簡介
本文介紹了在 Windows 7 和 Windows Server 2008 R2 中的各種與安全和審覈有關事件。本文還提供了有關如何解釋這些事件的信息。所有這些事件出現在安全日誌中,並與源的安全審覈記錄。本文還介紹如何檢索有關個別事件的更具說明性數據。
適用於: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
詳細信息
本節列出按類別和子類別的所有 Windows 7 和 Windows Server 2008 R2 安全審計相關事件。
類別︰ 帳戶登錄
子類別︰ 憑據驗證
| 標識 | 消息 |
|---|---|
| 4774 | 帳戶已登錄映射。 |
| 4775 | 無法映射的登錄帳戶。 |
| 4776 | 計算機試圖驗證的帳戶憑據。 |
| 4777 | 域控制器無法驗證帳戶的憑據。 |
子類別︰ Kerberos 身份驗證服務
| 標識 | 消息 |
|---|---|
| 4768 | Kerberos 身份驗證票證 (TGT) 請求。 |
| 4771 | Kerberos 預身份驗證失敗。 |
| 4772 | Kerberos 身份驗證票證請求失敗。 |
子類別︰ Kerberos 服務票據操作
| 標識 | 消息 |
|---|---|
| 4769 | Kerberos 服務票證請求。 |
| 4770 | Kerberos 服務票證續訂。 |
| 4773 | Kerberos 服務票證請求失敗。 |
類別︰ 帳戶管理
子類別︰ 應用程序組管理
| 標識 | 消息 |
|---|---|
| 4783 | 基本應用程序組已創建。 |
| 4784 | 基本應用程序組已更改。 |
| 4785 | 已將成員添加到基本應用程序組。 |
| 4786 | 已從基本應用程序組中刪除成員。 |
| 4787 | 非成員被添加到基本應用程序組。 |
| 4788 | 非成員已從基本應用程序組。 |
| 4789 | 基本應用程序組已被刪除。 |
| 4790 | 創建 LDAP 查詢組。 |
| 4791 | 基本應用程序組已更改。 |
| 4792 | LDAP 查詢組已被刪除。 |
子類別︰ 計算機帳戶管理
| 標識 | 消息 |
|---|---|
| 4741 | 計算機帳戶已創建。 |
| 4742 | 計算機帳戶已更改。 |
| 4743 | 計算機帳戶已被刪除。 |
子類別︰ 通訊組管理
| 標識 | 消息 |
|---|---|
| 4744 | 已創建禁用安全的本地組。 |
| 4745 | 禁用安全的本地組已更改。 |
| 4746 | 成員已添加至禁用安全的本地組。 |
| 4747 | 成員已從禁用安全的本地組中刪除。 |
| 4748 | 已刪除禁用安全的本地組。 |
| 4749 | 已創建禁用安全的全局組。 |
| 4750 | 禁用安全的全局組已更改。 |
| 4751 | 成員已添加至禁用安全的全局組。 |
| 4752 | 成員已從禁用安全的全局組刪除。 |
| 4753 | 已刪除禁用安全的全局組。 |
| 4759 | 已創建禁用安全的通用組。 |
| 4760 | 禁用安全的通用組已更改。 |
| 4761 | 成員已添加至禁用安全的通用組。 |
| 4762 | 成員已從禁用安全的通用組刪除。 |
子類別︰ 其他帳戶管理事件
| 標識 | 消息 |
|---|---|
| 4782 | 訪問帳戶的密碼哈希。 |
| 4793 | 密碼策略檢查 API 被調用。 |
子類別︰ 安全組管理
| 標識 | 消息 |
|---|---|
| 4727 | 啓用安全的全局組已創建。 |
| 4728 | 成員已添加至已啓用安全的全局組。 |
| 4729 | 已從啓用安全的全局組中刪除成員。 |
| 4730 | 啓用安全的全局組已刪除。 |
| 4731 | 啓用安全的本地組已創建。 |
| 4732 | 已將成員添加到啓用安全的本地組。 |
| 4733 | 已從啓用安全的本地組中刪除成員。 |
| 4734 | 啓用安全的本地組已刪除。 |
| 4735 | 啓用安全的本地組已更改。 |
| 4737 | 啓用安全的全局組已更改。 |
| 4754 | 啓用安全的通用組已創建。 |
| 4755 | 啓用安全的通用組已更改。 |
| 4756 | 成員已添加至已啓用安全的通用組。 |
| 4757 | 成員已從啓用安全的通用組刪除。 |
| 4758 | 啓用安全的通用組已刪除。 |
| 4764 | 組的類型已更改。 |
子類別︰ 用戶帳戶管理
| 標識 | 消息 |
|---|---|
| 4720 | 用戶帳戶已創建。 |
| 4722 | 用戶帳戶被啓用。 |
| 4723 | 嘗試更改帳戶密碼。 |
| 4724 | 嘗試重置帳戶密碼。 |
| 4725 | 已禁用的用戶帳戶。 |
| 4726 | 用戶帳戶已被刪除。 |
| 4738 | 用戶帳戶已更改。 |
| 4740 | 用戶帳戶被鎖定。 |
| 4765 | SID 歷史記錄已添加到帳戶。 |
| 4766 | 要添加到帳戶的 SID 歷史記錄的嘗試失敗。 |
| 4767 | 用戶帳戶的鎖定。 |
| 4780 | 在管理員組成員的帳戶上設置 ACL。 |
| 4781 | 帳戶名稱已更改︰ |
| 4794 | 嘗試設置目錄服務還原模式。 |
| 5376 | 憑據管理器憑據進行備份。 |
| 5377 | 憑據管理器憑據已從備份中還原。 |
類別︰ 詳細的跟蹤
子類別︰ DPAPI 活動
| 標識 | 消息 |
|---|---|
| 4692 | 嘗試進行備份的數據保護主密鑰。 |
| 4693 | 嘗試恢復數據保護主密鑰。 |
| 4694 | 試圖進行可審覈的受保護數據的保護。 |
| 4695 | Unprotection 可審覈的受保護數據的嘗試。 |
子類別︰ 進程創建
| 標識 | 消息 |
|---|---|
| 4688 | 已創建一個新的進程。 |
| 4696 | 一個主令牌被分配來處理。 |
子類別︰ 終止進程
| 標識 | 消息 |
|---|---|
| 4689 | 進程已退出。 |
子類別︰ RPC 事件
| 標識 | 消息 |
|---|---|
| 5712 | 嘗試執行遠程過程調用 (RPC)。 |
類別︰ DS 訪問
子類別︰ 詳細的目錄服務複製
| 標識 | 消息 |
|---|---|
| 4928 | 建立一個 Active Directory 複製副本源命名上下文。 |
| 4929 | 已刪除 Active Directory 複製副本源命名上下文。 |
| 4930 | Active Directory 複製副本源命名上下文已被修改。 |
| 4931 | Active Directory 複製目標命名上下文已被修改。 |
| 4934 | Active Directory 對象的屬性被複制。 |
| 4935 | 開始複製失敗。 |
| 4936 | 複製失敗結束。 |
| 4937 | 從副本中刪除延遲對象。 |
子類別︰ 目錄服務訪問
| 標識 | 消息 |
|---|---|
| 4662 | 在對象上執行操作。 |
子類別︰ 目錄服務更改
| 標識 | 消息 |
|---|---|
| 5136 | 目錄服務對象已被修改。 |
| 5137 | 創建目錄服務對象。 |
| 5138 | 未刪除目錄服務對象。 |
| 5139 | 目錄服務對象已移動。 |
| 5141 | 目錄服務對象已被刪除。 |
子類別︰ 目錄服務複製
| 標識 | 消息 |
|---|---|
| 4932 | Active Directory 命名上下文的副本的同步已開始。 |
| 4933 | Active Directory 命名上下文的副本的同步已結束。 |
類別︰ 登錄/註銷
子類別︰ IPsec 擴展模式
| 標識 | 消息 |
|---|---|
| 4978 | 在擴展的模式協商期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明存在網絡問題或試圖修改或重放此協商。 |
| 4979 | 建立 IPsec 主模式與擴展的模式安全關聯。 |
| 4980 | 建立 IPsec 主模式與擴展的模式安全關聯。 |
| 4981 | 建立 IPsec 主模式與擴展的模式安全關聯。 |
| 4982 | 建立 IPsec 主模式與擴展的模式安全關聯。 |
| 4983 | IPsec 的擴展模式協商失敗。相應的主模式安全關聯已被刪除。 |
| 4984 | IPsec 的擴展模式協商失敗。相應的主模式安全關聯已被刪除。 |
子類別︰ IPsec 主模式
| 標識 | 消息 |
|---|---|
| 4646 | 啓動 IKE DoS 保護模式。 |
| 4650 | 建立 IPsec 主模式安全關聯。未啓用擴展的模式。 不使用證書身份驗證。 |
| 4651 | 建立 IPsec 主模式安全關聯。未啓用擴展的模式。 證書用於身份驗證。 |
| 4652 | 主模式協商失敗,IPsec。 |
| 4653 | 主模式協商失敗,IPsec。 |
| 4655 | 結束了 IPsec 主模式安全關聯。 |
| 4976 | 在主模式協商期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明存在網絡問題或試圖修改或重放此協商。 |
| 5049 | 已刪除 IPsec 安全關聯。 |
| 5453 | IPsec 策略代理在計算機上應用了 Active Directory IPsec 策略存儲。 |
子類別︰ IPsec 快速模式
| 標識 | 消息 |
|---|---|
| 4654 | 快速模式協商失敗,IPsec。 |
| 4977 | 在快速模式協商期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明存在網絡問題或試圖修改或重放此協商。 |
| 5451 | 建立 IPsec 快速模式安全關聯。 |
| 5452 | 結束的 IPsec 快速模式安全關聯。 |
子類別︰ 註銷
| 標識 | 消息 |
|---|---|
| 4634 | 帳戶被註銷。 |
| 4647 | 用戶啓動註銷過程。 |
子類別︰ 登錄
| 標識 | 消息 |
|---|---|
| 4624 | 成功登錄帳戶。 |
| 4625 | 帳戶登錄失敗。 |
| 4648 | 試圖使用顯式憑據登錄。 |
| 4675 | 已篩選的 Sid。 |
子類別︰ 網絡策略服務器
| 標識 | 消息 |
|---|---|
| 6272 | 網絡策略服務器向用戶授予訪問權限。 |
| 6273 | 網絡策略服務器拒絕用戶訪問。 |
| 6274 | 網絡策略服務器放棄用戶的請求。 |
| 6275 | 網絡策略服務器丟棄用戶記帳請求。 |
| 6276 | 網絡策略服務器隔離用戶。 |
| 6277 | 網絡策略服務器授予訪問權限的用戶,但將其放上試用,因爲主機不符合該定義的健康策略。 |
| 6278 | 網絡策略服務器向用戶授予完全訪問權限,因爲主機滿足定義的運行狀況策略。 |
| 6279 | 網絡策略服務器鎖定由於重複失敗的驗證嘗試的用戶帳戶。 |
| 6280 | 網絡策略服務器已解鎖用戶帳戶。 |
子類別︰ 其他登錄/註銷事件
| 標識 | 消息 |
|---|---|
| 4649 | 檢測到的重播攻擊。 |
| 4778 | 到窗口站重新連接會話。 |
| 4779 | 從窗口站,會話已斷開連接。 |
| 4800 | 鎖定工作站。 |
| 4801 | 交互式地使用計算機。 |
| 4802 | 屏幕保護程序被調用。 |
| 4803 | 已關閉屏幕保護程序。 |
| 5378 | 請求的憑據委派是不允許的策略。 |
| 5632 | 請求對無線網絡進行身份驗證。 |
| 5633 | 請求進行身份驗證的有線網絡。 |
子類別︰ 特殊登錄
| 標識 | 消息 |
|---|---|
| 4964 | 特殊組已分配到一個新的登錄帳戶。 |
類別︰ 對象訪問
子類別︰ 應用程序生成
| 標識 | 消息 |
|---|---|
| 4665 | 嘗試創建應用程序客戶端上下文。 |
| 4666 | 應用程序試圖執行的操作︰ |
| 4667 | 應用程序客戶端上下文已被刪除。 |
| 4668 | 應用程序已初始化。 |
子類別︰ 證書服務
| 標識 | 消息 |
|---|---|
| 4868 | 證書管理器拒絕了掛起的證書請求。 |
| 4869 | 證書服務收到重新提交的證書申請。 |
| 4870 | 證書服務吊銷了證書。 |
| 4871 | 證書服務收到發行證書吊銷列表 (CRL) 的請求。 |
| 4872 | 證書服務發行了證書吊銷列表 (CRL)。 |
| 4873 | 更改了證書申請擴展。 |
| 4874 | 更改一個或多個證書申請屬性。 |
| 4875 | 證書服務收到關閉請求。 |
| 4876 | 證書服務備份已啓動。 |
| 4877 | 證書服務備份已完成。 |
| 4878 | 已開始證書服務還原。 |
| 4879 | 證書服務還原已完成。 |
| 4880 | 證書服務已啓動。 |
| 4881 | 證書服務已停止。 |
| 4882 | 證書服務的安全權限已更改。 |
| 4883 | 證書服務檢索到存檔的密鑰。 |
| 4884 | 證書服務將證書導入它的數據庫。 |
| 4885 | 證書服務的審覈篩選已更改。 |
| 4886 | 證書服務收到了一個證書申請。 |
| 4887 | 證書服務批准了證書申請並頒發了證書。 |
| 4888 | 證書服務拒絕證書請求。 |
| 4889 | 證書服務將證書請求狀態設置爲掛起。 |
| 4890 | 證書服務的證書管理器設置已更改。 |
| 4891 | 證書服務更改的配置項。 |
| 4892 | 證書服務的屬性已更改。 |
| 4893 | 證書服務存檔了密鑰。 |
| 4894 | 證書服務導入和存檔了密鑰。 |
| 4895 | 證書服務發佈到 Active Directory 域服務的 CA 證書。 |
| 4896 | 已從證書數據庫刪除一行或多行。 |
| 4897 | 啓用角色分離︰ |
| 4898 | 證書服務加載模板。 |
| 4899 | 證書服務模板進行更新。 |
| 4900 | 證書服務模板安全性已更新。 |
| 5120 | OCSP 響應程序服務已啓動。 |
| 5121 | OCSP 響應程序服務停止。 |
| 5122 | OCSP 響應程序服務中更改的配置項。 |
| 5123 | OCSP 響應程序服務中更改的配置項。 |
| 5124 | OCSP 響應程序服務已更新安全設置。 |
| 5125 | 請求已提交到 OCSP 響應程序服務。 |
| 5126 | OCSP 響應程序服務已自動更新簽名證書。 |
| 5127 | OCSP 吊銷提供程序已成功更新的吊銷信息。 |
子類別︰ 詳細的文件共享
| 標識 | 消息 |
|---|---|
| 5145 | 網絡共享對象已檢查以查看是否客戶機可以被授予所需訪問權限。 |
子類別︰ 文件共享
| 標識 | 消息 |
|---|---|
| 5140 | 訪問網絡共享對象。 |
| 5142 | 已添加網絡共享對象。 |
| 5143 | 網絡共享對象被修改。 |
| 5144 | 已刪除網絡共享對象。 |
| 5168 | SMB/SMB2 的 Spn 檢查失敗。 |
子類別︰ 文件系統
| 標識 | 消息 |
|---|---|
| 4664 | 嘗試創建硬鏈接。 |
| 4985 | 交易記錄的狀態已更改。 |
| 5051 | 文件的虛擬化。 |
子類別︰ 篩選平臺連接
| 標識 | 消息 |
|---|---|
| 5031 | Windows 防火牆服務阻止接受傳入連接在網絡上的應用程序。 |
| 5148 | Windows 篩選平臺已檢測到 DoS 攻擊並進入防禦模式;與這種攻擊相關的數據包將被丟棄。 |
| 5149 | DoS 攻擊減少,並正在繼續正常處理。 |
| 5150 | Windows 篩選平臺已阻止的數據包。 |
| 5151 | 限制性更強的 Windows 篩選平臺過濾器已阻止數據包。 |
| 5154 | 要在端口上偵聽傳入連接的應用程序或服務允許 Windows 篩選平臺。 |
| 5155 | Windows 篩選平臺已阻止的應用程序或服務在端口上偵聽傳入的連接。 |
| 5156 | Windows 篩選平臺允許連接。 |
| 5157 | Windows 篩選平臺已阻止連接。 |
| 5158 | Windows 篩選平臺允許綁定到本地端口。 |
| 5159 | Windows 篩選平臺已阻止綁定到本地端口。 |
子類別︰ 篩選平臺數據包丟棄
| 標識 | 消息 |
|---|---|
| 5152 | Windows 篩選平臺已阻止的數據包。 |
| 5153 | 限制性更強的 Windows 篩選平臺過濾器已阻止數據包。 |
子類別︰ 句柄操作
| 標識 | 消息 |
|---|---|
| 4656 | 請求的對象的句柄。 |
| 4658 | 已關閉的對象句柄。 |
| 4690 | 嘗試複製一個對象的句柄。 |
子類別︰ 其他對象訪問事件
| 標識 | 消息 |
|---|---|
| 4671 | 應用程序試圖訪問被阻止的序號通過進行 tbs。 |
| 4691 | 請求的對象的間接訪問。 |
| 4698 | 創建計劃的任務。 |
| 4699 | 計劃的任務已被刪除。 |
| 4700 | 計劃的任務已啓用。 |
| 4701 | 已禁用計劃的任務。 |
| 4702 | 已更新計劃的任務。 |
| 4702 | 已更新計劃的任務。 |
| 5888 | 在 COM + 目錄中的對象已被修改。 |
| 5889 | 從 COM + 目錄中刪除對象。 |
| 5890 | 對象已添加到 COM + 目錄中。 |
子類別︰ 註冊表
| 標識 | 消息 |
|---|---|
| 4657 | 修改註冊表值。 |
| 5039 | 註冊表項被虛擬化。 |
特殊的多用途子類別的子類別︰
注意:任何資源管理器可能會生成下面的事件及其子類別啓用。例如,通過註冊表資源管理器或文件系統資源管理器,可能會生成下面的事件。對象訪問︰ 內核對象和對象訪問︰ SAM子類別是以獨佔方式使用這些事件的子類別的示例。
| 標識 | 消息 |
|---|---|
| 4659 | 旨在通過刪除請求的對象的句柄。 |
| 4660 | 對象已被刪除。 |
| 4661 | 請求的對象的句柄。 |
| 4663 | 試圖訪問的對象。 |
類別︰ 策略更改
子類別︰ 審覈策略更改
| 標識 | 消息 |
|---|---|
| 4715 | 已更改對象上的審覈策略 (SACL)。 |
| 4719 | 系統審覈策略已更改。 |
| 4817 | 已更改對象上的審覈設置。 |
| 4902 | 每用戶審覈策略表已創建。 |
| 4904 | 嘗試註冊安全事件源。 |
| 4905 | 嘗試取消安全事件源註冊。 |
| 4906 | 禁用組值已更改。 |
| 4907 | 已更改對象上的審覈設置。 |
| 4908 | 修改特殊組登錄表格。 |
| 4912 | 每個用戶審覈策略已更改。 |
子類別︰ 身份驗證策略更改
| 標識 | 消息 |
|---|---|
| 4706 | 向域創建新的信任。 |
| 4707 | 已刪除對一個域的信任。 |
| 4713 | Kerberos 策略已更改。 |
| 4716 | 已修改受信任的域的信息。 |
| 4717 | 系統安全訪問權限授予帳戶。 |
| 4718 | 帳戶已刪除系統安全訪問權限。 |
| 4739 | 域策略已更改。 |
| 4864 | 檢測到的命名空間衝突。 |
| 4865 | 添加受信任的林信息條目。 |
| 4866 | 已刪除受信任的林信息項。 |
| 4867 | 已修改受信任的林信息項。 |
子類別︰ 授權策略更改
| 標識 | 消息 |
|---|---|
| 4704 | 已分配用戶權限。 |
| 4705 | 已刪除了用戶權限。 |
| 4714 | 已更改的數據恢復代理組策略的加密文件系統 (EFS)。新的更改尚未應用。 |
子類別︰ 篩選平臺策略更改
| 標識 | 消息 |
|---|---|
| 4709 | IPsec 策略代理服務已啓動。 |
| 4710 | 已禁用 IPsec 策略代理服務。 |
| 4711 | 可能包含下列之一︰
|
| 4712 | IPsec 策略代理遇到潛在的嚴重問題。 |
| 5040 | IPsec 設置已更改。已添加身份驗證集。 |
| 5041 | IPsec 設置已更改。身份驗證設置已被修改。 |
| 5042 | IPsec 設置已更改。身份驗證設置已被刪除。 |
| 5043 | IPsec 設置已更改。已添加的連接安全規則。 |
| 5044 | IPsec 設置已更改。連接安全規則已被修改。 |
| 5045 | IPsec 設置已更改。連接安全規則已被刪除。 |
| 5046 | IPsec 設置已更改。添加加密設置。 |
| 5047 | IPsec 設置已更改。加密設置已被修改。 |
| 5048 | IPsec 設置已更改。加密設置已被刪除。 |
| 5440 | 下面標註時 Windows 篩選平臺基本篩選引擎啓動時出現。 |
| 5441 | 下面的篩選器是 Windows 篩選平臺基本篩選引擎啓動時出現。 |
| 5442 | 下列提供程序是 Windows 篩選平臺基本篩選引擎啓動時出現。 |
| 5443 | 當 Windows 篩選平臺基本篩選引擎啓動時存在下列提供程序上下文。 |
| 5444 | 下面的子圖層時 Windows 篩選平臺基本篩選引擎啓動時出現。 |
| 5446 | 已更改 Windows 篩選平臺標註。 |
| 5448 | 已更改 Windows 篩選平臺提供商。 |
| 5449 | Windows 篩選平臺提供程序上下文已被更改。 |
| 5450 | 已更改 Windows 篩選平臺的子圖層。 |
| 5456 | PAStore 引擎的計算機上應用 IPsec 策略的 Active Directory 存儲。 |
| 5457 | IPsec 策略代理在計算機上應用 IPsec 策略的 Active Directory 存儲失敗。 |
| 5458 | 本地應用的 IPsec 策略代理緩存中的活動目錄存儲在計算機上的 IPsec 策略的副本。 |
| 5459 | IPsec 策略代理無法在計算機上應用 IPsec 策略的 Active Directory 存儲的本地緩存的副本。 |
| 5460 | IPsec 策略代理在計算機上應用 IPsec 策略的本地註冊表存儲。 |
| 5461 | IPsec 策略代理在計算機上應用 IPsec 策略的本地註冊表存儲失敗。 |
| 5462 | IPsec 策略代理無法應用在計算機上的活動 IPsec 策略的某些規則。IP 安全監視器管理單元中使用,用來診斷問題。 |
| 5463 | IPsec 策略代理輪詢的活動 IPsec 策略的更改,並檢測到任何更改。 |
| 5464 | IPsec 策略代理對活動的 IPsec 策略更改輪詢、 檢測到更改,並且應用它們。 |
| 5465 | IPsec 策略代理收到用於 IPsec 策略的強制重新加載的控件,成功地處理該控件。 |
| 5466 | IPsec 策略代理輪詢到活動目錄 IPsec 策略中,已確定 Active Directory 無法訪問,並將改爲使用活動目錄 IPsec 策略緩存的副本的更改。由於上次輪詢不能應用到活動目錄 IPsec 策略中做的任何更改。 |
| 5467 | IPsec 策略代理輪詢更改活動目錄 IPsec 策略,確定可以達到,並且找到策略沒有更改 Active Directory 中。活動目錄 IPsec 策略緩存的副本不再被使用。 |
| 5468 | IPsec 策略代理輪詢更改到活動目錄 IPsec 策略中,已確定 Active Directory 可以達到,找到更改策略,並應用這些更改。活動目錄 IPsec 策略緩存的副本不再被使用。 |
| 5471 | IPsec 策略代理加載本地存儲在計算機上的 IPsec 策略。 |
| 5472 | IPsec 策略代理無法加載本地存儲在計算機上的 IPsec 策略。 |
| 5473 | IPsec 策略代理加載目錄存儲在計算機上的 IPsec 策略。 |
| 5474 | IPsec 策略代理無法加載目錄存儲在計算機上的 IPsec 策略。 |
| 5477 | IPsec 策略代理無法添加快速模式篩選器。 |
子類別︰ mpssvc 規則級別策略更改
| 標識 | 消息 |
|---|---|
| 4944 | 當啓動 Windows 防火牆時,以下策略處於活動狀態。 |
| 4945 | 當啓動 Windows 防火牆已列出規則。 |
| 4946 | Windows 防火牆例外列表已更改。添加的規則。 |
| 4947 | Windows 防火牆例外列表已更改。修改規則的。 |
| 4948 | Windows 防火牆例外列表已更改。規則已被刪除。 |
| 4949 | Windows 防火牆設置都恢復爲默認值。 |
| 4950 | 更改 Windows 防火牆設置。 |
| 4951 | Windows 防火牆忽略規則,因爲無法識別的主要版本號。 |
| 4952 | Windows 防火牆忽略規則的部分,因爲無法識別它的次要版本號。將強制執行該規則的其他部分。 |
| 4953 | 由於無法分析,Windows 防火牆將忽略規則。 |
| 4954 | Windows 防火牆組策略設置已更改,並且未應用新設置。 |
| 4956 | Windows 防火牆更改活動配置文件。 |
| 4957 | Windows 防火牆未應用以下規則: |
| 4958 | 因爲規則引用的項目未在此計算機上配置 Windows 防火牆未應用以下規則︰ |
| 5050 | 嘗試以編程方式禁用 Windows 防火牆使用 INetFwProfile.FirewallEnabled(FALSE) 接口的調用被拒絕,因爲此 API 不支持此版本的 Windows 上。這是最可能的原因是與此版本的 Windows 不兼容的程序。請聯繫該程序的製造商聯繫,以確保您具有兼容的程序版本。 |
子類別︰ 其他策略更改事件
| 標識 | 消息 |
|---|---|
| 4909 | TBS 的本地策略設置已更改。 |
| 4910 | TBS 的組策略設置已更改。 |
| 5063 | 加密提供程序操作。 |
| 5064 | 嘗試加密上下文操作。 |
| 5065 | 試圖執行加密上下文修改。 |
| 5066 | 加密函數操作。 |
| 5067 | 試圖執行的加密函數修改。 |
| 5068 | 試圖進行加密的功能提供程序操作。 |
| 5069 | 嘗試加密函數屬性操作。 |
| 5070 | 試圖執行的加密函數屬性修改。 |
| 5447 | Windows 篩選平臺篩選器已更改。 |
| 6144 | 已成功應用的組策略對象中的安全策略。 |
| 6145 | 處理組策略對象中的安全策略時出現一個或多個錯誤。 |
特殊的多用途子類別的子類別︰
注意:任何資源管理器可能會生成下面的事件及其子類別啓用。例如,通過註冊表資源管理器或文件系統資源管理器,可能會生成下面的事件。
| 標識 | 消息 |
|---|---|
| 4670 | 已更改對象上的權限。 |
類別︰ 特權使用
子類別︰ 敏感權限使用 / 非敏感權限使用
| 標識 | 消息 |
|---|---|
| 4672 | 分配給新的登錄特權。 |
| 4673 | 特權的服務被調用。 |
| 4674 | 試圖在特權對象上執行操作。 |
類別︰ 系統
子類別︰ IPsec 驅動程序
| 標識 | 消息 |
|---|---|
| 4960 | IPsec 丟棄入站的數據包的完整性檢查失敗。如果此問題仍然存在,它可能表明存在網絡問題或該數據包正在修改傳輸到這臺計算機中。驗證來自遠程計算機所發送的數據包接收到這臺計算機的相同。此錯誤還可能指示與其他 IPsec 實現互操作性問題。 |
| 4961 | IPsec 丟棄無法重播檢查入站的數據包。如果此問題仍然存在,它可能表明針對此計算機的重播攻擊。 |
| 4962 | IPsec 丟棄無法重播檢查入站的數據包。入站的數據包所太低的序列號,以確保它不是重播。 |
| 4963 | IPsec 丟棄應該保護的入站的明文數據包。如果遠程計算機請求出站 IPsec 策略配置,這可能是良性和預期。 這也可以致其 IPsec 策略更改而不通知此計算機的遠程計算機。這也可能是欺騙的攻擊企圖。 |
| 4965 | IPsec 將數據包來自遠程計算機具有不正確的安全參數索引 (SPI)。這通常是由有故障正在損壞數據包的硬件引起的。如果這些錯誤仍然存在,請驗證來自遠程計算機所發送的數據包接收到這臺計算機的相同。此錯誤還可能指示與其他 IPsec 實現互操作性問題。在這種情況下,如果不被阻礙的連接,然後這些事件可以忽略。 |
| 5478 | IPsec 策略代理服務已啓動。 |
| 5479 | IPsec 服務已成功關閉。IPsec 服務的關閉可以將網絡攻擊的風險更高的計算機或使計算機面臨安全隱患。 |
| 5480 | IPsec 策略代理無法獲取該計算機上的網絡接口的完整列表。這會造成潛在的安全風險,因爲某些網絡接口可能得不到通過應用 IPsec 篩選器提供的保護。IP 安全監視器管理單元中使用,用來診斷問題。 |
| 5483 | IPsec 策略代理服務未能初始化其 RPC 服務器。無法啓動該服務。 |
| 5484 | IPsec 策略代理服務遇到嚴重錯誤,已關閉。關閉此服務,可以將網絡攻擊的風險更高的計算機或使計算機面臨安全隱患。 |
| 5485 | IPsec 策略代理無法處理網絡接口插件播放事件上的一些 IPsec 篩選器。這會造成潛在的安全風險,因爲某些網絡接口可能得不到通過應用 IPsec 篩選器提供的保護。IP 安全監視器管理單元中使用,用來診斷問題。 |
子類別︰ 其他系統事件
| 標識 | 消息 |
|---|---|
| 5024 | Windows 防火牆服務已成功啓動。 |
| 5025 | Windows 防火牆服務已停止。 |
| 5027 | Windows 防火牆服務無法從本地存儲區中檢索的安全策略。Windows 防火牆將繼續執行當前的策略。 |
| 5028 | Windows 防火牆無法分析新的安全策略。Windows 防火牆將繼續執行當前的策略。 |
| 5029 | Windows 防火牆服務無法初始化該驅動程序。Windows 防火牆將繼續執行當前的策略。 |
| 5030 | Windows 防火牆服務無法啓動。 |
| 5032 | Windows 防火牆不能通知用戶它阻止接受傳入連接在網絡上的應用程序。 |
| 5033 | Windows 防火牆驅動程序已成功啓動。 |
| 5034 | Windows 防火牆驅動程序已停止。 |
| 5035 | Windows 防火牆驅動程序啓動失敗。 |
| 5037 | Windows 防火牆驅動程序檢測到嚴重的運行時錯誤,正在終止。 |
| 5058 | 密鑰文件操作。 |
| 5059 | 鍵遷移操作。 |
| 6400 | 發現內容的可用性時,分支緩存︰ 收到格式不正確的響應。 |
| 6401 | 分支緩存︰ 來自對等方接收到無效的數據。數據丟失。 |
| 6403 | 分支緩存︰ 託管的緩存發送格式不正確的響應客戶端。 |
| 6404 | 分支緩存︰ 託管的緩存無法驗證使用已設置的 SSL 證書。 |
| 6405 | 分支緩存中: %2 實例 id 爲 %1 的事件的發生。 |
| 6406 | 到 Windows 防火牆註冊爲以下用於篩選的控件的 %1: %2 |
| 6407 | 1% |
子類別︰ 安全狀態更改
| 標識 | 消息 |
|---|---|
| 4608 | Windows 正在啓動。 |
| 4616 | 更改系統時間。 |
| 4621 | 管理員已禁用組從恢復系統。現在將允許用戶不是管理員登錄。可能不記錄一些可審覈的活動。 |
子類別︰ 安全系統擴展
| 標識 | 消息 |
|---|---|
| 4610 | 已由本地安全機構加載身份驗證程序包。 |
| 4611 | 受信任的登錄進程已與本地安全機構註冊。 |
| 4614 | 安全帳戶管理器已加載通知程序包。 |
| 4622 | 安全程序包已由本地安全機構加載。 |
| 4697 | 在系統中已安裝的服務。 |
子類別︰ 系統完整性
| 標識 | 消息 |
|---|---|
| 4612 | 進行的審覈消息進行排隊而分配的內部資源已用盡,從而導致丟失的一些審計。 |
| 4615 | 使用 LPC 端口無效。 |
| 4618 | 監視的安全事件模式出現。 |
| 4816 | RPC 檢測到解密傳入消息時存在完整性衝突。 |
| 5038 | 代碼完整性取決於文件的圖像哈希是無效。該文件可能會損壞原因是未經授權的修改或無效哈希可能表明存在潛在的磁盤設備錯誤。 |
| 5056 | 執行加密的自我測試。 |
| 5057 | 當加密基元操作失敗。 |
| 5060 | 驗證操作失敗。 |
| 5061 | 加密操作。 |
| 5062 | 內核模式加密自檢未執行。 |
| 6281 | 代碼完整性確定圖像文件的網頁哈希值無效。該文件可能會不正確地簽名而無需頁面哈希或損壞原因是未經授權的修改。無效的哈希值可能表明存在潛在的磁盤設備錯誤 |
備註:
- 若要返回一個更詳細的所有安全審覈事件條目列表,在提升的命令提示符以管理員身份運行以下命令︰
wevtutil Microsoft -Windows-Security_Auditing gp /ge /gm:true
下面的示例顯示輸出的一部分︰event: value: 4706 version: 0 opcode: 0 channel: 10 level: 4 task: 0 keywords: 0x8000000000000000 message: A new trust was created to a domain. Subject: Security ID:%3 Account Name:%4 Account Domain:%5 Logon ID:%6 Trusted Domain: Domain Name:%1 Domain ID:%2 Trust Information: Trust Type:%7 Trust Direction:%8 Trust Attributes:%9 SID Filtering:%10 - 若要返回列表中的所有安全審覈類別和子類別,請以管理員身份在提升的命令提示符下運行以下命令︰
auditpol /list /subcategory: *