你目前正处于脱机状态,正在等待 Internet 重新连接

在 Windows Vista 和 Windows Server 2008 中的安全事件的说明

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 947226
简介
本文介绍了在 Windows Vista 和 Windows Server 2008 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,记录源的"安全审核。"本文还介绍如何检索单个事件有关的更具说明性数据。
更多信息
本节列出按类别和子类别的所有 Windows Vista 安全审计相关事件。

类别: 帐户登录

子类别: 凭据验证

标识消息
4774帐户进行的登录映射。
4775无法映射的登录帐户。
4776试图验证的帐户凭据的域控制器。
4777域控制器无法验证帐户的凭据。

子类别: Kerberos 身份验证服务

标识消息
4768Kerberos 身份验证票证 (TGT) 请求。
4771Kerberos 预身份验证失败。
4772Kerberos 身份验证票证请求失败。

子类别: Kerberos 服务票据操作

标识消息
4769Kerberos 服务票证请求。
4770Kerberos 服务票证续订。
4773Kerberos 服务票证请求失败。

类别: 帐户管理

子类别: 应用程序组管理

标识消息
4783已创建基本应用程序组。
4784基本应用程序组已更改。
4785已将成员添加到基本应用程序组。
4786已从基本应用程序组中删除成员。
4787非成员被添加到基本应用程序组。
4788非成员已从基本应用程序组。
4789基本应用程序组已被删除。
4790已创建 LDAP 查询组。
4791基本应用程序组已更改。
4792LDAP 查询组已被删除。

子类别: 计算机帐户管理

标识消息
4741计算机帐户已创建。
4742计算机帐户已更改。
4743计算机帐户已被删除。

子类别: 通讯组管理

标识消息
4744已创建禁用安全的本地组。
4745禁用安全的本地组已更改。
4746已将成员添加到禁用安全的本地组中。
4747成员已从禁用安全的本地组中删除。
4748已删除禁用安全的本地组。
4749已创建禁用安全的全局组。
4750禁用安全的全局组已更改。
4751成员已添加至禁用安全的全局组。
4752成员已从禁用安全的全局组。
4753已删除禁用安全的全局组。
4759已创建禁用安全的通用组。
4760禁用安全的通用组已更改。
4761成员已添加至禁用安全的通用组。
4762成员已从禁用安全的通用组删除。

子类别: 其他帐户管理事件

标识消息
4739域策略已更改。
4782访问帐户的密码哈希。
4793密码策略检查 API 调用。

子类别: 安全组管理

标识消息
4727启用安全的全局组已创建。
4728成员已添加至已启用安全的全局组。
4729已从启用安全的全局组中删除成员。
4730启用安全的全局组已删除。
4731启用安全的本地组已创建。
4732已将成员添加到启用安全的本地组。
4733已从启用安全的本地组中删除成员。
4734启用安全的本地组已删除。
4735启用安全的本地组已更改。
4737启用安全的全局组已更改。
4754启用安全的通用组已创建。
4755启用安全的通用组已更改。
4756成员已添加至已启用安全的通用组。
4757成员已从启用安全的通用组删除。
4758启用安全的通用组已删除。
4764组的类型已更改。

子类别: 用户帐户管理

标识消息
4720用户帐户已创建。
4722用户帐户被启用。
4723尝试更改帐户的密码。
4724尝试重置帐户密码。
4725已禁用的用户帐户。
4726用户帐户已被删除。
4738用户帐户已更改。
4740用户帐户被锁定。
4765SID 历史记录中添加了一个帐户。
4766要添加到帐户的 SID 历史记录的尝试失败。
4767用户帐户的锁定。
4780在管理员组成员的帐户上设置 ACL。
4781帐户名称已更改:
4794尝试设置目录服务还原模式。
5376凭据管理器的凭据进行备份。
5377凭据管理器的凭据已从备份中还原。

类别: 详细的跟踪

子类别: DPAPI 活动

标识消息
4692尝试进行备份的数据保护主密钥。
4693试图恢复数据保护主密钥。
4694试图执行的可审核的受保护数据的保护。
4695试图执行的可审核的受保护数据的 unprotection。

过程创建子类别:

标识消息
4688已创建一个新的进程。
4696一个主令牌被分配来处理。

子类别: 终止的进程

标识消息
4689进程已退出。

子类别: RPC 事件

标识消息
5712试图远程过程调用 (RPC)。

类别: DS 访问

子类别: 详细的目录服务复制

标识消息
4928已建立一个 活动目录(AD) 复制副本源的命名上下文。
4929已删除 活动目录(AD) 复制副本源的命名上下文。
4930活动目录(AD) 复制副本源命名上下文已被修改。
4931活动目录(AD) 复制副本目标命名上下文已被修改。
4934活动目录(AD) 对象的属性被复制。
4935开始复制失败。
4936结束复制失败。
4937从副本中删除延迟对象。

子类别: 目录服务访问

标识消息
4662在对象上执行操作。

子类别: 目录服务更改

标识消息
5136目录服务对象已被修改。
5137创建目录服务对象。
5138未删除目录服务对象。
5139目录服务对象已移动。

注意:在目录服务变更子类别下列事件可用于仅在 Windows Vista Service Pack 1,Windows Server 2008 中。
标识消息
5141目录服务对象已被删除。

子类别: 目录服务复制

标识消息
4932活动目录(AD) 命名上下文的副本的同步已开始。
4933活动目录(AD) 命名上下文的副本的同步已结束。

类别: 登录/注销

子类别: IPsec 扩展模式

标识消息
4978扩展模式在协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
4979建立 IPsec 主模式和扩展模式安全关联。
4980建立 IPsec 主模式和扩展模式安全关联。
4981建立 IPsec 主模式和扩展模式安全关联。
4982建立 IPsec 主模式和扩展模式安全关联。
4983IPsec 扩展模式协商失败。相应的主模式安全关联已被删除。
4984IPsec 扩展模式协商失败。相应的主模式安全关联已被删除。

子类别: IPsec 主模式

标识消息
4646开始 IKE DoS 保护模式。
4650建立 IPsec 主模式安全关联。未启用扩展的模式。不使用证书身份验证。
4651建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。
4652IPsec 主模式协商失败。
4653IPsec 主模式协商失败。
4655IPsec 主模式安全关联的结束。
4976在主模式协商期间 IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5049IPsec 安全关联已被删除。
5453与远程计算机的 IPsec 协商失败,因为 IKE 和 AuthIP IPsec 键控模块 (IKEEXT) 服务未启动。

子类别: IPsec 快速模式

标识消息
4654IPsec 快速模式协商失败。
4977在快速模式协商过程中 IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5451已建立的 IPsec 快速模式安全关联。
5452结束的 IPsec 快速模式安全关联。

子类别: 注销

标识消息
4634帐户被注销。
4647用户启动注销过程。

子类别: 登录

标识消息
4624帐户已成功登录。
4625帐户登录失败。
4648试图使用显式凭据登录。
4675Sid 被筛选。
注意:网络策略服务器子类别中的所有事件都都只在 Windows Vista Service Pack 1,Windows Server 2008 中可用。

子类别: 网络策略服务器

标识消息
6272网络策略服务器向用户授予访问权限。
6273网络策略服务器拒绝的用户访问。
6274网络策略服务器放弃用户的请求。
6275网络策略服务器丢弃用户记帐请求。
6276网络策略服务器隔离用户。
6277网络策略服务器授予访问权限的用户,但将其放在试用,因为主机不符合该定义的健康策略。
6278网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。
6279网络策略服务器锁定由于重复的失败的验证尝试的用户帐户。
6280网络策略服务器已解锁用户帐户。

子类别: 其他登录/注销事件

标识消息
4649检测到的重播攻击。
4778到窗口站重新连接会话。
4779从窗口站,会话已断开连接。
4800锁定工作站。
4801交互式地使用计算机。
4802屏幕保护程序被调用。
4803已关闭屏幕保护程序。
5378请求的凭据委派被策略禁用。
5632请求对无线网络进行身份验证。
5633请求进行身份验证的有线网络。

子类别: 特殊的登录

标识消息
4964特殊组已分配到一个新的登录帐户。

类别: 对象访问

子类别: 生成的应用程序

标识消息
4665尝试创建应用程序客户端上下文。
4666应用程序试图执行的操作:
4667应用程序客户端上下文已被删除。
4668应用程序已初始化。

子类别: 证书服务

标识消息
4868证书管理器拒绝了挂起的证书申请。
4869证书服务收到重新提交的证书申请。
4870证书服务吊销了证书。
4871证书服务收到发行证书吊销列表 (CRL) 的请求。
4872证书服务发行了证书吊销列表 (CRL)。
4873更改了证书申请扩展。
4874更改一个或多个证书申请属性。
4875证书服务收到关闭请求。
4876证书服务备份已启动。
4877证书服务备份已完成。
4878已开始证书服务还原。
4879证书服务还原已完成。
4880证书服务已启动。
4881证书服务已停止。
4882证书服务的安全权限已更改。
4883证书服务检索到存档的密钥。
4884证书服务将证书导入它的数据库。
4885证书服务的审核筛选已更改。
4886证书服务收到了一个证书申请。
4887证书服务批准了证书申请并颁发了证书。
4888证书服务拒绝证书请求。
4889证书服务将证书请求状态设置为挂起。
4890证书服务的证书管理器设置已更改。
4891更改证书服务中的配置项。
4892证书服务的属性已更改。
4893证书服务存档了密钥。
4894证书服务导入和存档了密钥。
4895证书服务发布到 活动目录(AD) 域服务的 CA 证书。
4896已从证书数据库删除一行或多行。
4897启用角色分离:
4898证书服务加载模板。
4899已更新的证书服务模板。
4900更新证书模板安全服务。
5120OCSP 响应程序服务已启动。
5121OCSP 响应程序服务已停止。
5122更改在 OCSP 响应程序服务的配置项。
5123更改在 OCSP 响应程序服务的配置项。
5124OCSP 响应程序服务已更新安全设置。
5125请求已提交到 OCSP 响应程序服务。
5126OCSP 响应程序服务已自动更新签名证书。
5127OCSP 吊销提供程序已成功更新的吊销信息。

子类别: 文件共享

标识消息
5140访问网络共享对象。

子类别: 文件系统

标识消息
4664尝试创建硬链接。
4985交易记录的状态已更改。
5051文件的虚拟化。

子类别: 筛选平台连接

标识消息
5031Windows 防火墙服务阻止接受传入连接在网络上的应用程序。
5154要在端口上侦听传入连接的应用程序或服务,已允许 Windows 筛选平台。
5155Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。
5156Windows 筛选平台已允许一个连接。
5157Windows 筛选平台已阻止连接。
5158Windows 筛选平台允许绑定到本地端口。
5159Windows 筛选平台已阻止绑定到本地端口。

子类别: 筛选平台数据包丢弃

标识消息
5152Windows 筛选平台被阻止的数据包。
5153限制性更强的 Windows 筛选平台过滤器已阻止数据包。

子类别: 句柄操作

标识消息
4656请求的对象的句柄。
4658已关闭的对象句柄。
4690尝试复制一个对象的句柄。

子类别: 其他对象访问事件

标识消息
4671应用程序尝试访问已阻止的序号通过进行 tbs。
4691请求的对象的间接访问。
4698创建计划的任务。
4699计划的任务已被删除。
4700计划的任务已启用。
4701已禁用计划的任务。
4702已更新计划的任务。
5888在 COM + 目录中的对象已被修改。
5889从 COM + 目录中删除对象。
5890对象已添加到 COM + 目录中。

子类别: 注册表

标识消息
4657已修改的注册表值。
5039注册表项被虚拟化。

子类别: 特殊的多用途子类别

注意:以下事件可能生成任何资源管理器启用它的子类别。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。"对象的访问: 内核对象"和"对象的访问: SAM"子类别都是以独占方式使用这些事件的子类别。
标识消息
4659旨在通过来删除请求的对象的句柄。
4660对象已被删除。
4661请求的对象的句柄。
4663试图访问的对象。

类别: 策略更改

子类别: 审核策略更改

标识消息
4715已更改对象上的审核策略 (SACL)。
4719系统审核策略已更改。
4902每用户审核策略表已创建。
4904尝试注册安全事件源。
4905尝试取消安全事件源注册。
4906禁用组值已更改。
4907已更改对象上的审核设置。
4908修改特殊组登录表格。
4912每个用户审核策略已更改。

子类别: 身份验证策略更改

标识消息
4706到域创建新的信任。
4707已删除对一个域的信任。
4713Kerberos 策略已更改。
4716已修改受信任的域的信息。
4717系统安全访问权限授予帐户权限。
4718已删除帐户的系统安全访问权限。
4864检测到的命名空间冲突。
4865已添加受信任的林信息项。
4866已删除受信任的林信息项。
4867已修改受信任的林信息项。

子类别: 授权策略的更改

标识消息
4704已分配用户权限。
4705已删除了用户权限。
4714加密的数据恢复策略已更改。

子类别: 筛选平台策略更改

标识消息
4709IPsec 服务已启动。
4710IPsec 服务已禁用。
4711可能包含下列之一:
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。
  • PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎的活动 IPsec 策略更改轮询并检测到任何更改。
4712IPsec 服务遇到了一个潜在的严重故障。
5040对 IPsec 设置进行了更改。已添加身份验证设置。
5041对 IPsec 设置进行了更改。身份验证设置已被修改。
5042对 IPsec 设置进行了更改。身份验证设置已被删除。
5043对 IPsec 设置进行了更改。已添加连接安全规则。
5044对 IPsec 设置进行了更改。连接安全规则已被修改。
5045对 IPsec 设置进行了更改。连接安全规则已被删除。
5046对 IPsec 设置进行了更改。添加加密设置。
5047对 IPsec 设置进行了更改。加密设置已被修改。
5048对 IPsec 设置进行了更改。加密设置已被删除。
5440下面标注时 Windows 筛选平台基本筛选引擎启动时出现。
5441下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。
5442下列提供程序是 Windows 筛选平台基本筛选引擎启动时出现。
5443Windows 筛选平台基本筛选引擎启动时存在下列提供程序上下文。
5444以下子图层是 Windows 筛选平台基本筛选引擎启动时出现。
5446已更改 Windows 筛选平台标注。
5448已更改 Windows 筛选平台提供商。
5449Windows 筛选平台提供程序上下文已被更改。
5450已更改 Windows 筛选平台的子图层。
5456PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5457PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5458PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5459PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5460PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
5461PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
5462PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。
5463PAStore 引擎的活动 IPsec 策略更改轮询并检测到任何更改。
5464PAStore 引擎的活动 IPsec 策略更改轮询、 检测到的更改,并用于 IPsec 服务。
5465PAStore 引擎接收用于 IPsec 策略的强制重新加载的控件,并成功处理该控件。
5466PAStore 引擎轮询到活动目录 IPsec 策略中,已确定 活动目录(AD) 无法访问,并将改为使用活动目录 IPsec 策略缓存的副本的更改。由于上次轮询不能应用到活动目录 IPsec 策略中做的任何更改。
5467到活动目录 IPsec 策略中,已确定 活动目录(AD) 可以达到,并且找到没有更改策略更改轮询 PAStore 引擎。活动目录 IPsec 策略缓存的副本不再被使用。
5468PAStore 引擎轮询更改活动目录 IPsec 策略,确定 活动目录(AD) 可以达到,找到到策略中,更改并应用这些更改。活动目录 IPsec 策略缓存的副本不再被使用。
5471PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
5472PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
5473PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
5474PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
5477PAStore 引擎添加快速模式筛选器失败。

子类别: mpssvc 规则级别策略更改

标识消息
4944当启动 Windows 防火墙时,以下策略处于活动状态。
4945当启动 Windows 防火墙已列出规则。
4946对 Windows 防火墙例外列表进行了更改。添加的规则。
4947对 Windows 防火墙例外列表进行了更改。规则已被修改。
4948对 Windows 防火墙例外列表进行了更改。规则已被删除。
4949Windows 防火墙设置都恢复为默认值。
4950Windows 防火墙设置已更改。
4951规则已被忽略,因为 Windows 防火墙未被识别的主要版本号。
4952由于 Windows 防火墙无法识别其版本号,已忽略规则的部分。将执行该规则的其他部分。
4953由于它无法解析规则,规则已被忽略通过 Windows 防火墙。
4954Windows 防火墙组策略设置已更改。已应用新的设置。
4956Windows 防火墙已更改活动配置文件。
4957Windows 防火墙未应用以下规则:
4958因为规则引用的项目未在此计算机上配置 Windows 防火墙未应用下面的规则:
5050尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持在 Windows Vista 上。这很可能会出现由于不与 Windows Vista 兼容的程序。请联系该程序的制造商联系,以确保您拥有的 Windows Vista 兼容的程序版本。

子类别: 其他策略更改事件

标识消息
4909TBS 的本地策略设置已更改。
4910TBS 的组策略设置已更改。
5063试图加密提供程序操作。
5064试图加密上下文操作。
5065试图执行加密上下文修改。
5066试图加密函数操作。
5067试图执行的加密函数修改。
5068试图进行加密的功能提供程序操作。
5069试图加密函数属性操作。
5070试图执行的加密函数属性修改。
5447Windows 筛选平台筛选器已更改。
6144已成功地应用组策略对象中的安全策略。
6145处理组策略对象中的安全策略时出现一个或多个错误。

子类别: 特殊的多用途子类别

注意:以下事件可能生成任何资源管理器启用它的子类别。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
标识消息
4670已更改对象上的权限。

类别: 特权使用

子类别: 敏感权限使用 / 非敏感权限使用

标识消息
4672分配给新的登录特权。
4673特权的服务被调用。
4674试图在特权对象上执行操作。

类别: 系统

子类别: IPsec 驱动程序

标识消息
4960IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表明存在网络问题或该数据包正在修改传输到这台计算机中。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。
4961IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。
4962IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保它不是重播。
4963IPsec 丢弃应该保护的入站的明文数据包。这通常是由于更改而不通知该计算机的 IPsec 策略的远程计算机。这也可能是欺骗的攻击企图。
4965IPsec 将数据包来自远程计算机具有不正确的安全参数索引 (SPI)。这通常是由有故障正在损坏数据包的硬件引起的。如果这些错误仍然存在,验证来自远程计算机所发送的数据包是否接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。在这种情况下,如果不被阻碍的连接,然后这些事件可以被忽略。
5478IPsec 服务已成功启动。
5479IPsec 服务已成功关闭。IPsec 服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5480IPsec 服务无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能不会得到应用的 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。
5483IPsec 服务无法初始化 RPC 服务器。IPsec 服务无法启动。
5484IPsec 服务遇到严重错误,已关闭。IPsec 服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5485IPsec 服务无法处理网络接口上的即插即用播放事件一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能不会得到应用的 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。

子类别: 其他系统事件

标识消息
5024Windows 防火墙服务已成功启动。
5025Windows 防火墙服务已停止。
5027Windows 防火墙服务无法从本地存储区中检索的安全策略。该服务将继续实施当前的策略。
5028Windows 防火墙服务无法分析新的安全策略。该服务将继续执行目前的策略。
5029Windows 防火墙服务无法初始化该驱动程序。该服务将继续执行当前的策略。
5030Windows 防火墙服务无法启动。
5032Windows 防火墙不能以通知用户它阻止接受传入连接在网络上的应用程序。
5033Windows 防火墙驱动程序已成功启动。
5034Windows 防火墙驱动程序已停止。
5035Windows 防火墙驱动程序启动失败。
5037Windows 防火墙驱动程序检测到严重的运行时错误。正在终止。
5058密钥文件操作。
5059键迁移操作。

子类别: 安全状态更改

标识消息
4608Windows 正在启动。
4616更改系统时间。
4621管理员已禁用组从恢复系统。现在将允许非管理员用户登录。可能尚未记录一些可审核的活动。

子类别: 安全系统扩展

标识消息
4610已由本地安全机构加载身份验证程序包。
4611受信任的登录进程已具有本地安全机构注册。
4614安全帐户管理器已加载通知程序包。
4622安全程序包已由本地安全机构加载。
4697在系统中已安装的服务。

子类别: 系统完整性

标识消息
4612进行的审核消息进行排队而分配的内部资源已用尽,从而导致丢失的一些审计。
4615使用 LPC 端口无效。
4618监视的安全事件模式出现。
4816RPC 检测解密传入消息时存在完整性冲突。
5038代码完整性取决于文件的图像哈希是无效。该文件可能会损坏原因是未经授权的修改或无效的哈希可能表明存在潜在的磁盘设备错误。
5056执行加密的自我测试。
5057加密基元操作失败。
5060验证操作失败。
5061加密操作。
5062执行内核模式加密自检。
备注
  • 若要返回一个更详细的列表中的所有安全审核事件条目,在提升的命令提示符下以管理员身份运行以下命令:
    wevtutil Microsoft -Windows-Security_Auditing gp /ge /gm:true
    下面的示例演示了输出的一部分:
    event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		Security ID	Account Name:		Account NameAccount Domain:	 Account Domain	Logon ID:		Logon IDTrusted Domain:	Domain Name:		Domain Name	Domain ID:		Domain IDTrust Information:	Trust Type:		Trust Type	Trust Direction:	Trust Direction	Trust Attributes:	Trust Attributes	SID Filtering:		SID Filtering
  • 若要返回列表中的所有安全审核类别和子类别,请以管理员身份在提升的命令提示符下运行以下命令:
    auditpol /list /subcategory: *
参考
有关 Wevtutil 实用程序的详细信息,请访问下面的 Microsoft Web 站点: 有关 Auditpol 实用程序的详细信息,请访问下面的 Microsoft Web 站点: 有关如何使用组策略来配置详细的安全审核设置的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
921469 如何使用组策略来配置详细的安全审核设置基于 Windows Vista 和 Windows Server 2008 基于 Windows Server 2008 域中,在 Windows Server 2003 域中,或在 Windows 2000 域中的计算机
有关 Windows Vista 安全指南的详细信息,请访问下面的 Microsoft Web 站点:

警告:本文已自动翻译

属性

文章 ID:947226 - 上次审阅时间:01/11/2015 16:02:00 - 修订版本: 9.0

Windows Vista Enterprise 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 for Itanium-Based Systems

  • kbexpertiseadvanced kbinfo kbmt KB947226 KbMtzh
反馈
tml>