В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Описание событий системы безопасности в Windows 7 и Windows Server 2008 R2

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 977519
ВВЕДЕНИЕ
Данная статья содержит различные события связанных с аудитом и связанные с безопасностью, в Windows 7 и Windows Server 2008 R2. Также сведения о том, как интерпретировать эти события. Эти события в журнале безопасности и регистрируются с источником аудита безопасности. В этой статье также описывается извлечение более подробных данных об отдельных событиях.
Дополнительная информация
В этом разделе перечислены все события Аудита безопасности Windows 7 и Windows Server 2008 R2, сгруппированные по категориям и подкатегориям.

Категории: Вход учетной записи

Подкатегория: Проверка учетных данных

ИДЕНТИФИКАТОР Message
4774Учетная запись была сопоставлена для входа в систему.
4775Не удалось сопоставить учетную запись для входа в систему.
4776Попытка проверить учетные данные для учетной записи компьютера.
4777Не удается проверить учетные данные для учетной записи контроллера домена.

Подкатегории: Служба проверки подлинности Kerberos

ИДЕНТИФИКАТОР Message
4768Запрошен билет (TGT) проверки подлинности Kerberos.
4771Ошибка предварительной проверки подлинности Kerberos.
4772Ошибка запроса билета проверки подлинности Kerberos.

Подкатегории: Операции билета службы Kerberos

ИДЕНТИФИКАТОР Message
4769Билет службы Kerberos был запрошен.
4770Билет службы Kerberos был обновлен.
4773Не удалось выполнить запрос билета службы Kerberos.

Категория: Управление учетными записями

Подкатегории: Управление группой приложений

ИДЕНТИФИКАТОР Message
4783Основная группа приложения была создана.
4784Основная группа приложения была изменена.
4785Член добавлен к основной группе приложения.
4786Член удален из группы основных приложений.
4787Основная группа приложения был добавлен не являющихся членами.
4788Не член удален из группы основных приложений.
4789Основная группа приложения был удален.
4790Группы запросов LDAP был создан.
4791Основная группа приложения была изменена.
4792 утилитаГруппы запросов LDAP был удален.

Подкатегории: Управление учетной записью компьютера

ИДЕНТИФИКАТОР Message
4741Была создана учетная запись компьютера.
4742Изменена учетная запись компьютера.
4743Учетная запись компьютера была удалена.

Подкатегории: Управление группой распространения

ИДЕНТИФИКАТОР Message
4744Создана локальная группа с отключенной безопасностью.
4745Изменена локальная группа безопасности отключена.
4746Член добавлен к локальной группе безопасности отключена.
4747Член удален из локальной группы с отключенной проверкой безопасности.
4748Удалена локальная группа безопасности отключена.
4749Создана глобальная группа с отключенной проверкой безопасности.
4750Изменена глобальная группа с отключенной проверкой безопасности.
4751Член добавлен к глобальной группы с отключенной проверкой безопасности.
4752Член удален из глобальной группы с отключенной проверкой безопасности.
4753Удалена глобальная группа с отключенной проверкой безопасности.
4759Создана универсальная группа с отключенной проверкой безопасности.
4760Изменена универсальная группа с отключенной проверкой безопасности.
4761Член добавлен к универсальной группе с отключенной проверкой безопасности.
4762Член удален из универсальной группы с отключенной проверкой безопасности.

Подкатегория: Другие события управления учетными записями

ИДЕНТИФИКАТОР Message
4782Получен хэш пароля учетной записи.
4793Был вызван API проверку политики паролей.

Подкатегории: Управление группой безопасности

ИДЕНТИФИКАТОР Message
4727Создана глобальная группа с включенной безопасностью.
4728Член добавлен к глобальной группе с включенной безопасностью.
4729Член удален из глобальной группы с включенной безопасностью.
4730Удалена глобальная группа с включенной безопасностью.
4731Создана локальная группа с включенной безопасностью.
4732Член добавлен к локальной группы с включенной безопасностью.
4733Член удален из локальной группы с включенной безопасностью.
4734Удалена локальная группа с включенной безопасностью.
4735Локальная группа с включенной безопасностью изменена.
4737Изменена глобальная группа с включенной безопасностью.
4754Создана универсальная группа с проверкой безопасности.
4755Изменена универсальная группа с включенной безопасностью.
4756Член добавлен к универсальной группе с проверкой безопасности.
4757Член удален из универсальной группы с включенной безопасностью.
4758Удалена универсальная группа с проверкой безопасности.
4764Изменен тип группы.

Подкатегории: Управление учетными записями пользователей

ИДЕНТИФИКАТОР Message
4720Была создана учетная запись пользователя.
4722Учетная запись пользователя была включена.
4723Предпринята попытка изменить пароль учетной записи.
4724Предпринята попытка выполнить сброс пароля учетной записи.
4725Учетная запись пользователя была отключена.
4726Учетная запись пользователя была удалена.
4738Учетная запись пользователя была изменена.
4740Учетная запись пользователя заблокирована.
4765Журнал SID был добавлен к учетной записи.
4766Не удалось добавить журнал SID учетной записи.
4767Учетная запись пользователя была разблокирована.
4780Список управления Доступом был установлен на учетные записи, которые являются членами группы Администраторы.
4781Было изменено имя учетной записи:
4794Предпринята попытка задать режим восстановления служб каталогов.
5376Диспетчер учетных данных учетные данные были заархивированы.
5377Диспетчер учетных данных учетные данные были восстановлены из резервной копии.

Категория: Подробное отслеживание

Подкатегории: Активность DPAPI

ИДЕНТИФИКАТОР Message
4692Попытка выполнить резервное копирование главного ключа защиты данных.
4693Предпринята попытка восстановления основной ключ защиты данных.
4694Предпринята попытка защиты проверяемых защищенных данных.
4695Предпринята попытка снятия защиты проверяемых защищенных данных.

Подкатегории: Создание процесса

ИДЕНТИФИКАТОР Message
4688Был создан новый процесс.
4696Основной маркер был назначен для обработки.

Подкатегории: Завершение процесса

ИДЕНТИФИКАТОР Message
4689Процесс завершен.

Подкатегории: События RPC

ИДЕНТИФИКАТОР Message
5712 Попытка выполнения удаленного вызова процедур (RPC).

Категория: Доступ к службе Каталогов

Подкатегория: Подробная репликация службы каталогов

ИДЕНТИФИКАТОР Message
4928Было установлено именования контекст источника репликации Active Directory.
4929Удален именования контекст источника репликации Active Directory.
4930Именования контекст источника репликации Active Directory был изменен.
4931Изменения службы каталогов Active Directory реплики конечного контекста именования.
4934Атрибуты объекта Active Directory были реплицированы.
4935Начинается сбой репликации.
4936Сбой репликации заканчивается.
4937Устаревшие объект был удален из реплики.

Подкатегория: Доступ к службе каталогов

ИДЕНТИФИКАТОР Message
4662 Операция была выполнена для объекта.

Подкатегории: Изменения в службе каталога

ИДЕНТИФИКАТОР Message
5136Объект службы каталогов была изменена.
5137Был создан объект службы каталогов.
5138Объект службы каталогов был возращен после удаления.
5139Объект службы каталогов была перемещена.
5141 Объект службы каталогов была удалена.

Подкатегория: Репликация службы каталогов

ИДЕНТИФИКАТОР Message
4932Синхронизация репликации Active Directory, начал контекста именования.
4933Синхронизация реплики контекста именования Active Directory завершен.

Категория: Вход/выход

Подкатегории: Расширенный режим IPsec

ИДЕНТИФИКАТОР Message
4978Во время согласования расширенного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
4979Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4980Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4981Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4982Сопоставления безопасности расширенного режима и основного режима IPsec были установлены.
4983IPsec расширенный режим сбой согласования. Соответствующее сопоставление безопасности основного режима, был удален.
4984IPsec расширенный режим сбой согласования. Соответствующее сопоставление безопасности основного режима, был удален.

Подкатегория: IPsec основного режима

ИДЕНТИФИКАТОР Message
4646IKE-режим предотвращения атак запущен.
4650Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат проверки подлинности не используется.
4651Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат был использован для проверки подлинности.
4652Ошибка при согласовании основного режима IPsec.
4653Ошибка при согласовании основного режима IPsec.
4655Завершить сопоставление безопасности основного режима IPsec.
4976Во время согласования основного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5049Сопоставление безопасности IPsec была удалена.
5453Агент политики IPsec на компьютере применить политику IPsec из хранилища службы каталогов Active Directory.

Подкатегория: Режим быстрого IPsec

ИДЕНТИФИКАТОР Message
4654Ошибка при согласовании быстрого режима IPsec.
4977Во время согласования быстрого режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5451Было установлено сопоставление безопасности быстрого режима IPsec.
5452Завершить сопоставление безопасности быстрого режима IPsec.

Подкатегория: выход из системы

ИДЕНТИФИКАТОР Message
4634 Учетной записью выполнен выход.
4647 Пользователь инициировал выхода из системы.

Подкатегория: вход в систему

ИДЕНТИФИКАТОР Message
4624Учетная запись была успешно войти в систему.
4625Учетной записи не удалось выполнить вход.
4648Попытка входа в систему, используя явные учетные данные.
4675Идентификаторы безопасности были отфильтрованы.

Подкатегории: Сервер политики сети

ИДЕНТИФИКАТОР Message
6272Сервер политики сети пользователю предоставлен доступ.
6273Сервер политики сети пользователю отказано в доступе.
6274Сервер политики сети отменены запроса от пользователя.
6275Сервер политики сети Отклонено запросов учета для пользователя.
6276Сервер политики сети на карантин пользователя.
6277Сервер политики сети доступ к пользователю, но поместить его на надзора, так как узел не соответствует политике работоспособности, установленным.
6278Сервер политики сети предоставляется полный доступ для пользователя, так как узел политики работоспособности, установленным.
6279Сервер политики сети заблокирован из-за повторяющихся неудачных попыток проверки подлинности учетной записи пользователя.
6280Сервер политики сети разблокировать учетную запись пользователя.

Подкатегория: Другие события входа и выхода

ИДЕНТИФИКАТОР Message
4649Обнаружен атаки с повторением пакетов.
4778Сеанс был подключен к станции.
4779Сеанс был отключен от станции.
4800Рабочая станция была заблокирована.
4801Рабочая станция была разблокирована.
4802Был вызван экранной заставки.
4803Закрытия экранной заставки.
5378Запрошенные учетные данные делегирование запрещено политикой.
5632Был сделан запрос для проверки подлинности в беспроводной сети.
5633Был сделан запрос на проверку подлинности для проводной сети.

Подкатегория: Специальный вход

ИДЕНТИФИКАТОР Message
4964 Специальные группы были назначены для нового сеанса входа.

Категория: Доступ к объекту

Подкатегория: Создано приложением

ИДЕНТИФИКАТОР Message
4665Предпринята попытка создать контекст клиентских приложений.
4666Приложение попытка выполнить операцию:
4667Контекст клиента приложения была удалена.
4668Приложения был инициализирован.

Подкатегории: Службы сертификации

ИДЕНТИФИКАТОР Message
4868Менеджер сертификатов запретил ожидающего запроса сертификата.
4869Службы сертификатов получили запрос сертификата повторно отправлено.
4870Службы сертификации отозван сертификат.
4871Службы сертификатов получили запрос для публикации списка отзыва сертификатов (CRL).
4872Службы сертификации публикации списка отзыва сертификатов (CRL).
4873Изменить расширение запроса сертификата.
4874Изменен один или несколько атрибутов запроса сертификата.
4875Службы сертификатов получили запрос на завершение работы.
4876Начата архивация служб сертификатов.
4877Завершена архивация служб сертификатов.
4878Начато восстановление служб сертификатов.
4879Завершено восстановление служб сертификатов.
4880Запустить службы сертификации.
4881Остановить службы сертификации.
4882Изменение разрешений безопасности для служб сертификации.
4883Службы сертификации получить архивированного ключа.
4884Службы сертификации импортировать сертификат в базу данных.
4885Изменить фильтр аудита для служб сертификации.
4886Службы сертификатов получили запрос сертификата.
4887Службы сертификации запроса на сертификат одобрен и выдан сертификат.
4888Службы сертификации отклонили запрос сертификата.
4889Службы сертификации установить состояние запроса сертификата на ожидание.
4890Изменить параметры диспетчера сертификатов для служб сертификации.
4891Запись конфигурации из состава служб сертификации.
4892Изменение свойства служб сертификации.
4893Службы сертификации архивации ключа.
4894Службы сертификации импортируется и архивировать ключ.
4895Службы сертификации сертификат ЦС опубликованы в доменных службах Active Directory.
4896Одна или несколько строк были удалены из базы данных сертификатов.
4897Разделение ролей включено:
4898Службы сертификации загрузить шаблон.
4899Шаблон службы сертификации был обновлен.
4900Шаблон безопасности служб сертификации был обновлен.
5120Служба респондента OCSP запущена.
5121Служба респондента OCSP остановлена.
5122Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5123Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5124Параметр безопасности были обновлены для службы сетевого ответчика OCSP.
5125Служба респондента OCSP передан запрос.
5126Сертификат подписи автоматически обновляется с помощью службы сетевого ответчика OCSP.
5127Поставщик отзыва OCSP успешно обновлены сведения об отзыве.

Подкатегория: Подробные файловый ресурс общего доступа

ИДЕНТИФИКАТОР Message
5145 Объект сетевой папки был проверен, чтобы узнать, может ли быть предоставлен требуемый уровень доступа клиенту.

Подкатегория: Файловый ресурс общего доступа

ИДЕНТИФИКАТОР Message
5140Получен объект сетевого общего ресурса.
5142Был добавлен объект сетевого общего ресурса.
5143Измененный объект сетевого общего ресурса.
5144Был удален объект сетевого общего ресурса.
5168Сбой при проверке имени участника-службы для SMB/SMB2.

Подкатегория: Файловая система

ИДЕНТИФИКАТОР Message
4664Предпринята попытка создать жесткую связь.
4985Изменилось состояние транзакции.
5051Файл был виртуальным.

Подкатегория: Подключение платформы фильтрации

ИДЕНТИФИКАТОР Message
5031Служба брандмауэра Windows заблокировал приложения принимать входящие подключения по сети.
5148Платформа фильтрации Windows обнаружила атаки DoS и защитного режима; пакеты, связанные с этой атаки, будут отменены.
5149Атаки DoS subsided и возобновления нормальной обработки.
5150Платформа фильтрации Windows заблокировал пакет.
5151Более строгий фильтр платформы фильтрации Windows заблокировал пакет.
5154Платформа фильтрации Windows разрешает приложением или службой для прослушивания порта для входящих подключений.
5155Платформа фильтрации Windows блокирует приложение или служба прослушивает порт для входящих подключений.
5156Платформа фильтрации Windows разрешает подключение.
5157Платформа фильтрации Windows блокирует подключение.
5158Платформа фильтрации Windows разрешает привязку к локальному порту.
5159Платформа фильтрации Windows заблокировал привязки к локальному порту.

Подкатегория: Отбрасывание пакета платформой фильтрации

ИДЕНТИФИКАТОР Message
5152 Платформа фильтрации Windows заблокировал пакет.
5153 Более строгий фильтр платформы фильтрации Windows заблокировал пакет.

Подкатегория: Дескриптор манипуляции

ИДЕНТИФИКАТОР Message
4656Дескриптор объекта было запрошено.
4658Дескриптор объекта закрыт.
4690Предпринята попытка дублирование дескриптора объекта.

Подкатегория: Другие события доступа к объектам

ИДЕНТИФИКАТОР Message
4671Приложение обратилось к заблокированных порядковый номер через TBS.
4691Запрошен косвенный доступ к объекту.
4698Запланированное задание было создано.
4699Запланированная задача была удалена.
4700Запланированная задача была включена.
4701Запланированная задача была отключена.
4702Запланированная задача была обновлена.
4702Запланированная задача была обновлена.
5888Изменения объекта в каталоге COM +.
5889Объект был удален из каталога COM +.
5890Объект был добавлен в каталог COM +.

Подкатегория: реестр

ИДЕНТИФИКАТОР Message
4657 Значение реестра было изменено.
5039 Раздел реестра был виртуальным.

Подкатегория: специальные подкатегории многоразового использования

Примечание. Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы. Доступ к объекту: объект ядра и доступ к объекту: SAM подкатегорий являются примерами подкатегорий, которые монопольное использование этих событий.
ИДЕНТИФИКАТОР Message
4659Дескриптор объекта была запрошена с таким расчетом, чтобы удалить.
4660Объект был удален.
4661Дескриптор объекта было запрошено.
4663Предпринята попытка получить доступ к объекту.

Категория: Изменение политики

Подкатегории: Изменение политики аудита

ИДЕНТИФИКАТОР Message
4715Изменена политика аудита (SACL) на объекте.
4719Изменена политика аудита системы.
4817Были изменены параметры аудита для объекта.
4902Была создана таблица политик аудита отдельного пользователя.
4904Предпринята попытка зарегистрировать источник событий безопасности.
4905Предпринята попытка удалить регистрацию источника событий безопасности.
4906Значение CrashOnAuditFail изменилось.
4907Были изменены параметры аудита для объекта.
4908Изменение специальной таблицы группы входа в систему.
4912Согласно политике аудита пользователя был изменен.

Подкатегории: Изменение политики проверки подлинности

ИДЕНТИФИКАТОР Message
4706Новое доверие было создано в домен.
4707Доверие к домену был удален.
4713Изменена политика Kerberos.
4716Были изменены сведения доверенного домена.
4717Учетной записи предоставлен доступ к системе безопасности.
4718Доступ к системе безопасности был удален из учетной записи.
4739Изменена политика домена.
4864Обнаружен конфликт имен.
4865Добавлена запись информацию доверия леса.
4866Сведения о доверенном лесу запись была удалена.
4867Запись сведений доверенного леса был изменен.

Подкатегории: Изменение политики авторизации

ИДЕНТИФИКАТОР Message
4704Было назначено право пользователя.
4705Право пользователя была удалена.
4714Агент восстановления данных групповой политики для шифрованной файловой системы (EFS) был изменен. Изменения были применены.

Подкатегории: Изменение политики платформы фильтрации

ИДЕНТИФИКАТОР Message
4709Запущена служба агента политики IPsec.
4710Служба агента политики IPsec была отключена.
4711Может содержать один из следующих:
  • Модуль PAStore Engine применил политику IPsec из хранилища службы каталогов Active Directory локально кэшированную копию на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить локально кэшированную копию политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища службы каталогов Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить некоторые правила активная политика IPsec на компьютере.
  • Модулю PAStore Engine не удалось загрузить каталог хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил политику IPsec на компьютере хранилища каталога.
  • Модулю PAStore Engine не удалось загрузить локальное хранилище политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил локального хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine обратился за изменениями действующей политики IPsec и не обнаружил таковых.
4712Агент политики IPsec обнаружил потенциально опасный сбой.
5040Изменения в параметры настройки IPsec. Был добавлен набор данных проверки подлинности.
5041Изменения в параметры настройки IPsec. Параметры проверки подлинности был изменен.
5042Изменения в параметры настройки IPsec. Параметры проверки подлинности был удален.
5043Изменения в параметры настройки IPsec. Добавлено правило безопасности подключения.
5044Изменения в параметры настройки IPsec. Правило безопасности подключения был изменен.
5045Изменения в параметры настройки IPsec. Правило безопасности подключения был удален.
5046Изменения в параметры настройки IPsec. Был добавлен набор шифрования.
5047Изменения в параметры настройки IPsec. Набор шифрования был изменен.
5048Изменения в параметры настройки IPsec. Набор шифрования была удалена.
5440Следующие выноски присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5441Следующий фильтр присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5442Следующая служба присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5443Следующий контекст поставщика присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5444Следующий вложенный слой присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5446Выноска платформы фильтрации Windows была изменена.
5448Поставщик платформы фильтрации Windows была изменена.
5449Контекст поставщика платформы фильтрации Windows была изменена.
5450Вложенный слой платформы фильтрации Windows была изменена.
5456Модуль PAStore Engine применил политику IPsec из хранилища службы каталогов Active Directory на компьютере.
5457Не удалось применить политику IPsec из хранилища службы каталогов Active Directory на компьютере агента политики IPsec.
5458Агент политики IPsec применяются локально кэшированная копия Active Directory хранилища политики IPsec на компьютере.
5459Не удалось применить локально кэшированную копию политику IPsec из хранилища службы каталогов Active Directory на компьютере агента политики IPsec.
5460Агент политики IPsec применить политику IPsec из хранилища локального реестра на компьютере.
5461Не удалось применить политику IPsec из хранилища локального реестра на компьютере агента политики IPsec.
5462Не удалось применить некоторые правила активная политика IPsec на компьютере агента политики IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».
5463Агент политики IPsec обратился за изменениями действующей политики IPsec и не обнаружил таковых.
5464Агент политики IPsec обратился за изменениями действующей политики IPsec, обнаружил изменения и их применения.
5465Агент политики IPsec получил управление для принудительной перезагрузки политики IPsec и успешно.
5466Для изменения политики IPsec, определить не удается связаться с Active Directory и будут использовать кэшированную копию политики IPsec вместо опроса агента политики IPsec. Любые изменения политики IPsec с момента последнего опроса не применяются.
5467Агент политики IPsec обратился за изменениями политики IPsec, определяется Active Directory можно связаться и найдено никаких изменений в политику. Кэшированная копия политики IPsec больше не используется.
5468Изменения в политике Active Directory IPsec, агент политики IPsec определил, что Active Directory могут быть достигнуты, найдены изменения в политику и применить эти изменения. Кэшированная копия политики IPsec больше не используется.
5471Агент политики IPsec загружается локального хранилища политики IPsec на компьютере.
5472Не удалось загрузить локальное хранилище политики IPsec на компьютере агента политики IPsec.
5473Агент политики IPsec загрузить каталог хранилища политики IPsec на компьютере.
5474Не удалось загрузить каталог хранилища политики IPsec на компьютере агента политики IPsec.
5477Агент политики IPsec не удалось добавить фильтр быстрого режима.

Подкатегории: Изменение политики на уровне правил MPSSVC

ИДЕНТИФИКАТОР Message
4944Следующая политика была активна при запуске брандмауэра Windows.
4945Правила были перечислены при запуске брандмауэра Windows.
4946Изменение было внесено в список исключений брандмауэра Windows. Правило было добавлено.
4947Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено.
4948Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено.
4949Параметры брандмауэра Windows восстановлены значения по умолчанию.
4950Настройка брандмауэра Windows была изменена.
4951Брандмауэр Windows обрабатывается правило, поскольку его основной номер версии не распознаются.
4952Брандмауэр Windows обрабатывается части правила, поскольку его дополнительный номер версии не распознаются. Будут использоваться другие части правила.
4953Брандмауэр Windows обрабатывается правило, поскольку не удалось выполнить разбор.
4954Параметры групповой политики для брандмауэра Windows были изменены, и новые параметры были применены.
4956Брандмауэр Windows в режиме изменения активного профиля.
4957Брандмауэр Windows не применяет следующие правила:
4958Так как правило ссылаются элементы не настроено на этом компьютере брандмауэр Windows не применяет следующие правила:
5050При попытке программно отключить брандмауэр Windows, с помощью вызова интерфейса INetFwProfile.FirewallEnabled(FALSE) был отклонен, поскольку этот API не поддерживается в данной версии Windows. Это скорее всего из-за программы, которая несовместима с данной версией Windows. Обратитесь к изготовителю программы чтобы убедиться в том, что версия совместимая программа.

Подкатегория: Другие события изменения политики

ИДЕНТИФИКАТОР Message
4909Параметры локальной политики для TBS были изменены.
4910Параметры групповой политики для TBS были изменены.
5063Сделана попытка выполнить операцию поставщика служб шифрования.
5064Сделана попытка выполнить операцию контекст криптографии.
5065Предпринята попытка изменения контекст криптографии.
5066Сделана попытка выполнить операцию криптографические функции.
5067Предпринята попытка изменения функции шифрования.
5068Сделана попытка выполнить операцию поставщика криптографической функции.
5069Попытка выполнения операции свойства функции шифрования.
5070Предпринята попытка изменения свойства функции шифрования.
5447Фильтр платформы фильтрации Windows была изменена.
6144Политика безопасности в объектах групповой политики успешно применена.
6145Произошла одна или несколько ошибок во время обработки политики безопасности в объекты групповой политики.

Подкатегория: специальные подкатегории многоразового использования

Примечание. Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы.
ИДЕНТИФИКАТОР Message
4670 Были изменены разрешения для объекта.

Категория: Использование прав

Подкатегория: Использование с учетом прав и использования привилегий не конфиденциальные

ИДЕНТИФИКАТОР Message
4672Присвоение специальных прав для нового сеанса входа.
4673Привилегированная служба была вызвана.
4674Попытка выполнить операцию с привилегированным объектом.

Категория: системы

Подкатегории: Драйвер IPsec

ИДЕНТИФИКАТОР Message
4960IPsec удалил входящих пакетов, не прошедших проверку целостности. Если проблема будет повторяться, это показывает, что проблемы сети или пакеты, которые изменяются в пути к этому компьютеру. Проверьте такие же, как этот компьютер получает пакеты, отправленные с удаленного компьютера. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec.
4961IPsec удалил входящих пакетов, не прошедших проверку воспроизведения. Если неполадки продолжают возникать, он может означать атаки воспроизведения этого компьютера.
4962IPsec удалил входящих пакетов, не прошедших проверку воспроизведения. Входящий пакет было слишком мало порядкового номера убедитесь, что он не был воспроизведение.
4963IPsec удалил пакет входящих открытым текстом, который должен был быть зашифрован. Если удаленный компьютер настроен в политике запроса исходящего трафика IPsec, это может быть благоприятным и ожидаемым. Это может также быть вызвано удаленного компьютера, изменив ее политику IPsec без уведомления этого компьютера. Это может быть подделки попытки атаки.
4965IPsec получила пакет с неправильным параметром индекса безопасности (SPI) на удаленном компьютере. Обычно это вызвано сбоями оборудования, разрушает пакетов. Если ошибки продолжают возникать, убедитесь, что пакеты, отправленные с удаленного компьютера совпадают получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec. В этом случае если соединение не задержек, затем эти события можно игнорировать.
5478Запущена служба агента политики IPsec.
5479Службы IPsec завершена успешно. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или представлять потенциальную угрозу безопасности компьютера.
5480Агент политики IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это создает угрозу безопасности, так как некоторые интерфейсы сети могут не получить защита, обеспечиваемая фильтры IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».
5483Служба агента политики IPsec не удалось инициализировать RPC-сервер. Не удалось запустить службу.
5484Служба агента политики IPsec произошел критический сбой и был закрыт. Завершение работы этой службы может подвергнуть компьютер риску сетевой атаки или представлять потенциальную угрозу безопасности компьютера.
5485Агент политики IPsec не удалось обработать некоторые из фильтров IPsec на событии plug-and-play для сетевых интерфейсов. Это создает угрозу безопасности, так как некоторые интерфейсы сети могут не получить защита, обеспечиваемая фильтры IPsec. Чтобы диагностировать проблему, используйте оснастку «Монитор IP-безопасности».

Подкатегория: Другие события системы

ИДЕНТИФИКАТОР Message
5024Служба брандмауэра Windows запущена успешно.
5025Служба брандмауэра Windows остановлена.
5027Служба брандмауэра Windows не удалось получить политику безопасности из локального хранилища. Брандмауэр Windows будет продолжать использовать текущую политику.
5028Брандмауэр Windows не удалось обработать новую политику безопасности. Брандмауэр Windows будет продолжать использовать текущую политику.
5029Служба брандмауэра Windows не удалось инициализировать драйвер. Брандмауэр Windows будет продолжать использовать текущую политику.
5030Не удалось запустить службу брандмауэра Windows.
5032Брандмауэру Windows не удалось уведомить пользователя, что он заблокирован приложение от приема входящих подключений по сети.
5033Драйвер брандмауэра Windows запущена успешно.
5034Драйвер брандмауэра Windows остановлена.
5035Драйвер брандмауэра Windows не удалось запустить.
5037Драйвер брандмауэра Windows обнаружил критическую ошибку выполнения, завершает работу.
5058Операция файла ключа.
5059Операции ключа миграции.
6400BranchCache: Во время исследования доступности содержимого получен отклик в неправильном формате.
6401BranchCache: Недопустимые данные полученные от однорангового узла. Данные удаляются.
6403BranchCache: Размещенного кэша отправляются неправильно отформатированный отклик клиенту.
6404BranchCache: Размещенного кэша может не пройти проверку подлинности с использованием предоставленного сертификата SSL.
6405BranchCache: %2 экземпляры события с кодом %1 произошла.
6406%1 зарегистрирован для брандмауэра Windows для фильтрации для следующих элементов управления: %2
64071%

Подкатегория: Изменение состояния безопасности

ИДЕНТИФИКАТОР Message
4608Запуск Windows.
4616Изменено системное время.
4621Администратор системы восстановить из CrashOnAuditFail. Пользователи, не являющиеся администраторами, теперь будет разрешен вход. Возможно, некоторые проверяемых действий не были записаны.

Подкатегория: Расширение системы безопасности

ИДЕНТИФИКАТОР Message
4610Пакет проверки подлинности загружен локальным администратором безопасности.
4611Процесс входа в систему надежных было зарегистрировано с локальным администратором безопасности.
4614Пакет уведомлений загружен диспетчером учетных записей безопасности.
4622Пакет безопасности загружен локальным администратором безопасности.
4697Служба была установлена в системе.

Подкатегории: Целостность системы

ИДЕНТИФИКАТОР Message
4612Внутренние ресурсы, выделенные для очереди сообщений аудита исчерпаны, возможна потеря некоторых результатов аудита.
4615Недопустимое использование порт LPC.
4618Шаблон событий триггера безопасности произошла.
4816RPC обнаружено нарушение целостности при расшифровке входящего сообщения.
5038Целостность кода определяется образ хэш файла является недопустимым. Файл может быть поврежден из-за несанкционированного изменения или недопустимый хэш-код может указывать на потенциальные ошибки устройства.
5056Криптографические самопроверки была выполнена.
5057Сбой операции криптографических примитивов.
5060Операция проверки потерпела неудачу.
5061Операции шифрования.
5062Выполнялась в режиме ядра криптографические самопроверки.
6281Целостность кода определяется страница хеш-значения файла изображения не допускается. Файл может быть неправильно подписанный без хеш-коды страницы или поврежден из-за несанкционированных изменений. Недопустимый хэш-кодов может указывать на потенциальные ошибки устройства

Заметки

  • Для получения более подробный список всех аудит безопасности записей о событиях, выполните следующую команду в командной строке с повышенными правами администратора:
    wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true
    В следующем примере показано части выходных данных:
      event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		%3	Account Name:		%4	Account Domain:		%5	Logon ID:		%6Trusted Domain:	Domain Name:		%1	Domain ID:		%2Trust Information:	Trust Type:		%7	Trust Direction:		%8	Trust Attributes:		%9	SID Filtering:		%10
  • Чтобы получить список всех аудит безопасности категорий и подкатегорий, выполните следующую команду в командной строке с повышенными правами администратора:
    /subcategory Auditpol/List: *
Ссылки
Дополнительные сведения о средстве Wevtutil посетите следующий веб-узел корпорации Майкрософт: Дополнительные сведения о средстве Auditpol посетите следующий веб-узел корпорации Майкрософт: Дополнительные сведения о дополнительной безопасности параметры политики аудита в Windows 7 и Windows Server 2008 R2 посетите следующий веб-узел корпорации Майкрософт: Дополнительные сведения об аудите безопасности в Windows Vista и Windows Server 2008 щелкните следующий номер статьи базы знаний Майкрософт:
947226 Описание событий системы безопасности в Windows Vista и Windows Server 2008

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 977519 — последний просмотр: 07/03/2016 19:39:00 — редакция: 10.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Корпоративная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows Server 2008 R2 Service Pack 1

  • kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtru
Отзывы и предложения
[0].appendChild(m);