Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 977519
INTRODUÇÃO
Este artigo descreve vários eventos relacionados com a auditoria e relacionadas com a segurança no Windows 7 e no Windows Server 2008 R2. Este artigo também fornece informações sobre como interpretar estes eventos. Todos estes eventos aparecem no registo de segurança e são registados com uma fonte de Auditoria de segurança. Este artigo também descreve como obter dados mais descritivos sobre eventos individuais.
Mais Informação
Esta secção lista todos os Windows 7 e Windows Server 2008 R2 relacionados com a auditar eventos de segurança por categoria e subcategoria.

Categoria: Início de sessão

Subcategoria: Validação de credenciais

ID Mensagem
4774Uma conta foi mapeada para início de sessão.
4775Não foi possível mapear uma conta de início de sessão.
4776O computador tentado validar as credenciais para uma conta.
4777O controlador de domínio não foi possível validar as credenciais para uma conta.

Subcategoria: Serviço de autenticação Kerberos

ID Mensagem
4768Foi pedida uma permissão de autenticação Kerberos (TGT).
4771Falhou a pré-autenticação Kerberos.
4772Falhou um pedido de permissão de autenticação Kerberos.

Subcategoria: Operações de permissão de serviço Kerberos

ID Mensagem
4769Foi pedida uma permissão de serviço Kerberos.
4770Foi renovada uma permissão de serviço Kerberos.
4773Falhou um pedido de permissão de serviço do Kerberos.

Categoria: Gestão de contas

Subcategoria: Gestão de grupo de aplicações

ID Mensagem
4783Foi criado um grupo de aplicações básicas.
4784Foi alterado um grupo de aplicações básicas.
4785Foi adicionado um membro a um grupo de aplicações básicas.
4786Foi removido um membro de um grupo de aplicações básicas.
4787Um não membro foi adicionado a um grupo de aplicações básicas.
4788Um não membro foi removido de um grupo de aplicações básicas.
4789Foi eliminado um grupo de aplicações básicas.
4790Foi criado um grupo de consulta LDAP.
4791Foi alterado um grupo de aplicações básicas.
4792Foi eliminado um grupo de consulta LDAP.

Subcategoria: Gestão de contas de computador

ID Mensagem
4741Foi criada uma conta de computador.
4742Foi alterada uma conta de computador.
4743Foi eliminada uma conta de computador.

Subcategoria: Gestão de grupo de distribuição

ID Mensagem
4744Foi criado um grupo local com a segurança desactivada.
4745Foi alterado um grupo local com a segurança desactivada.
4746Foi adicionado um membro a um grupo local com a segurança desactivada.
4747Foi removido um membro de um grupo local com a segurança desactivada.
4748Foi eliminado um grupo local com a segurança desactivada.
4749Foi criado um grupo global com a segurança desactivada.
4750Foi alterado um grupo global com a segurança desactivada.
4751Foi adicionado um membro a um grupo global com a segurança desactivada.
4752Foi removido um membro de um grupo global com a segurança desactivada.
4753Foi eliminado um grupo global com a segurança desactivada.
4759Foi criado um grupo universal com a segurança desactivada.
4760Foi alterado um grupo universal com a segurança desactivada.
4761Foi adicionado um membro a um grupo universal com a segurança desactivada.
4762Foi removido um membro de um grupo universal com a segurança desactivada.

Subcategoria: Outros conta eventos de gestão

ID Mensagem
4782O hash de palavra-passe uma conta foi acedido.
4793Foi chamada a API de verificação de política de palavra-passe.

Subcategoria: Gestão de grupo de segurança

ID Mensagem
4727Foi criado um grupo global com segurança activada.
4728Foi adicionado um membro a um grupo global com segurança activada.
4729Foi removido um membro de um grupo global com segurança activada.
4730Foi eliminado um grupo global com segurança activada.
4731Foi criado um grupo local com segurança activada.
4732Foi adicionado um membro a um grupo local com segurança activada.
4733Foi removido um membro de um grupo local com segurança activada.
4734Foi eliminado um grupo local com segurança activada.
4735Foi alterado um grupo local com segurança activada.
4737Foi alterado um grupo global com segurança activada.
4754Foi criado um grupo universal com segurança activada.
4755Foi alterado um grupo universal com segurança activada.
4756Foi adicionado um membro a um grupo universal com segurança activada.
4757Foi removido um membro de um grupo universal com segurança activada.
4758Foi eliminado um grupo universal com segurança activada.
4764Tipo de um grupo foi alterado.

Subcategoria: Gestão de contas de utilizador

ID Mensagem
4720Uma conta de utilizador foi criada.
4722Uma conta de utilizador foi activada.
4723Foi efectuada uma tentativa para alterar a palavra-passe de uma conta.
4724Foi efectuada uma tentativa para repor a palavra-passe de uma conta.
4725Uma conta de utilizador foi desactivada.
4726Foi eliminada uma conta de utilizador.
4738Uma conta de utilizador foi alterada.
4740Uma conta de utilizador foi bloqueada.
4765Histórico do SID foi adicionado a uma conta.
4766Falha ao tentar adicionar o histórico do SID a uma conta.
4767Uma conta de utilizador foi desbloqueada.
4780Foi definida a ACL em contas que são membros de grupos de administradores.
4781O nome de uma conta foi alterado:
4794Foi efectuada uma tentativa para definir o modo de restauro de serviços de directório.
5376Foram efectuada a cópia de segurança de credenciais do Gestor de credenciais.
5377Gestor de credenciais credenciais foram restauradas a partir de uma cópia de segurança.

Categoria: Detalhadas de rastreio

Subcategoria: Actividade da DPAPI

ID Mensagem
4692Foi tentada a cópia de segurança da chave de modelo global de protecção de dados.
4693Foi tentada a recuperação de chave de modelo global de protecção de dados.
4694Foi tentada a protecção dos dados protegidos auditáveis.
4695Foi tentada a unprotection de dados protegidos auditáveis.

Subcategoria: Criação do processo

ID Mensagem
4688Foi criado um novo processo.
4696Foi atribuído um token primário para processar.

Subcategoria: Terminação de processos

ID Mensagem
4689Um processo terminou.

Subcategoria: Eventos RPC

ID Mensagem
5712 Foi tentada uma Remote Procedure Call (RPC).

Categoria: Acesso DS

Subcategoria: Replicação do serviço de directório detalhadas

ID Mensagem
4928Foi estabelecido um contexto de nomeação de origem de réplica do Active Directory.
4929Um contexto de nomeação de origem de réplica do Active Directory foi removido.
4930Um contexto de nomeação de origem do Active Directory réplica foi modificado.
4931Um contexto de atribuição de nomes de destino do Active Directory réplica foi modificado.
4934Atributos de um objecto do Active Directory são replicados.
4935Falha de replicação começa.
4936Termina a falha de replicação.
4937Um objecto lentos foi removido de uma réplica.

Subcategoria: Acesso ao serviço de directório

ID Mensagem
4662 Foi efectuada uma operação num objecto.

Subcategoria: Alterações de serviço de directório

ID Mensagem
5136Um objecto de serviço de directório foi modificado.
5137Foi criado um objecto de serviço de directório.
5138Um objecto de serviço de directório foi desfeita a exclusão.
5139Um objecto de serviço de directório foi movido.
5141 Um objecto de serviço de directório foi eliminado.

Subcategoria: Replicação do serviço de directório

ID Mensagem
4932Sincronização de uma réplica de um contexto de atribuição de nomes do Active Directory começou.
4933Sincronização de uma réplica de um contexto de atribuição de nomes do Active Directory terminou.

Categoria: Iniciar/terminar sessão

Subcategoria: Modo expandido IPsec

ID Mensagem
4978Durante a negociação de modo expandido IPsec recebeu um pacote de negociação inválido. Se o problema persistir, poderá indicar um problema de rede ou uma tentativa para modificar ou reproduzir esta negociação.
4979IPsec de modo principal e associações de segurança de modo expandido foram estabelecidas.
4980IPsec de modo principal e associações de segurança de modo expandido foram estabelecidas.
4981IPsec de modo principal e associações de segurança de modo expandido foram estabelecidas.
4982IPsec de modo principal e associações de segurança de modo expandido foram estabelecidas.
4983Uma IPsec expandido falha na negociação de modo. A associação de segurança de modo principal correspondente foi eliminada.
4984Uma IPsec expandido falha na negociação de modo. A associação de segurança de modo principal correspondente foi eliminada.

Subcategoria: Modo principal IPsec

ID Mensagem
4646Modo de prevenção de IKE iniciado.
4650Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Não foi utilizada a autenticação de certificado.
4651Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Um certificado foi utilizado para autenticação.
4652Uma negociação de modo principal IPsec falhou.
4653Uma negociação de modo principal IPsec falhou.
4655Uma associação de segurança de modo principal IPsec terminou.
4976Durante a negociação de modo principal IPsec recebeu um pacote de negociação inválido. Se o problema persistir, poderá indicar um problema de rede ou uma tentativa para modificar ou reproduzir esta negociação.
5049Foi eliminada uma associação de segurança IPsec.
5453Agente de política IPsec aplicada a política de IPsec de armazenamento do Active Directory no computador.

Subcategoria: Modo rápido IPsec

ID Mensagem
4654Uma negociação de modo rápido IPsec falhou.
4977Durante a negociação de modo rápido IPsec recebeu um pacote de negociação inválido. Se o problema persistir, poderá indicar um problema de rede ou uma tentativa para modificar ou reproduzir esta negociação.
5451Foi estabelecida uma associação de segurança de modo rápido IPsec.
5452Uma associação de segurança de modo rápido IPsec terminou.

Subcategoria: fim de sessão

ID Mensagem
4634 Uma conta foi terminada.
4647 O utilizador iniciou a fim de sessão.

Subcategoria: início de sessão

ID Mensagem
4624Uma conta com êxito foi iniciada.
4625Uma conta de mensagens em fila não conseguiu iniciar sessão.
4648Um início de sessão foi tentado com credenciais explícitas.
4675Os SIDs foram filtrados.

Subcategoria: Servidor de políticas de rede

ID Mensagem
6272Servidor de políticas de rede concedido acesso a um utilizador.
6273Servidor de políticas de rede negado o acesso a um utilizador.
6274Servidor de políticas de rede rejeitado o pedido de um utilizador.
6275Servidor de políticas de rede rejeitado o pedido de gestão de contas para um utilizador.
6276Servidor de políticas de rede em quarentena um utilizador.
6277Servidor de políticas de rede concedido acesso a um utilizador mas colocá-la na probation porque o anfitrião não cumpria a política de estado de funcionamento definidas.
6278Servidor de políticas de rede concedido acesso total a um utilizador porque o anfitrião cumprido a política de estado de funcionamento definidas.
6279Servidor de políticas de rede bloqueado a conta de utilizador devido a tentativas de autenticação falhadas repetida.
6280Servidor de políticas de rede desbloqueado a conta de utilizador.

Subcategoria: Outros eventos de início de sessão/fim de sessão

ID Mensagem
4649Foi detectado um ataque de repetição.
4778Foi restabelecida uma sessão para uma estação de trabalho.
4779Uma sessão foi desligada de uma estação de trabalho.
4800A estação de trabalho foi bloqueada.
4801A estação de trabalho foi desbloqueada.
4802A protecção de ecrã foi invocada.
4803A protecção de ecrã foi ignorada.
5378A delegação de credenciais pedida não foi permitida pela política.
5632Foi efectuado um pedido para autenticar a uma rede sem fios.
5633Foi efectuado um pedido para autenticar a uma rede com fios.

Subcategoria: Início de sessão especial

ID Mensagem
4964 Grupos especiais atribuídos a um novo início de sessão.

Categoria: O acesso a objectos

Subcategoria: Gerado pela aplicação

ID Mensagem
4665Foi efectuada uma tentativa para criar um contexto de cliente da aplicação.
4666Uma aplicação tentou uma operação:
4667Um contexto de cliente da aplicação foi eliminado.
4668Uma aplicação foi inicializada.

Subcategoria: Serviços de certificação

ID Mensagem
4868O Gestor de certificados recusou um pedido de certificado pendente.
4869Serviços de certificados receberam um pedido de certificado reenviado.
4870Serviços de certificados revogaram um certificado.
4871Serviços de certificados receberam um pedido para publicar a lista de revogação de certificados (CRL).
4872Serviços de certificados publicaram a lista de revogação de certificado (CRL).
4873Alterar uma extensão de pedido de certificado.
4874Um ou mais atributos de pedido de certificado alterados.
4875Serviços de certificados receberam um pedido para encerrar.
4876Cópia de segurança de serviços de certificados iniciada.
4877Certificado de cópia de segurança de serviços concluída.
4878Iniciar o restauro dos serviços de certificados.
4879Concluído o restauro dos serviços de certificados.
4880Serviços de certificados foi iniciado.
4881Serviços de certificados parados.
4882Alterar as permissões de segurança para serviços de certificados.
4883Serviços de certificados obtiveram uma chave arquivada.
4884Serviços de certificados importaram um certificado na respectiva base de dados.
4885Alterar o filtro de auditoria para serviços de certificados.
4886Serviços de certificados receberam um pedido de certificado.
4887Serviços de certificados aprovado um pedido de certificado e emitiram um certificado.
4888Serviços de certificados negado um pedido de certificado.
4889Serviços de certificados definir o estado de um pedido de certificado como pendente.
4890Alterar as definições do Gestor de certificados para serviços de certificados.
4891Uma entrada de configuração alterada nos serviços de certificados.
4892Alterar uma propriedade dos serviços de certificados.
4893Serviços de certificados arquivaram uma chave.
4894Serviços de certificados importaram e arquivaram uma chave.
4895Serviços de certificados publicaram o certificado da AC para serviços de domínio do Active Directory.
4896Uma ou mais linhas foram eliminadas da base de dados do certificado.
4897Separação de funções activada:
4898Serviços de certificados carregar um modelo.
4899Um modelo de serviços de certificados foi actualizado.
4900Segurança de modelo de serviços de certificado foi actualizada.
5120Serviço de dispositivo de resposta OCSP foi iniciado.
5121O serviço dispositivo de resposta OCSP parado.
5122Uma entrada de configuração alterada no serviço de dispositivo de resposta de OCSP.
5123Uma entrada de configuração alterada no serviço de dispositivo de resposta de OCSP.
5124Uma definição de segurança foi actualizada de serviço do dispositivo de resposta de OCSP.
5125Foi submetido um pedido ao serviço de dispositivo de resposta de OCSP.
5126Certificado de assinatura foi actualizado automaticamente pelo serviço de dispositivo de resposta de OCSP.
5127O fornecedor de revogação de OCSP actualizado com êxito as informações de revogação.

Subcategoria: Partilha de ficheiros detalhadas

ID Mensagem
5145 Um objecto de partilha de rede estava marcado para ver se o cliente pode ser concedido acesso assim o pretender.

Subcategoria: Partilha de ficheiros

ID Mensagem
5140Um objecto de partilha de rede foi acedido.
5142Foi adicionado um objecto de partilha de rede.
5143Um objecto de partilha de rede foi modificado.
5144Um objecto de partilha de rede foi eliminado.
5168Falhou a verificação de SPN para SMB/SMB2.

Subcategoria: Sistema de ficheiros

ID Mensagem
4664Foi efectuada uma tentativa para criar uma ligação por hardware.
4985O estado de uma transacção foi alterado.
5051Um ficheiro foi foi virtualizado.

Subcategoria: Ligação de plataforma de filtragem

ID Mensagem
5031O serviço de Firewall do Windows bloqueou uma aplicação de aceitar ligações a receber na rede.
5148Plataforma de filtragem do Windows detectou um ataque DoS e modo de defesa; pacotes associados a este ataque serão eliminadas.
5149O ataque DoS tem subsided e está a ser retomado processamento normal.
5150Plataforma de filtragem do Windows bloqueou um pacote.
5151Um filtro mais restritivo de plataforma de filtragem do Windows bloqueou um pacote.
5154Plataforma de filtragem do Windows tenha permitido uma aplicação ou serviço para escutar numa porta para ligações a receber.
5155Plataforma de filtragem do Windows bloqueou uma aplicação ou serviço de escuta numa porta para ligações a receber.
5156Plataforma de filtragem do Windows permitiu uma ligação.
5157Plataforma de filtragem do Windows bloqueou uma ligação.
5158Plataforma de filtragem do Windows permitiu uma ligação a uma porta local.
5159Plataforma de filtragem do Windows bloqueou uma ligação a uma porta local.

Subcategoria: Pacotes ignorados da plataforma de filtragem

ID Mensagem
5152 Plataforma de filtragem do Windows bloqueou um pacote.
5153 Um filtro mais restritivo de plataforma de filtragem do Windows bloqueou um pacote.

Subcategoria: Manipulação de identificador

ID Mensagem
4656Um identificador para um objecto foi pedido.
4658O identificador para um objecto foi fechado.
4690Foi efectuada uma tentativa para duplicar um identificador para um objecto.

Subcategoria: Outros objecto eventos de acesso

ID Mensagem
4671Uma aplicação tentada aceder a um ordinal bloqueado através de TBS.
4691Acesso indirecto a um objecto foi pedido.
4698Foi criada uma tarefa agendada.
4699Uma tarefa agendada foi eliminada.
4700Uma tarefa agendada foi activada.
4701Uma tarefa agendada foi desactivada.
4702Uma tarefa agendada foi actualizada.
4702Uma tarefa agendada foi actualizada.
5888Foi modificado um objecto no catálogo COM+.
5889Um objecto foi eliminado do catálogo do COM+.
5890Foi adicionado um objecto no catálogo COM+.

Subcategoria: registo

ID Mensagem
4657 Um valor de registo foi modificado.
5039 Uma chave de registo foi foi virtualizada.

Subcategoria: subcategoria de uso especial

Nota O seguinte evento pode ser gerado por qualquer gestor de recursos quando a sua subcategoria está activada. Por exemplo, o seguinte evento pode ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros. O acesso a objectos: objecto Kernel e o acesso a objectos: SAM subcategorias são exemplos de subcategorias exclusivamente a utilizar estes eventos.
ID Mensagem
4659Um identificador para um objecto foi pedido com a intenção da eliminar.
4660Um objecto foi eliminado.
4661Um identificador para um objecto foi pedido.
4663Foi efectuada uma tentativa para aceder a um objecto.

Categoria: Alteração de política

Subcategoria: Alteração de política de auditoria

ID Mensagem
4715A política de auditoria (SACL) de um objecto foi alterada.
4719Política de auditoria do sistema foi alterada.
4817As definições de auditoria num objecto foram alteradas.
4902A tabela de política de auditoria por utilizador foi criada.
4904Foi efectuada uma tentativa para registar uma origem de evento de segurança.
4905Foi efectuada uma tentativa para anular o registo de uma origem de evento de segurança.
4906O valor CrashOnAuditFail foi alterado.
4907Definições de auditoria num objecto foram alteradas.
4908Tabela de grupos de início de sessão especial modificada.
4912Por política de auditoria do utilizador foi alterada.

Subcategoria: Alteração de política de autenticação

ID Mensagem
4706Uma nova fidedignidade foi criada para um domínio.
4707Uma fidedignidade de domínio foi removida.
4713Política Kerberos foi alterada.
4716Informações de domínio fidedigno foi modificadas.
4717Foi concedido o acesso de segurança do sistema para uma conta.
4718Acesso de segurança do sistema foi removido de uma conta.
4739Política de domínio foi alterada.
4864Foi detectada uma colisão de espaço de nomes.
4865Foi adicionada uma entrada de informações de floresta fidedigna.
4866Uma entrada de informações de floresta fidedigna foi removida.
4867Uma entrada de informações de floresta fidedigna foi modificada.

Subcategoria: Alteração de políticas de autorização

ID Mensagem
4704Foi atribuído um direito de utilizador.
4705Foi removido um direito de utilizador.
4714Política de grupo de agente de recuperação de dados para o sistema de encriptação de ficheiros (EFS) foi alterada. As novas alterações foram aplicadas.

Subcategoria: Alteração de política de plataforma de filtragem

ID Mensagem
4709O serviço de agente de política IPsec foi iniciado.
4710O serviço de agente de política IPsec foi desactivado.
4711Pode conter qualquer um dos seguintes procedimentos:
  • O motor PAStore aplicou a cópia em cache local de política de IPsec de armazenamento do Active Directory no computador.
  • Motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador.
  • Motor PAStore aplicou a política IPsec de armazenamento no registo local no computador.
  • Falha do motor PAStore ao aplicar uma cópia em cache local de política de IPsec de armazenamento do Active Directory no computador.
  • O motor PAStore falhou a aplicar política de IPsec de armazenamento do Active Directory no computador.
  • O motor PAStore falhou a aplicar a política IPsec de armazenamento no registo local no computador.
  • O motor PAStore falhou a aplicar algumas regras da política IPsec activa no computador.
  • Falha do motor PAStore ao carregar a política de IPsec no computador de armazenamento de directório.
  • O motor PAStore carregou a política de IPsec no computador de armazenamento de directório.
  • Falha do motor PAStore ao carregar local de armazenamento de política de IPsec no computador.
  • O motor PAStore carregou a política de IPsec no computador de armazenamento local.
  • O motor PAStore consultou alterações à política IPsec activa e não detectou quaisquer alterações.
4712Agente de política IPsec detectou uma falha potencialmente grave.
5040Foi feita uma alteração às definições de IPsec. Foi adicionado um conjunto de autenticação.
5041Foi feita uma alteração às definições de IPsec. Um conjunto de autenticação foi modificado.
5042Foi feita uma alteração às definições de IPsec. Um conjunto de autenticação foi eliminado.
5043Foi feita uma alteração às definições de IPsec. Foi adicionada uma regra de segurança de ligação.
5044Foi feita uma alteração às definições de IPsec. Uma regra de segurança de ligação foi modificada.
5045Foi feita uma alteração às definições de IPsec. Foi eliminada uma regra de segurança de ligação.
5046Foi feita uma alteração às definições de IPsec. Foi adicionado um conjunto de criptografia.
5047Foi feita uma alteração às definições de IPsec. Um conjunto de criptografia foi modificado.
5048Foi feita uma alteração às definições de IPsec. Um conjunto de criptografia foi eliminado.
5440A chamada seguinte estava presente quando o Windows filtragem plataforma motor de filtragem Base iniciado.
5441O seguinte filtro estava presente quando o Windows filtragem plataforma motor de filtragem Base iniciado.
5442O seguinte fornecedor estava presente quando o Windows filtragem plataforma motor de filtragem Base iniciado.
5443O seguinte contexto do fornecedor estava presente quando o Windows filtragem plataforma motor de filtragem Base iniciado.
5444A sub-camada de seguinte estava presente quando o Windows filtragem plataforma motor de filtragem Base iniciado.
5446Uma chamada de plataforma de filtragem do Windows foi alterada.
5448Um fornecedor de plataforma de filtragem do Windows foi alterado.
5449Contexto do fornecedor de uma plataforma de filtragem do Windows foi alterado.
5450Uma sub-camada de plataforma de filtragem do Windows foi alterada.
5456Motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador.
5457Agente de política IPsec Falha ao aplicar política de IPsec de armazenamento do Active Directory no computador.
5458Agente de política de IPsec aplicado localmente na cache cópia do armazenamento do Active Directory política IPsec no computador.
5459Agente de política IPsec não conseguiu aplicar uma cópia em cache local de política de IPsec de armazenamento do Active Directory no computador.
5460Agente de política IPsec aplicada a política IPsec de armazenamento no registo local no computador.
5461Agente de política IPsec não conseguiu aplicar a política IPsec de armazenamento no registo local no computador.
5462Agente de política IPsec não conseguiu aplicar algumas regras da política IPsec activa no computador. Utilize o snap-in Monitor de segurança IP para diagnosticar o problema.
5463Agente de política IPsec consultou alterações à política IPsec activa e não detectou quaisquer alterações.
5464Agente de política IPsec consultou alterações à política IPsec activa, detectou alterações e aplicou-as.
5465Agente de política IPsec recebeu um controlo para um recarregamento forçado da política IPsec e processou o controlo com êxito.
5466Agente de política IPsec consultou as alterações para a política de IPsec do Active Directory, determinada que o Active Directory não é possível contactar e utilizará a cópia em cache da política IPsec do Active Directory. As alterações efectuadas à política IPsec do Active Directory desde a última consulta não puderam ser aplicada.
5467Agente de política IPsec consultou as alterações para a política de IPsec do Active Directory, determinada que o Active Directory pode ser atingido e não encontrou alterações à política. A cópia em cache da política IPsec do Active Directory já não está a ser utilizada.
5468Agente de política de IPsec consultou alterações à política IPsec do Active Directory, determinar que o Active Directory pode ser alcançado, encontrou alterações à política e aplicou essas alterações. A cópia em cache da política IPsec do Active Directory já não está a ser utilizada.
5471Agente de política IPsec carregou a política de IPsec no computador de armazenamento local.
5472Agente de política IPsec não conseguiu carregar a política de IPsec no computador de armazenamento local.
5473Agente de política IPsec carregou a política de IPsec no computador de armazenamento de directório.
5474Agente de política IPsec não conseguiu carregar a política de IPsec no computador de armazenamento de directório.
5477Agente de política IPsec Falha ao adicionar o filtro de modo rápido.

Subcategoria: Alteração de política de nível de regra MPSSVC

ID Mensagem
4944A seguinte política estava activa quando a Firewall do Windows foi iniciado.
4945Uma regra foi listada quando a Firewall do Windows foi iniciado.
4946Foi feita uma alteração à lista de excepções de Firewall do Windows. Uma regra foi adicionada.
4947Foi feita uma alteração à lista de excepções de Firewall do Windows. Uma regra foi modificada.
4948Foi feita uma alteração à lista de excepções de Firewall do Windows. Uma regra foi eliminada.
4949Definições da Firewall do Windows foram restauradas para os valores predefinidos.
4950Uma definição de Firewall do Windows foi alterada.
4951Firewall do Windows ignorada uma regra porque o respectivo número de versão principal não é reconhecido.
4952Firewall do Windows ignorada partes de uma regra porque o respectivo número de versão secundário não é reconhecido. Outras partes da regra serão aplicadas.
4953Firewall do Windows ignorada uma regra, porque não foi possível analisar.
4954Definições de política de grupo de Firewall do Windows foram alteradas e as novas definições foram aplicadas.
4956Firewall do Windows alterados no perfil activo.
4957Firewall do Windows não aplicou a seguinte regra:
4958Firewall do Windows não aplicou a seguinte regra porque a regra referida itens não configurados neste computador:
5050Uma tentativa para desactivar a Firewall do Windows utilizando uma chamada para INetFwProfile.FirewallEnabled(FALSE) interface programaticamente foi rejeitada porque esta API não é suportado nesta versão do Windows. Isto é provavelmente devido a um programa que é incompatível com esta versão do Windows. Contacte o fabricante do programa para se certificar de que tem uma versão do programa compatível.

Subcategoria: Outros política eventos de alteração

ID Mensagem
4909As definições de política local para o TBS foram alteradas.
4910Foram alteradas as definições de política de grupo para o TBS.
5063Foi tentada uma operação de fornecedor criptográfico.
5064Foi tentada uma operação de contexto criptográfico.
5065Foi tentada uma modificação de contexto criptográfico.
5066Foi tentada uma operação de função criptográfica.
5067Foi tentada uma modificação da função criptográfica.
5068Foi tentada uma operação de fornecedor de função criptográfica.
5069Foi tentada uma operação de propriedade da função criptográfica.
5070Foi tentada uma alteração de propriedade da função criptográfica.
5447Foi alterado um filtro de plataforma de filtragem do Windows.
6144Política de segurança nos objectos de política de grupo foi aplicada com êxito.
6145Ocorreram um ou mais erros ao processar a política de segurança nos objectos de política de grupo.

Subcategoria: subcategoria de uso especial

Nota O seguinte evento pode ser gerado por qualquer gestor de recursos quando a sua subcategoria está activada. Por exemplo, o seguinte evento pode ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros.
ID Mensagem
4670 Permissões de um objecto foram alteradas.

Categoria: Utilização de privilégios

Subcategoria: Utilização de privilégios sensível utilizar privilégios não sensíveis

ID Mensagem
4672Privilégios especiais atribuídos a novo início de sessão.
4673Foi chamado um serviço privilegiado.
4674Foi tentada uma operação num objecto privilegiado.

Categoria: sistema

Subcategoria: Controlador do IPsec

ID Mensagem
4960O IPsec largou um pacote de entrada falhou uma verificação de integridade. Se o problema persistir, poderá indicar que um problema de rede ou que pacotes estão a ser modificados em trânsito para este computador. Certifique-se de que os pacotes enviados a partir do computador remoto são idênticas às recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec.
4961O IPsec largou um pacote de entrada falhou uma verificação da reprodução. Se o problema persistir, poderá indicar um ataque de repetição contra este computador.
4962O IPsec largou um pacote de entrada falhou uma verificação da reprodução. O pacote de entrada tinha demasiado baixo um número de sequência para garantir que não era uma reprodução.
4963O IPsec largou um pacote de entrada de texto simples que deveria ter sido protegido. Se o computador remoto estiver configurado com uma política de pedido de saída IPsec, isto poderá ser benigno e esperado. Isto também pode ser causado pelo computador remoto, alterar a sua política de IPsec sem informar o neste computador. Isto também pode ser uma tentativa de ataque de fraude.
4965IPsec recebeu um pacote de um computador remoto com um índice de parâmetros do incorrecto segurança (SPI). Isto é normalmente causado por hardware com defeito que está a danificar pacotes. Se estes erros persistirem, verifique se os pacotes enviados a partir do computador remoto os mesmos que os recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec. Nesse caso, se não está restringida a conectividade, em seguida, estes eventos podem ser ignorados.
5478O serviço de agente de política IPsec foi iniciado.
5479Os serviços IPsec foram encerrados com êxito. O encerramento dos serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança.
5480Agente de política IPsec Falha ao obter a lista completa de interfaces de rede no computador. Isto constitui um risco de segurança potencial porque algumas das interfaces de rede poderão não obter a protecção fornecida pelos filtros de IPsec aplicados. Utilize o snap-in Monitor de segurança IP para diagnosticar o problema.
5483O serviço de agente de política IPsec falhou ao inicializar o respectivo servidor RPC. Não foi possível iniciar o serviço.
5484O serviço de agente de política IPsec detectou uma falha grave e foi encerrado. O encerramento deste serviço pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança.
5485Agente de política IPsec não conseguiu processar alguns filtros de IPsec num evento plug-and-play para interfaces de rede. Isto constitui um risco de segurança potencial porque algumas das interfaces de rede poderão não obter a protecção fornecida pelos filtros de IPsec aplicados. Utilize o snap-in Monitor de segurança IP para diagnosticar o problema.

Subcategoria: Outros eventos do sistema

ID Mensagem
5024O serviço de Firewall do Windows foi iniciado com êxito.
5025O serviço de Firewall do Windows foi parado.
5027O serviço de Firewall do Windows não conseguiu obter a política de segurança a partir do armazenamento local. Firewall do Windows irá continuar a aplicar a política actual.
5028Firewall do Windows não conseguiu analisar a nova política de segurança. Firewall do Windows irá continuar a aplicar a política actual.
5029O serviço de Firewall do Windows não conseguiu inicializar o controlador. Firewall do Windows irá continuar a aplicar a política actual.
5030O serviço de Firewall do Windows não conseguiu iniciar.
5032Firewall do Windows não conseguiu notificar o utilizador que bloqueado de uma aplicação de aceitar ligações a receber na rede.
5033O controlador da Firewall do Windows foi iniciado com êxito.
5034O controlador da Firewall do Windows foi parado.
5035O controlador da Firewall do Windows não conseguiu iniciar.
5037O controlador da Firewall do Windows detectou um erro de tempo de execução crítico, terminar.
5058Operação de ficheiro de chave.
5059Operação de migração de chaves.
6400BranchCache: Recebeu uma resposta formatada incorrectamente enquanto descobrir a disponibilidade do conteúdo.
6401BranchCache: Recebeu dados inválidos de um peer. Dados eliminados.
6403BranchCache: A cache alojada enviou uma resposta formatada incorrectamente para o cliente.
6404BranchCache: Cache alojada não pode ser autenticado utilizando o certificado SSL aprovisionado.
6405BranchCache: %2 ocorrências do id de evento %1 ocorreu.
6406%1 registado para a Firewall do Windows para controlar o filtro para o seguinte: %2
64071%

Subcategoria: Alteração de estado de segurança

ID Mensagem
4608Windows está a iniciar.
4616A hora do sistema foi alterada.
4621Administrador recuperar o sistema de CrashOnAuditFail. Os utilizadores que não sejam administradores agora poderão iniciar sessão. Algumas actividades passíveis de auditoria podem não ter sido gravada.

Subcategoria: Extensão do sistema de segurança

ID Mensagem
4610Um pacote de autenticação foi carregado pela autoridade de segurança Local.
4611Um processo de início de sessão fidedigno foi registado com a autoridade de segurança Local.
4614Um pacote de notificação foi carregado pelo Gestor de contas de segurança.
4622A autoridade de segurança Local carregou um pacote de segurança.
4697Um serviço foi instalado no sistema.

Subcategoria: Integridade do sistema

ID Mensagem
4612Recursos internos atribuídos para a colocação em fila de mensagens de auditoria esgotados, provocando a perda de algumas auditorias.
4615Utilização inválida da porta LPC.
4618Ocorreu um padrão de eventos de segurança monitorizada.
4816RPC detectou uma violação de integridade ao desencriptar uma mensagem a receber.
5038Integridade do código determinado que o hash de imagem de um ficheiro não é válido. O ficheiro pode estar danificado devido a modificação não autorizada ou o hash inválido pode indicar um erro de dispositivo de disco potenciais.
5056Foi efectuado um teste automático criptográfico.
5057Falhou uma operação criptográfica primitiva.
5060Falha na operação de verificação.
5061Operação criptográfica.
5062Foi efectuado num modo de kernel criptográfico de que teste automático.
6281Integridade do código determinado que os hashes de página de um ficheiro de imagem não são válidos. O ficheiro foi incorrectamente assinado sem hashes de página ou estar danificado devido a modificação não autorizada. Os hashes inválidos podem indicar um erro de dispositivo de disco potenciais

Notas

  • Para regressar mais pormenorizados lista de todos os auditoria de segurança evento entradas, execute o seguinte comando numa linha de comandos elevada, como administrador:
    wevtutil gp Microsoft-Windows--a auditoria de segurança /ge /gm:true
    O exemplo seguinte mostra uma parte da produção:
      event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		%3	Account Name:		%4	Account Domain:		%5	Logon ID:		%6Trusted Domain:	Domain Name:		%1	Domain ID:		%2Trust Information:	Trust Type:		%7	Trust Direction:		%8	Trust Attributes:		%9	SID Filtering:		%10
  • Para obter uma lista de todos os auditoria de segurança categorias e subcategorias, execute o seguinte comando numa linha de comandos elevada, como administrador:
    AuditPol /list /subcategory: *
Referências
Para mais informações sobre o utilitário Wevtutil exe, visite o seguinte Web site da Microsoft: Para mais informações sobre o utilitário Auditpol exe, visite o seguinte Web site da Microsoft: Para mais informações sobre definições avançadas de segurança auditoria política no Windows 7 e Windows Server 2008 R2, visite o seguinte Web site da Microsoft: Para mais informações sobre a auditoria de segurança no Windows Vista e Windows Server 2008, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
947226 Descrição de eventos de segurança no Windows Vista e no Windows Server 2008

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 977519 - Última Revisão: 10/29/2015 00:51:00 - Revisão: 2.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtpt
Comentários