Descrizione degli eventi di protezione in Windows 7 e Windows Server 2008 R2

INTRODUZIONE

In questo articolo vengono descritti diversi relativi alla protezione e correlate al controllo eventi in Windows 7 e Windows Server 2008 R2. In questo articolo fornisce inoltre informazioni su come interpretare questi eventi. Tutti questi eventi vengono visualizzati nel Registro di protezione e vengono registrati con un'origine del Controllo della sicurezza. In questo articolo viene inoltre illustrato come recuperare i dati più descrittivi sui singoli eventi.

Ulteriori informazioni

In questa sezione vengono elencati tutti i Windows 7 e Windows Server 2008 R2 protezione controllo eventi correlati per categoria e sottocategoria.

Categoria: Accesso Account

Sottocategoria: La convalida delle credenziali

IDMessaggio
4774Un account è stato mappato per l'accesso.
4775Un account potrebbe non essere mappato per l'accesso.
4776Il computer ha tentato di convalidare le credenziali per un account.
4777Il controller di dominio non è riuscito a convalidare le credenziali per un account.

Sottocategoria: Servizio di autenticazione Kerberos

IDMessaggio
4768È stato richiesto un ticket di autenticazione Kerberos (TGT).
4771Pre-autenticazione Kerberos non riuscita.
4772Una richiesta di ticket di autenticazione Kerberos non riuscita.

Sottocategoria: Operazioni di Ticket di servizio Kerberos

IDMessaggio
4769È stato richiesto un ticket di servizio Kerberos.
4770È stato rinnovato un ticket di servizio Kerberos.
4773Una richiesta di ticket di servizio Kerberos non riuscita.

Categoria: Gestione degli Account

Sottocategoria: Gestione di gruppi di applicazioni

IDMessaggio
4783Creazione di un gruppo di applicazioni di base.
4784Modifica di un gruppo di applicazioni di base.
4785Aggiunta di un membro a un gruppo di applicazioni di base.
4786È stato rimosso un membro da un gruppo di applicazioni di base.
4787Un membro non è stato aggiunto a un gruppo di applicazioni di base.
4788Un membro non è stato rimosso da un gruppo di applicazioni di base.
4789Eliminazione di un gruppo di applicazioni di base.
4790È stato creato un gruppo di query LDAP.
4791Modifica di un gruppo di applicazioni di base.
4792È stato eliminato un gruppo di query LDAP.

Sottocategoria: Gestione di Account Computer

IDMessaggio
4741È stato creato un account computer.
4742Modifica di un account computer.
4743È stato eliminato un account computer.

Sottocategoria: Gestione di gruppi di distribuzione

IDMessaggio
4744È stato creato un gruppo locale con protezione disabilitata.
4745È stato modificato un gruppo locale con protezione disabilitata.
4746Aggiunta di un membro a un gruppo locale con protezione disabilitata.
4747È stato rimosso un membro da un gruppo locale con protezione disabilitata.
4748È stato eliminato un gruppo locale con protezione disabilitata.
4749È stato creato un gruppo globale con protezione disabilitata.
4750È stato modificato un gruppo globale con protezione disabilitata.
4751Aggiunta di un membro a un gruppo globale con protezione disabilitata.
4752È stato rimosso un membro da un gruppo globale con protezione disabilitata.
4753È stato eliminato un gruppo globale con protezione disabilitata.
4759È stato creato un gruppo universale con protezione disabilitata.
4760È stato modificato un gruppo universale con protezione disabilitata.
4761Aggiunta di un membro a un gruppo universale con protezione disabilitata.
4762È stato rimosso un membro da un gruppo universale con protezione disabilitata.

Sottocategoria: Altri eventi di gestione Account

IDMessaggio
4782È stato eseguito l'hash di password di un account.
4793È stato chiamato l'API di verifica dei criteri Password.

Sottocategoria: Gestione di gruppi di protezione

IDMessaggio
4727È stato creato un gruppo globale con protezione abilitata.
4728Aggiunta di un membro a un gruppo globale con protezione abilitata.
4729È stato rimosso un membro da un gruppo globale con protezione abilitata.
4730È stato eliminato un gruppo globale con protezione abilitata.
4731È stato creato un gruppo locale con protezione abilitata.
4732Aggiunta di un membro a un gruppo locale con protezione abilitata.
4733È stato rimosso un membro da un gruppo locale con protezione abilitata.
4734È stato eliminato un gruppo locale con protezione abilitata.
4735È stato modificato un gruppo locale con protezione abilitata.
4737È stato modificato un gruppo globale con protezione abilitata.
4754È stato creato un gruppo universale con protezione abilitata.
4755È stato modificato un gruppo universale con protezione abilitata.
4756Aggiunta di un membro a un gruppo universale con protezione abilitata.
4757È stato rimosso un membro da un gruppo universale con protezione abilitata.
4758È stato eliminato un gruppo universale con protezione abilitata.
4764Tipo di un gruppo è stato modificato.

Sottocategoria: Gestione degli Account utente

IDMessaggio
4720È stato creato un account utente.
4722È stato attivato un account utente.
4723È stato effettuato un tentativo di cambiare la password dell'account.
4724È stato effettuato un tentativo di reimpostare la password dell'account.
4725Un account utente è stato disabilitato.
4726È stato eliminato un account utente.
4738Modifica di un account utente.
4740Un account utente è stato bloccato.
4765History SID è stato aggiunto a un account.
4766Impossibile aggiungere un account History SID.
4767Un account utente è stato sbloccato.
4780L'ACL è stata impostata su account membri del gruppo administrators.
4781Il nome di un account è stato modificato:
4794È stato effettuato un tentativo di impostare il Directory Services Restore Mode.
5376Le credenziali di Credential Manager sono state sottoposte ad un backup.
5377Le credenziali di Credential Manager sono state ripristinate da un backup.

Categoria: Analisi dettagliata

Sottocategoria: Attività DPAPI

IDMessaggio
4692Tentativo di copia di backup della chiave principale della protezione di dati.
4693Tentativo di recupero della chiave principale della protezione di dati.
4694È stata tentata la protezione dei dati protetti controllabili.
4695Tentativo di unprotection dei dati protetti controllabili.

Sottocategoria: Creazione del processo

IDMessaggio
4688È stato creato un nuovo processo.
4696È stato assegnato un token primario per l'elaborazione.

Sottocategoria: La terminazione del processo

IDMessaggio
4689Un processo è terminato.

Sottocategoria: Eventi RPC

IDMessaggio
5712È stata tentata una RPC Remote Procedure Call ().

Categoria: Accesso al servizio directory

Sottocategoria: Replica dettagliata servizio Directory

IDMessaggio
4928È stato stabilito un contesto di denominazione origine di replica Active Directory.
4929Un contesto di denominazione origine di Active Directory replica è stato rimosso.
4930Un contesto di denominazione origine di Active Directory replica è stato modificato.
4931Un contesto di denominazione di Active Directory replica destinazione è stato modificato.
4934Attributi di un oggetto di Active Directory sono stati replicati.
4935Errore di replica inizia.
4936Errore di replica termina.
4937Un oggetto supplementare è stato rimosso da una replica.

Sottocategoria: Accesso al servizio Directory

IDMessaggio
4662È stata eseguita un'operazione su un oggetto.

Sottocategoria: Modifiche servizio Directory

IDMessaggio
5136Un oggetto del servizio directory è stato modificato.
5137È stato creato un oggetto del servizio directory.
5138Oggetto servizio directory annullata.
5139Un oggetto del servizio directory è stato spostato.
5141È stato eliminato un oggetto del servizio directory.

Sottocategoria: La replica del servizio Directory

IDMessaggio
4932È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory.
4933Terminata la sincronizzazione di una replica di un contesto di denominazione di Active Directory.

Categoria: Accesso/fine sessione

Sottocategoria: Modalità estesa IPsec

IDMessaggio
4978Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se il problema persiste, potrebbe indicare un problema di rete o un tentativo di modificare o riprodurre questa negoziazione.
4979Sono state stabilite in modalità principale IPsec e le associazioni di protezione in modalità estesa.
4980Sono state stabilite in modalità principale IPsec e le associazioni di protezione in modalità estesa.
4981Sono state stabilite in modalità principale IPsec e le associazioni di protezione in modalità estesa.
4982Sono state stabilite in modalità principale IPsec e le associazioni di protezione in modalità estesa.
4983Un IPsec estesa la negoziazione in modalità non riuscita. L'associazione di protezione in modalità principale corrispondente è stato eliminato.
4984Un IPsec estesa la negoziazione in modalità non riuscita. L'associazione di protezione in modalità principale corrispondente è stato eliminato.

Sottocategoria: Modalità principale IPsec

IDMessaggio
4646Modalità di prevenzione DoS IKE avviata.
4650È stata stabilita un'associazione di protezione in modalità principale IPsec. Modalità estesa non è stata abilitata. Non è stata utilizzata l'autenticazione basata su certificati.
4651È stata stabilita un'associazione di protezione in modalità principale IPsec. Modalità estesa non è stata abilitata. Un certificato è stato utilizzato per l'autenticazione.
4652Negoziazione in modalità principale IPsec non riuscita.
4653Negoziazione in modalità principale IPsec non riuscita.
4655Un'associazione di protezione in modalità principale IPsec terminata.
4976Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se il problema persiste, potrebbe indicare un problema di rete o un tentativo di modificare o riprodurre questa negoziazione.
5049Un'associazione di protezione IPsec è stata eliminata.
5453Agente criteri IPsec applicati criterio IPsec di archiviazione di Active Directory sul computer.

Sottocategoria: Modalità rapida IPsec

IDMessaggio
4654Negoziazione in modalità rapida IPsec non riuscita.
4977Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se il problema persiste, potrebbe indicare un problema di rete o un tentativo di modificare o riprodurre questa negoziazione.
5451È stata stabilita un'associazione di protezione IPsec in modalità rapida.
5452Un'associazione di protezione in modalità rapida IPsec terminata.

Sottocategoria: disconnessione

IDMessaggio
4634Un account è stato disconnesso.
4647Fine sessione avviata dall'utente.

Sottocategoria: accesso

IDMessaggio
4624Un account è stato effettuato correttamente.
4625Un account di accesso non riuscito.
4648Si è tentato un accesso utilizzando credenziali esplicite.
4675Sono stati filtrati i SID.

Sottocategoria: Server di rete

IDMessaggio
6272Server dei criteri di rete concesso l'accesso a un utente.
6273Server dei criteri di rete negato l'accesso a un utente.
6274Server dei criteri di rete scartati la richiesta di un utente.
6275Server dei criteri di rete scartati per un utente la richiesta di accounting.
6276Server dei criteri di rete in quarantena un utente.
6277Server dei criteri di rete concesso l'accesso a un utente ma inserirlo sospesa perché l'host non ha soddisfatto i criteri di integrità definiti.
6278Server dei criteri di rete concesso l'accesso completo a un utente perché l'host soddisfatti i criteri di integrità definiti.
6279Server dei criteri di rete bloccato l'account utente tentativi ripetuti di autenticazione non riuscita.
6280Server dei criteri di rete sbloccato l'account utente.

Sottocategoria: Altri eventi di accesso/fine sessione

IDMessaggio
4649È stato rilevato un attacco di tipo replay.
4778Una sessione è stata riconnessa a una stazione finestra.
4779Una sessione disconnessa da una stazione finestra.
4800La workstation è stata bloccata.
4801La workstation è stata sbloccata.
4802Lo screen saver è stato richiamato.
4803Lo screen saver è stata chiusa.
5378È stata annullata la delega delle credenziali richieste dai criteri.
5632È stata effettuata una richiesta per l'autenticazione a una rete wireless.
5633È stata effettuata una richiesta per l'autenticazione a una rete cablata.

Sottocategoria: Accesso speciale

IDMessaggio
4964Gruppi speciali sono stati assegnati a un nuovo accesso.

Categoria: Accesso agli oggetti

Sottocategoria: Generato dall'applicazione

IDMessaggio
4665È stato effettuato un tentativo di creare un contesto di applicazioni client.
4666Un'applicazione ha tentato un'operazione:
4667È stato eliminato un contesto di applicazioni client.
4668Un'applicazione è stata inizializzata.

Sottocategoria: Servizi di certificazione

IDMessaggio
4868Il gestore di certificati ha negato una richiesta di certificato in sospeso.
4869Servizi certificati ha ricevuto una richiesta di certificati nuovamente inoltrata.
4870Servizi certificati ha revocato un certificato.
4871Servizi certificati ha ricevuto una richiesta per pubblicare l'elenco di certificati revocati (CRL).
4872Servizi certificati ha pubblicato l'elenco di certificati revocati (CRL).
4873Modifica l'estensione di una richiesta di certificato.
4874Uno o più attributi di richiesta di certificato è stato modificato.
4875Servizi certificati ha ricevuto una richiesta di chiusura.
4876Backup di servizi certificati avviato.
4877Backup dei servizi certificati completata.
4878Ripristino di servizi certificati avviato.
4879Completato il ripristino di servizi di certificazione.
4880Servizi certificati avviato.
4881Servizi certificati arrestato.
4882Modificare le autorizzazioni di protezione per Servizi certificati.
4883Servizi certificati ha recuperato una chiave archiviata.
4884Servizi certificati ha importato un certificato nel proprio database.
4885Il filtro di controllo per i servizi certificati è stato modificato.
4886Servizi certificati ha ricevuto una richiesta di certificato.
4887Servizi certificati approvato una richiesta di certificato e di un certificato.
4888Servizi certificati ha negato una richiesta di certificato.
4889Servizi certificati di impostare lo stato di una richiesta di certificato in sospeso.
4890Modificare le impostazioni di gestione certificati per Servizi certificati.
4891Una voce di configurazione modificata in Servizi certificati.
4892Modificare una proprietà di servizi certificati.
4893Servizi certificati ha archiviato una chiave.
4894Servizi certificati importato e archiviato una chiave.
4895Servizi certificati ha pubblicato il certificato della CA in servizi di dominio Active Directory.
4896Uno o più righe sono state eliminate dal database dei certificati.
4897Separazione ruoli abilitata:
4898Servizi certificati è caricato un modello.
4899Un modello di servizi certificati è stato aggiornato.
4900Protezione dei modelli di servizi certificati è stato aggiornato.
5120Avviata il servizio Risponditore OCSP.
5121Servizio Risponditore OCSP arrestato.
5122Una voce di configurazione modificata nel servizio Risponditore OCSP.
5123Una voce di configurazione modificata nel servizio Risponditore OCSP.
5124Un'impostazione di protezione è stata aggiornata sul servizio Risponditore OCSP.
5125È stata inviata una richiesta al servizio Risponditore OCSP.
5126Certificato di firma è stato automaticamente aggiornato dal servizio Risponditore OCSP.
5127Il Provider di revoca OCSP aggiornato le informazioni di revoca.

Sottocategoria: Condivisione di File dettagliato

IDMessaggio
5145Un oggetto di condivisione di rete viene controllato per vedere se può essere concessa al client di accesso desiderato.

Sottocategoria: Condivisione di File

IDMessaggio
5140È stato eseguito un oggetto di condivisione di rete.
5142È stato aggiunto un oggetto di condivisione di rete.
5143Un oggetto di condivisione di rete è stato modificato.
5144È stato eliminato un oggetto di condivisione di rete.
5168Controllo SPN per SMB/SMB2 non riuscito.

Sottocategoria: File System

IDMessaggio
4664È stato effettuato un tentativo di creare un collegamento fisso.
4985Lo stato di una transazione è cambiato.
5051Un file è stato virtualizzato.

Sottocategoria: Connessione a piattaforma filtro

IDMessaggio
5031Il servizio Windows Firewall è bloccato da un'applicazione di accettare connessioni in ingresso nella rete.
5148Piattaforma filtro Windows ha rilevato un attacco DoS e una modalità difensiva; verranno eliminati i pacchetti associati a questo attacco.
5149L'attacco DoS ha subsided e ripresa la normale elaborazione.
5150Piattaforma filtro Windows ha bloccato un pacchetto.
5151Un filtro più restrittivo di piattaforma filtro Windows ha bloccato un pacchetto.
5154Piattaforma filtro Windows ha consentito di un'applicazione o un servizio in ascolto su una porta per le connessioni in ingresso.
5155Piattaforma filtro Windows ha bloccato un'applicazione o servizio in ascolto su una porta per le connessioni in ingresso.
5156Piattaforma filtro Windows ha consentito una connessione.
5157Piattaforma filtro Windows ha bloccato una connessione.
5158Piattaforma filtro Windows ha consentito un binding a una porta locale.
5159Piattaforma filtro Windows ha bloccato un binding a una porta locale.

Sottocategoria: Pacchetti Piattaforma filtro

IDMessaggio
5152Piattaforma filtro Windows ha bloccato un pacchetto.
5153Un filtro più restrittivo di piattaforma filtro Windows ha bloccato un pacchetto.

Sottocategoria: Manipolazione di Handle

IDMessaggio
4656È stato richiesto un handle per un oggetto.
4658L'handle per un oggetto è stato chiuso.
4690È stato effettuato un tentativo di duplicare un handle per un oggetto.

Sottocategoria: Altri eventi di accesso oggetti

IDMessaggio
4671Un'applicazione ha tentata di accedere a un numero ordinale bloccato tramite il servizio TBS.
4691È stato richiesto l'accesso indiretto a un oggetto.
4698Creazione di un'attività pianificata.
4699Un'operazione pianificata è stata eliminata.
4700Un'operazione pianificata è stata attivata.
4701Un'operazione pianificata è stata disattivata.
4702Un'operazione pianificata è stata aggiornata.
4702Un'operazione pianificata è stata aggiornata.
5888È stato modificato un oggetto nel catalogo COM+.
5889Un oggetto è stato eliminato dal catalogo COM+.
5890Un oggetto è stato aggiunto al catalogo COM+.

Sottocategoria: Registro di sistema

IDMessaggio
4657Un valore del Registro di sistema è stato modificato.
5039Una chiave del Registro di sistema è stata virtualizzata.

Sottocategoria: sottocategoria multiuso speciale

Nota: Il seguente evento può essere generato da un gestore delle risorse quando è attivata la sottocategoria. Ad esempio, il seguente evento può essere generato dal gestore delle risorse del Registro di sistema o dal gestore delle risorse di sistema di File. Il dell'accesso agli oggetti: oggetto Kernel e accesso agli oggetti: SAM le sottocategorie sono esempi di sottocategorie che utilizzano questi eventi in modo esclusivo.
IDMessaggio
4659È stato richiesto un handle per un oggetto con l'intento di eliminare.
4660Un oggetto è stato eliminato.
4661È stato richiesto un handle per un oggetto.
4663È stato effettuato un tentativo di accedere a un oggetto.

Categoria: Modifica dei criteri

Sottocategoria: Modifica criterio di controllo

IDMessaggio
4715È stato modificato il criterio di controllo (SACL) su un oggetto.
4719Criterio di sistema è stato modificato.
4817Sono state modificate le impostazioni di controllo su un oggetto.
4902La tabella dei criteri di controllo Per utente è stata creata.
4904È stato effettuato un tentativo di registrare un'origine eventi di protezione.
4905È stato effettuato un tentativo di annullare la registrazione di un'origine eventi di protezione.
4906È stato modificato il valore CrashOnAuditFail.
4907Sono state modificate le impostazioni di controllo sull'oggetto.
4908Tabella gruppi accesso speciale modificata.
4912Per ogni criterio di controllo utente è stato modificato.

Sottocategoria: Modifica criteri di autenticazione

IDMessaggio
4706È stato creato un nuovo trust a un dominio.
4707È stata rimossa una relazione di trust a un dominio.
4713Criterio Kerberos è stato modificato.
a 4716Informazioni dominio trusted è state modificate.
4717Accesso di protezione del sistema è stato concesso a un account.
4718Accesso di protezione del sistema è stato rimosso da un account.
4739Modifica del criterio di dominio.
4864È stato rilevato un conflitto di spazio dei nomi.
4865È stata aggiunta una voce di informazioni di insieme di strutture trusted.
4866Immissione di informazioni un insieme di strutture trusted è stato rimosso.
4867Immissione di informazioni un insieme di strutture trusted è stato modificato.

Sottocategoria: Modifica criteri di autorizzazione

IDMessaggio
4704È stato assegnato un diritto utente.
4705È stato rimosso un diritto utente.
4714Criteri di gruppo di agente recupero dati per crittografia File System (EFS) è sono modificato. Sono state applicate le nuove modifiche.

Sottocategoria: Modifica criteri piattaforma filtro

IDMessaggio
4709È stato avviato il servizio Agente criteri IPsec.
4710Il servizio Agente criteri IPsec è stato disattivato.
4711Può contenere uno o più delle operazioni seguenti:
  • PAStore Engine ha applicato una copia locale del criterio IPsec di archiviazione di Active Directory sul computer.
  • PAStore Engine ha applicato il criterio IPsec di archiviazione di Active Directory sul computer.
  • PAStore Engine ha applicato il criterio IPsec di archiviazione del Registro di sistema locale sul computer.
  • PAStore Engine non è riuscito applicare una copia locale del criterio IPsec di archiviazione di Active Directory sul computer.
  • PAStore Engine non è riuscito applicare il criterio IPsec di archiviazione di Active Directory sul computer.
  • PAStore Engine non è riuscito applicare il criterio IPsec di archiviazione del Registro di sistema locale sul computer.
  • PAStore Engine non è riuscito ad applicare alcune regole del criterio IPsec attivo sul computer.
  • PAStore Engine non è riuscito a caricare archiviazione directory criteri IPsec sul computer.
  • PAStore Engine ha caricato directory di archiviazione dei criteri IPsec sul computer.
  • PAStore Engine non è riuscito a caricare archiviazione locale dei criteri IPsec sul computer.
  • PAStore Engine ha caricato l'archiviazione locale dei criteri IPsec sul computer.
  • PAStore Engine ha eseguito il polling delle modifiche nel criterio IPsec attivo e ha rilevato alcuna modifica.
4712Agente criteri IPsec ha riscontrato un errore potenzialmente grave.
5040È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione.
5041È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato.
5042È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato.
5043È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di protezione di connessione.
5044È stata apportata una modifica alle impostazioni IPsec. Una regola di protezione di connessione è stata modificata.
5045È stata apportata una modifica alle impostazioni IPsec. Una regola di protezione di connessione è stata eliminata.
5046È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia.
5047È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato modificato.
5048È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato eliminato.
5440Il callout seguente era presente all'avvio di Windows il filtro Platform Base Filtering Engine.
5441Il filtro seguente era presente all'avvio di Windows il filtro Platform Base Filtering Engine.
5442Il provider seguente era presente all'avvio di Windows il filtro Platform Base Filtering Engine.
5443Il contesto del provider seguente era presente all'avvio di Windows il filtro Platform Base Filtering Engine.
5444Il livello secondario seguente era presente all'avvio di Windows il filtro Platform Base Filtering Engine.
5446È stato modificato un callout di piattaforma filtro Windows.
5448Un provider di piattaforma filtro Windows è stato modificato.
5449Il contesto di un provider di piattaforma filtro Windows è stato modificato.
5450Un livello secondario di piattaforma filtro Windows è stato modificato.
5456PAStore Engine ha applicato il criterio IPsec di archiviazione di Active Directory sul computer.
5457Applicare il criterio IPsec di archiviazione di Active Directory sul computer agente criteri IPsec non riuscita.
5458Agente criteri IPsec applicati localmente nella cache una copia del criterio IPsec sul computer di archiviazione di Active Directory.
5459Applicare una copia locale del criterio IPsec di archiviazione di Active Directory sul computer agente criteri IPsec non riuscita.
5460Agente criteri IPsec è applicato il criterio IPsec di archiviazione del Registro di sistema locale sul computer.
5461Applicare il criterio IPsec di archiviazione del Registro di sistema locale sul computer agente criteri IPsec non riuscita.
5462Agente criteri IPsec non è riuscito ad applicare alcune regole del criterio IPsec attivo sul computer. Utilizzare lo snap-in Monitor di protezione IP per diagnosticare il problema.
5463Agente criteri IPsec eseguito il polling delle modifiche nel criterio IPsec attivo e ha rilevato alcuna modifica.
5464Agente criteri IPsec eseguito il polling delle modifiche nel criterio IPsec attivo, ha rilevato modifiche e sono state applicate.
5465Agente criteri IPsec ha ricevuto un controllo per il ricaricamento forzato del criterio IPsec ed elaborato correttamente.
5466Agente criteri IPsec eseguito il polling delle modifiche al criterio IPsec di Active Directory, determinata che Active Directory non è raggiungibile e utilizzerà invece la copia memorizzata nella cache del criterio IPsec di Active Directory. Le modifiche apportate al criterio IPsec di Active Directory dall'ultimo poll non possono essere applicati.
5467Agente criteri IPsec eseguito il polling delle modifiche al criterio IPsec di Active Directory, determinata che Active Directory può essere raggiunto e ha rilevato alcuna modifica al criterio. La copia nella cache del criterio IPsec di Active Directory non è più utilizzata.
5468Agente criteri IPsec eseguito il polling delle modifiche al criterio IPsec di Active Directory, determinare che Active Directory può essere raggiunto, trovare modifiche al criterio e applicare tali modifiche. La copia nella cache del criterio IPsec di Active Directory non è più utilizzata.
5471Agente criteri IPsec caricare archiviazione locale dei criteri IPsec sul computer.
5472Agente criteri IPsec non è riuscito a caricare archiviazione locale dei criteri IPsec sul computer.
5473Agente criteri IPsec caricato directory di archiviazione dei criteri IPsec sul computer.
5474Agente criteri IPsec non è riuscito a caricare archiviazione directory criteri IPsec sul computer.
5477Agente criteri IPsec: Impossibile aggiungere il filtro in modalità rapida.

Sottocategoria: Modifica di criteri a livello di regola MPSSVC

IDMessaggio
4944Il seguente criterio era attivo all'avvio di Windows Firewall.
4945Una regola è stata elencata all'avvio di Windows Firewall.
4946Una modifica apportata all'elenco eccezioni di Windows Firewall. È stata aggiunta una regola.
4947Una modifica apportata all'elenco eccezioni di Windows Firewall. Una regola è stata modificata.
4948Una modifica apportata all'elenco eccezioni di Windows Firewall. Una regola è stata eliminata.
4949Impostazioni di Windows Firewall sono state ripristinate i valori predefiniti.
4950Un'impostazione Windows Firewall è stata modificata.
4951Windows Firewall ignorato una regola perché il relativo numero di versione principale non è riconosciuto.
4952Windows Firewall ignorato parti di una regola perché il relativo numero di versione secondaria non è riconosciuto. Altre parti della regola verranno applicate.
4953Windows Firewall ignorato una regola potrebbe non essere analizzato.
4954Sono state modificate le impostazioni di criteri di gruppo per Windows Firewall e sono state applicate le nuove impostazioni.
4956Windows Firewall è modificato il profilo attivo.
4957Windows Firewall non ha applicato la regola seguente:
4958Windows Firewall non ha applicato la regola seguente perché la regola di cui agli articoli non è configurati nel computer:
5050Un tentativo di disattivare a livello di codice mediante una chiamata all'interfaccia INetFwProfile.FirewallEnabled(FALSE) di Windows Firewall è stato rifiutato poiché questa API non è supportata in questa versione di Windows. Si tratta molto probabilmente di un programma che non è compatibile con questa versione di Windows. Contattare il produttore del programma per assicurarsi di disporre di una versione compatibile del programma.

Sottocategoria: Altri eventi di modifica criteri

IDMessaggio
4909Sono state modificate le impostazioni dei criteri locali per il servizio TBS.
4910Sono state modificate le impostazioni dei criteri di gruppo per il servizio TBS.
5063È stata tentata un'operazione di crittografia.
5064È stata tentata un'operazione di contesto di crittografia.
5065È stata tentata una modifica del contesto di crittografia.
5066È stata tentata un'operazione di funzione di crittografia.
5067È stata tentata una modifica della funzione di crittografia.
5068È stata tentata un'operazione di provider di funzionalità di crittografia.
5069È stata tentata un'operazione di proprietà della funzione di crittografia.
5070È stata tentata una modifica di proprietà della funzione di crittografia.
5447Un filtro di piattaforma filtro Windows è stato modificato.
6144Criteri di protezione negli oggetti Criteri di gruppo sono stato applicato correttamente.
6145Uno o più errori durante l'elaborazione dei criteri di protezione negli oggetti Criteri di gruppo.

Sottocategoria: sottocategoria multiuso speciale

Nota: Il seguente evento può essere generato da un gestore delle risorse quando è attivata la sottocategoria. Ad esempio, il seguente evento può essere generato dal gestore delle risorse del Registro di sistema o dal gestore delle risorse di sistema di File.
IDMessaggio
4670Sono state modificate le autorizzazioni per un oggetto.

Categoria: Uso dei privilegi

Sottocategoria: Utilizzo privilegi sensibili utilizzare privilegi Non sensibili

IDMessaggio
4672Privilegi speciali assegnati al nuovo accesso.
4673È stato chiamato un servizio privilegiato.
4674È stata tentata un'operazione su un oggetto privilegiato.

Categoria: sistema

Sottocategoria: Driver IPsec

IDMessaggio
4960IPsec è rilasciato un pacchetto in ingresso che non è un controllo di integrità. Se il problema persiste, potrebbe indicare che un problema di rete o che i pacchetti vengono modificati in transito verso il computer. Verificare che i pacchetti inviati dal computer remoto sono identici a quelli ricevuto da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni di IPsec.
4961IPsec è rilasciato un pacchetto in ingresso che è riuscita a controllare la riproduzione. Se il problema persiste, potrebbe indicare un attacco di tipo replay contro il computer.
4962IPsec è rilasciato un pacchetto in ingresso che è riuscita a controllare la riproduzione. Il pacchetto in ingresso era troppo basso un numero di sequenza per assicurarsi che non era una riproduzione.
4963IPsec è rilasciato un pacchetto non crittografato in ingresso che avrebbero dovuto essere protetti. Se il computer remoto è configurato con un criterio IPsec in uscita richiesta, potrebbe trattarsi di benigni e previsti. Può essere causato anche da un computer remoto se si modifica il criterio IPsec senza informare di questo computer. Potrebbe anche trattarsi di un tentativo di attacco di spoofing.
4965IPsec ha ricevuto un pacchetto da un computer remoto con un corretto parametro indice SPI (Security). Ciò è solitamente causato da malfunzionamenti hardware che danneggia i pacchetti. Se gli errori persistono, verificare che i pacchetti inviati dal computer remoto sono identici a quelli ricevuto da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni di IPsec. In tal caso, se non viene ostacolata la connettività, quindi questi eventi possono essere ignorati.
5478È stato avviato il servizio Agente criteri IPsec.
5479Servizi IPsec è stato arrestato correttamente. L'arresto dei servizi IPsec è possibile mettere il computer più a rischio di attacchi provenienti dalla rete o esporre il computer a potenziali rischi di protezione.
5480Agente criteri IPsec non è riuscito a ottenere l'elenco completo delle interfacce di rete del computer. Ciò comporta potenziali rischi di protezione in quanto alcune delle interfacce di rete potrebbe non ricevere la protezione fornita dai filtri IPsec applicati. Utilizzare lo snap-in Monitor di protezione IP per diagnosticare il problema.
5483Il servizio Agente criteri IPsec non è riuscito a inizializzare il server RPC. Impossibile avviare il servizio.
5484Il servizio Agente criteri IPsec ha riscontrato un errore critico e arrestato. L'arresto del servizio è possibile mettere il computer più a rischio di attacchi provenienti dalla rete o esporre il computer a potenziali rischi di protezione.
5485Agente criteri IPsec non è riuscito a elaborare alcuni filtri IPsec su un evento plug-and-play per le interfacce di rete. Ciò comporta potenziali rischi di protezione in quanto alcune delle interfacce di rete potrebbe non ricevere la protezione fornita dai filtri IPsec applicati. Utilizzare lo snap-in Monitor di protezione IP per diagnosticare il problema.

Sottocategoria: Altri eventi di sistema

IDMessaggio
5024Il servizio Windows Firewall avviato.
5025Il servizio Windows Firewall è stato interrotto.
5027Il servizio Windows Firewall non è riuscito a recuperare i criteri di protezione dall'archivio locale. Windows Firewall continueranno applicare il criterio corrente.
5028Impossibile analizzare il nuovo criterio di protezione di Windows Firewall. Windows Firewall continueranno applicare il criterio corrente.
5029Il servizio Windows Firewall non è riuscito a inizializzare il driver. Windows Firewall continueranno applicare il criterio corrente.
5030Avviare il servizio Windows Firewall non riuscita.
5032Windows Firewall non è riuscito a notificare all'utente che esso ha bloccato un'applicazione dall' accettare connessioni in ingresso nella rete.
5033Driver Windows Firewall avviato.
5034Il driver del Firewall di Windows è stato arrestato.
5035Il driver del Firewall di Windows: Impossibile avviare.
5037Il driver del Firewall di Windows ha rilevato un errore critico durante l'esecuzione, interruzione.
5058Operazione di file di chiave.
5059Operazione chiave di migrazione.
6400BranchCache: Ha ricevuto una risposta formattata in modo non corretto durante l'individuazione di disponibilità dei contenuti.
6401BranchCache: Dati non validi ricevuti da un peer. I dati eliminati.
6403BranchCache: La cache ospitata ha inviato una risposta formattata in modo non corretto al client.
6404BranchCache: Cache ospitata non può essere autenticata utilizzando il certificato SSL di provisioning.
6405BranchCache: %2 istanze dell'id evento %1 si è verificato.
6406%1 è registrato in Windows Firewall per controllare il filtro per i seguenti: %2
64071%

Sottocategoria: Modifica dello stato di protezione

IDMessaggio
4608Dell'avvio di Windows.
4616L'ora di sistema è stato modificato.
4621Amministratore di sistema ripristinato in seguito a CrashOnAuditFail. Gli utenti che non sono amministratori potrà ora effettuare l'accesso. Alcune attività controllabili potrebbero non essere state registrate.

Sottocategoria: Estensione di sistema di protezione

IDMessaggio
4610Un pacchetto di autenticazione è stato caricato dall'autorità di protezione locale.
4611Un processo di accesso attendibile è stato registrato con l'autorità di protezione locale.
4614Un pacchetto di notifica è stato caricato da Gestione Account di protezione.
4622Un pacchetto di protezione è stato caricato dall'autorità di protezione locale.
4697Un servizio è stato installato nel sistema.

Sottocategoria: Integrità del sistema

IDMessaggio
4612Le risorse interne allocate per accodare i messaggi di controllo sono state esaurite, causando la perdita di alcune registrazioni.
4615Utilizzo non valido della porta LPC.
4618Si è verificato un modello di eventi di protezione monitorati.
4816RPC ha rilevato una violazione dell'integrità durante la decrittografia di un messaggio in arrivo.
5038Integrità del codice determinato che l'hash dell'immagine di un file non valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore di periferica disco.
5056È stata eseguita una verifica automatica di crittografia.
5057Un'operazione di primitiva di crittografia non riuscita.
5060Verifica non riuscita.
5061Operazione di crittografia.
5062È stata eseguita un'in modalità kernel crittografia che test automatico.
6281Integrità del codice determinato che gli hash di pagina di un file di immagine non sono validi. Il file potrebbe essere errato firmati senza hash delle pagine o danneggiato a causa di modifiche non autorizzate. Gli hash non validi potrebbero indicare un potenziale errore di periferica disco

Note

  • Per restituire un più dettagliato elenco di tutto il controllo della protezione voci di eventi, eseguire il seguente comando da un prompt dei comandi con privilegi elevato come amministratore:
    /gm:true di /ge wevtutil gp Microsoft-Windows-controllo della sicurezza

    Nell'esempio riportato di seguito viene illustrato come parte dell'output:
      event:    value: 4706
    version: 0
    opcode: 0
    channel: 10
    level: 4
    task: 0
    keywords: 0x8000000000000000
    message: A new trust was created to a domain.

    Subject:
    Security ID:%3
    Account Name:%4
    Account Domain:%5
    Logon ID:%6

    Trusted Domain:
    Domain Name:%1
    Domain ID:%2

    Trust Information:
    Trust Type:%7
    Trust Direction:%8
    Trust Attributes:%9
    SID Filtering:%10

  • Per restituire un elenco di tutto il controllo della protezione categorie e sottocategorie, eseguire il seguente comando da un prompt dei comandi con privilegi elevato come amministratore:
    auditpol /list /subcategory: *

Riferimenti

Per ulteriori informazioni sull'utilità Wevtutil, visitare il seguente sito Web Microsoft:


Per ulteriori informazioni sull'utilità Auditpol, visitare il seguente sito Web Microsoft:


Per ulteriori informazioni sulla verifica dei criteri impostazioni di protezione avanzate in Windows 7 e Windows Server 2008 R2, visitare il seguente sito Web Microsoft:
Per ulteriori informazioni sui controlli di sicurezza in Windows Vista e Windows Server 2008, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

Descrizione 947226 eventi di protezione in Windows Vista e Windows Server 2008

Proprietà

ID articolo: 977519 - Ultima revisione: 31 gen 2017 - Revisione: 1

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

Feedback