventos de cambio de directiva

ID. Mensaje
4909Se han cambiado la configuración de la directiva local para el TBS.
4910Se han cambiado la configuración de directiva de grupo para el TBS.
5063Se intentó una operación de proveedor de servicios criptográficos.
5064Se intentó una operación de contexto criptográfico.
5065Se ha intentado efectuar una modificación del contexto de cifrado.
5066Se intentó una operación de la función de cifrado.
5067Se ha intentado efectuar una modificación de la función de cifrado.
5068Se intentó una operación de proveedor de función criptográfica.
5069Se intentó una operación de propiedades de la función de cifrado.
5070Se ha intentado efectuar una modificación de la propiedad de función criptográfica.
5447Se ha cambiado un filtro de plataforma de filtrado de Windows.
6144Directiva de seguridad en los objetos de directiva de grupo se ha aplicado correctamente.
6145Uno o más errores durante el procesamiento de directiva de seguridad en los objetos de directiva de grupo.

Subcategoría: subcategoría especial de uso múltiple

Nota: Debido a que existen varias versiones de Microsoft Windows, los siguientes pasos pueden ser diferentes en su equipo. El suceso siguiente puede generarse por cualquier administrador de recursos cuando está habilitada la subcategoría. Por ejemplo, el siguiente suceso puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos.
ID. Mensaje
4670 Se cambiaron los permisos de un objeto.

Categoría: El uso de privilegios

Subcategoría: Uso de privilegio confidencial utilice el privilegio no confidencial

ID. Mensaje
4672Privilegios especiales asignados al nuevo inicio de sesión.
4673Se llama a un servicio con privilegios.
4674Se intentó una operación en un objeto con privilegios.

Categoría: sistema

Subcategoría: Controlador de IPsec

ID. Mensaje
4960IPsec descartó un paquete entrante que no una comprobación de integridad. Si el problema persiste, podría indicar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961IPsec descartó un paquete entrante que el error en la comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción contra este equipo.
4962IPsec descartó un paquete entrante que el error en la comprobación de la reproducción. El paquete de entrada tenía demasiado bajo un número de secuencia para asegurarse de que no era una repetición.
4963IPsec descartó un paquete de entrada de texto sin cifrar que debería haber protegido. Si el equipo remoto está configurado con una directiva de solicitud de salida IPsec, podría resultar benignos y esperado. Esto también puede deberse al equipo remoto cambiando su directiva IPsec sin informar a este equipo. Esto también podría ser un intento de ataque de suplantación.
4965IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Esto ocurre normalmente por hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden omitirse estos eventos.
5478Se inició el servicio Agente de directivas IPsec.
5479Los servicios IPsec se ha cerrado correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a riesgos de seguridad potenciales.
5480Agente de directivas IPsec no se pudo obtener la lista completa de las interfaces de red en el equipo. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilizar el complemento Monitor de seguridad IP para diagnosticar el problema.
5483El servicio Agente de directivas IPsec no pudo inicializar el servidor RPC. No se pudo iniciar el servicio.
5484El servicio Agente de directivas IPsec un error grave y se ha cerrado. El cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a riesgos de seguridad potenciales.
5485Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento plug-and-play para interfaces de red. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilizar el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategoría: Otros eventos del sistema

ID. Mensaje
5024El servicio de Firewall de Windows se inició correctamente.
5025Se detuvo el servicio de Firewall de Windows.
5027El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual.
5028Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de Windows seguirá aplicando la directiva actual.
5029El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de Windows seguirá aplicando la directiva actual.
5030No se pudo iniciar el servicio Firewall de Windows.
5032Firewall de Windows no pudo notificar al usuario que ha bloqueado una aplicación acepte conexiones entrantes de la red.
5033El controlador de Firewall de Windows se inició correctamente.
5034El controlador de Firewall de Windows se detuvo.
5035No se pudo iniciar el controlador de Firewall de Windows.
5037El controlador de Firewall de Windows ha detectado un error en tiempo de ejecución crítico, finalizando.
5058Operación de archivo de clave.
5059Operación de clave de migración.
6400BranchCache: Se recibió una respuesta con formato incorrecto durante el descubrimiento de la disponibilidad del contenido.
6401BranchCache: Recibido datos no válidos de un elemento del mismo nivel. Se descartaron datos.
6403BranchCache: La caché hospedada envió una respuesta con formato incorrecto en el cliente.
6404BranchCache: Memoria caché hospedada no se pudo autenticar con el certificado SSL con thin provisioning.
6405BranchCache: %2 instancias del id de evento %1 se ha producido.
6406registrar %1 en Firewall de Windows al control de filtrado para lo siguiente: %2
64071%

Subcategoría: Cambio de estado de seguridad

ID. Mensaje
4608Windows se está iniciando.
4616Se cambió la hora del sistema.
4621Administrador de recupera sistema de CrashOnAuditFail. Ahora se permitirá a los usuarios que no son administradores para iniciar sesión. Pueden que no se han registrado algunas actividades auditables.

Subcategoría: Extensión de sistema de seguridad

ID. Mensaje
4610La autoridad de seguridad Local ha cargado un paquete de autenticación.
4611Un proceso de inicio de sesión de confianza se ha registrado con la autoridad de seguridad Local.
4614Se ha cargado un paquete de notificación mediante el Administrador de cuentas de seguridad.
4622La autoridad de seguridad Local ha cargado un paquete de seguridad.
4697Un servicio se ha instalado en el sistema.

Subcategoría: Integridad del sistema

ID. Mensaje
4612Se han agotado los recursos internos asignados para la cola de mensajes de auditoría, provocando la pérdida de algunas auditorías.
4615Uso no válido de puerto LPC.
4618Se ha producido un modelo de eventos de seguridad supervisados.
4816RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.
5038Integridad de código determinó que el hash de la imagen de un archivo no es válido. El archivo puede estar dañado debido a la modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco.
5056Se realizó una prueba criptográfica.
5057Error en una operación de primitiva criptográfica.
5060Error en la operación de comprobación.
5061Operación criptográfica.
5062Se realizó un cifrado de autocomprobación en modo de núcleo.
6281Integridad de código determinó que los hash de página de un archivo de imagen no válidos. El archivo podría ser incorrecto firmado sin los hash de página o dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible error de dispositivo de disco

Notas

  • Para obtener más detallada lista toda la auditoría de seguridad de entradas de eventos, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados como administrador:
    wevtutil gp Microsoft-Windows--auditoría de seguridad /ge /gm:true
    En el ejemplo siguiente se muestra parte del resultado:
      event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		%3	Account Name:		%4	Account Domain:		%5	Logon ID:		%6Trusted Domain:	Domain Name:		%1	Domain ID:		%2Trust Information:	Trust Type:		%7	Trust Direction:		%8	Trust Attributes:		%9	SID Filtering:		%10
  • Para obtener una lista de todas la auditoría de seguridad las categorías y subcategorías, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados como administrador:
    Auditpol /list /subcategory: *
Referencias
Para obtener más información acerca de la utilidad Wevtutil, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de la utilidad Auditpol, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de la auditoría directiva de configuración de seguridad avanzada en Windows 7 y Windows Server 2008 R2, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de la auditoría de seguridad en Windows Vista y Windows Server 2008, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
947226 Descripción de los sucesos de seguridad en Windows Vista y en Windows Server 2008

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 977519 - Última revisión: 02/08/2015 06:48:00 - Revisión: 7.0

  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
  • kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtes
Comentarios
y>ascript' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>"); ;m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">