Windows 7和Windows Server 2008 R2 安全事件id的说明
简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
详细信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别︰ 帐户登录
子类别︰ 凭据验证
| 标识 | 消息 |
|---|---|
| 4774 | 帐户已登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据。 |
子类别︰ Kerberos 身份验证服务
| 标识 | 消息 |
|---|---|
| 4768 | Kerberos 身份验证票证 (TGT) 请求。 |
| 4771 | Kerberos 预身份验证失败。 |
| 4772 | Kerberos 身份验证票证请求失败。 |
子类别︰ Kerberos 服务票据操作
| 标识 | 消息 |
|---|---|
| 4769 | Kerberos 服务票证请求。 |
| 4770 | Kerberos 服务票证续订。 |
| 4773 | Kerberos 服务票证请求失败。 |
类别︰ 帐户管理
子类别︰ 应用程序组管理
| 标识 | 消息 |
|---|---|
| 4783 | 基本应用程序组已创建。 |
| 4784 | 基本应用程序组已更改。 |
| 4785 | 已将成员添加到基本应用程序组。 |
| 4786 | 已从基本应用程序组中删除成员。 |
| 4787 | 非成员被添加到基本应用程序组。 |
| 4788 | 非成员已从基本应用程序组。 |
| 4789 | 基本应用程序组已被删除。 |
| 4790 | 创建 LDAP 查询组。 |
| 4791 | 基本应用程序组已更改。 |
| 4792 | LDAP 查询组已被删除。 |
子类别︰ 计算机帐户管理
| 标识 | 消息 |
|---|---|
| 4741 | 计算机帐户已创建。 |
| 4742 | 计算机帐户已更改。 |
| 4743 | 计算机帐户已被删除。 |
子类别︰ 通讯组管理
| 标识 | 消息 |
|---|---|
| 4744 | 已创建禁用安全的本地组。 |
| 4745 | 禁用安全的本地组已更改。 |
| 4746 | 成员已添加至禁用安全的本地组。 |
| 4747 | 成员已从禁用安全的本地组中删除。 |
| 4748 | 已删除禁用安全的本地组。 |
| 4749 | 已创建禁用安全的全局组。 |
| 4750 | 禁用安全的全局组已更改。 |
| 4751 | 成员已添加至禁用安全的全局组。 |
| 4752 | 成员已从禁用安全的全局组删除。 |
| 4753 | 已删除禁用安全的全局组。 |
| 4759 | 已创建禁用安全的通用组。 |
| 4760 | 禁用安全的通用组已更改。 |
| 4761 | 成员已添加至禁用安全的通用组。 |
| 4762 | 成员已从禁用安全的通用组删除。 |
子类别︰ 其他帐户管理事件
| 标识 | 消息 |
|---|---|
| 4782 | 访问帐户的密码哈希。 |
| 4793 | 密码策略检查 API 被调用。 |
子类别︰ 安全组管理
| 标识 | 消息 |
|---|---|
| 4727 | 启用安全的全局组已创建。 |
| 4728 | 成员已添加至已启用安全的全局组。 |
| 4729 | 已从启用安全的全局组中删除成员。 |
| 4730 | 启用安全的全局组已删除。 |
| 4731 | 启用安全的本地组已创建。 |
| 4732 | 已将成员添加到启用安全的本地组。 |
| 4733 | 已从启用安全的本地组中删除成员。 |
| 4734 | 启用安全的本地组已删除。 |
| 4735 | 启用安全的本地组已更改。 |
| 4737 | 启用安全的全局组已更改。 |
| 4754 | 启用安全的通用组已创建。 |
| 4755 | 启用安全的通用组已更改。 |
| 4756 | 成员已添加至已启用安全的通用组。 |
| 4757 | 成员已从启用安全的通用组删除。 |
| 4758 | 启用安全的通用组已删除。 |
| 4764 | 组的类型已更改。 |
子类别︰ 用户帐户管理
| 标识 | 消息 |
|---|---|
| 4720 | 用户帐户已创建。 |
| 4722 | 用户帐户被启用。 |
| 4723 | 尝试更改帐户密码。 |
| 4724 | 尝试重置帐户密码。 |
| 4725 | 已禁用的用户帐户。 |
| 4726 | 用户帐户已被删除。 |
| 4738 | 用户帐户已更改。 |
| 4740 | 用户帐户被锁定。 |
| 4765 | SID 历史记录已添加到帐户。 |
| 4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
| 4767 | 用户帐户的锁定。 |
| 4780 | 在管理员组成员的帐户上设置 ACL。 |
| 4781 | 帐户名称已更改︰ |
| 4794 | 尝试设置目录服务还原模式。 |
| 5376 | 凭据管理器凭据进行备份。 |
| 5377 | 凭据管理器凭据已从备份中还原。 |
类别︰ 详细的跟踪
子类别︰ DPAPI 活动
| 标识 | 消息 |
|---|---|
| 4692 | 尝试进行备份的数据保护主密钥。 |
| 4693 | 尝试恢复数据保护主密钥。 |
| 4694 | 试图进行可审核的受保护数据的保护。 |
| 4695 | Unprotection 可审核的受保护数据的尝试。 |
子类别︰ 进程创建
| 标识 | 消息 |
|---|---|
| 4688 | 已创建一个新的进程。 |
| 4696 | 一个主令牌被分配来处理。 |
子类别︰ 终止进程
| 标识 | 消息 |
|---|---|
| 4689 | 进程已退出。 |
子类别︰ RPC 事件
| 标识 | 消息 |
|---|---|
| 5712 | 尝试执行远程过程调用 (RPC)。 |
类别︰ DS 访问
子类别︰ 详细的目录服务复制
| 标识 | 消息 |
|---|---|
| 4928 | 建立一个 Active Directory 复制副本源命名上下文。 |
| 4929 | 已删除 Active Directory 复制副本源命名上下文。 |
| 4930 | Active Directory 复制副本源命名上下文已被修改。 |
| 4931 | Active Directory 复制目标命名上下文已被修改。 |
| 4934 | Active Directory 对象的属性被复制。 |
| 4935 | 开始复制失败。 |
| 4936 | 复制失败结束。 |
| 4937 | 从副本中删除延迟对象。 |
子类别︰ 目录服务访问
| 标识 | 消息 |
|---|---|
| 4662 | 在对象上执行操作。 |
子类别︰ 目录服务更改
| 标识 | 消息 |
|---|---|
| 5136 | 目录服务对象已被修改。 |
| 5137 | 创建目录服务对象。 |
| 5138 | 未删除目录服务对象。 |
| 5139 | 目录服务对象已移动。 |
| 5141 | 目录服务对象已被删除。 |
子类别︰ 目录服务复制
| 标识 | 消息 |
|---|---|
| 4932 | Active Directory 命名上下文的副本的同步已开始。 |
| 4933 | Active Directory 命名上下文的副本的同步已结束。 |
类别︰ 登录/注销
子类别︰ IPsec 扩展模式
| 标识 | 消息 |
|---|---|
| 4978 | 在扩展的模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 4979 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4980 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4981 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4982 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4983 | IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。 |
| 4984 | IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。 |
子类别︰ IPsec 主模式
| 标识 | 消息 |
|---|---|
| 4646 | 启动 IKE DoS 保护模式。 |
| 4650 | 建立 IPsec 主模式安全关联。未启用扩展的模式。 不使用证书身份验证。 |
| 4651 | 建立 IPsec 主模式安全关联。未启用扩展的模式。 证书用于身份验证。 |
| 4652 | 主模式协商失败,IPsec。 |
| 4653 | 主模式协商失败,IPsec。 |
| 4655 | 结束了 IPsec 主模式安全关联。 |
| 4976 | 在主模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 5049 | 已删除 IPsec 安全关联。 |
| 5453 | IPsec 策略代理在计算机上应用了 Active Directory IPsec 策略存储。 |
子类别︰ IPsec 快速模式
| 标识 | 消息 |
|---|---|
| 4654 | 快速模式协商失败,IPsec。 |
| 4977 | 在快速模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 5451 | 建立 IPsec 快速模式安全关联。 |
| 5452 | 结束的 IPsec 快速模式安全关联。 |
子类别︰ 注销
| 标识 | 消息 |
|---|---|
| 4634 | 帐户被注销。 |
| 4647 | 用户启动注销过程。 |
子类别︰ 登录
| 标识 | 消息 |
|---|---|
| 4624 | 成功登录帐户。 |
| 4625 | 帐户登录失败。 |
| 4648 | 试图使用显式凭据登录。 |
| 4675 | 已筛选的 Sid。 |
子类别︰ 网络策略服务器
| 标识 | 消息 |
|---|---|
| 6272 | 网络策略服务器向用户授予访问权限。 |
| 6273 | 网络策略服务器拒绝用户访问。 |
| 6274 | 网络策略服务器放弃用户的请求。 |
| 6275 | 网络策略服务器丢弃用户记帐请求。 |
| 6276 | 网络策略服务器隔离用户。 |
| 6277 | 网络策略服务器授予访问权限的用户,但将其放上试用,因为主机不符合该定义的健康策略。 |
| 6278 | 网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。 |
| 6279 | 网络策略服务器锁定由于重复失败的验证尝试的用户帐户。 |
| 6280 | 网络策略服务器已解锁用户帐户。 |
子类别︰ 其他登录/注销事件
| 标识 | 消息 |
|---|---|
| 4649 | 检测到的重播攻击。 |
| 4778 | 到窗口站重新连接会话。 |
| 4779 | 从窗口站,会话已断开连接。 |
| 4800 | 锁定工作站。 |
| 4801 | 交互式地使用计算机。 |
| 4802 | 屏幕保护程序被调用。 |
| 4803 | 已关闭屏幕保护程序。 |
| 5378 | 请求的凭据委派是不允许的策略。 |
| 5632 | 请求对无线网络进行身份验证。 |
| 5633 | 请求进行身份验证的有线网络。 |
子类别︰ 特殊登录
| 标识 | 消息 |
|---|---|
| 4964 | 特殊组已分配到一个新的登录帐户。 |
类别︰ 对象访问
子类别︰ 应用程序生成
| 标识 | 消息 |
|---|---|
| 4665 | 尝试创建应用程序客户端上下文。 |
| 4666 | 应用程序试图执行的操作︰ |
| 4667 | 应用程序客户端上下文已被删除。 |
| 4668 | 应用程序已初始化。 |
子类别︰ 证书服务
| 标识 | 消息 |
|---|---|
| 4868 | 证书管理器拒绝了挂起的证书请求。 |
| 4869 | 证书服务收到重新提交的证书申请。 |
| 4870 | 证书服务吊销了证书。 |
| 4871 | 证书服务收到发行证书吊销列表 (CRL) 的请求。 |
| 4872 | 证书服务发行了证书吊销列表 (CRL)。 |
| 4873 | 更改了证书申请扩展。 |
| 4874 | 更改一个或多个证书申请属性。 |
| 4875 | 证书服务收到关闭请求。 |
| 4876 | 证书服务备份已启动。 |
| 4877 | 证书服务备份已完成。 |
| 4878 | 已开始证书服务还原。 |
| 4879 | 证书服务还原已完成。 |
| 4880 | 证书服务已启动。 |
| 4881 | 证书服务已停止。 |
| 4882 | 证书服务的安全权限已更改。 |
| 4883 | 证书服务检索到存档的密钥。 |
| 4884 | 证书服务将证书导入它的数据库。 |
| 4885 | 证书服务的审核筛选已更改。 |
| 4886 | 证书服务收到了一个证书申请。 |
| 4887 | 证书服务批准了证书申请并颁发了证书。 |
| 4888 | 证书服务拒绝证书请求。 |
| 4889 | 证书服务将证书请求状态设置为挂起。 |
| 4890 | 证书服务的证书管理器设置已更改。 |
| 4891 | 证书服务更改的配置项。 |
| 4892 | 证书服务的属性已更改。 |
| 4893 | 证书服务存档了密钥。 |
| 4894 | 证书服务导入和存档了密钥。 |
| 4895 | 证书服务发布到 Active Directory 域服务的 CA 证书。 |
| 4896 | 已从证书数据库删除一行或多行。 |
| 4897 | 启用角色分离︰ |
| 4898 | 证书服务加载模板。 |
| 4899 | 证书服务模板进行更新。 |
| 4900 | 证书服务模板安全性已更新。 |
| 5120 | OCSP 响应程序服务已启动。 |
| 5121 | OCSP 响应程序服务停止。 |
| 5122 | OCSP 响应程序服务中更改的配置项。 |
| 5123 | OCSP 响应程序服务中更改的配置项。 |
| 5124 | OCSP 响应程序服务已更新安全设置。 |
| 5125 | 请求已提交到 OCSP 响应程序服务。 |
| 5126 | OCSP 响应程序服务已自动更新签名证书。 |
| 5127 | OCSP 吊销提供程序已成功更新的吊销信息。 |
子类别︰ 详细的文件共享
| 标识 | 消息 |
|---|---|
| 5145 | 网络共享对象已检查以查看是否客户机可以被授予所需访问权限。 |
子类别︰ 文件共享
| 标识 | 消息 |
|---|---|
| 5140 | 访问网络共享对象。 |
| 5142 | 已添加网络共享对象。 |
| 5143 | 网络共享对象被修改。 |
| 5144 | 已删除网络共享对象。 |
| 5168 | SMB/SMB2 的 Spn 检查失败。 |
子类别︰ 文件系统
| 标识 | 消息 |
|---|---|
| 4664 | 尝试创建硬链接。 |
| 4985 | 交易记录的状态已更改。 |
| 5051 | 文件的虚拟化。 |
子类别︰ 筛选平台连接
| 标识 | 消息 |
|---|---|
| 5031 | Windows 防火墙服务阻止接受传入连接在网络上的应用程序。 |
| 5148 | Windows 筛选平台已检测到 DoS 攻击并进入防御模式;与这种攻击相关的数据包将被丢弃。 |
| 5149 | DoS 攻击减少,并正在继续正常处理。 |
| 5150 | Windows 筛选平台已阻止的数据包。 |
| 5151 | 限制性更强的 Windows 筛选平台过滤器已阻止数据包。 |
| 5154 | 要在端口上侦听传入连接的应用程序或服务允许 Windows 筛选平台。 |
| 5155 | Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。 |
| 5156 | Windows 筛选平台允许连接。 |
| 5157 | Windows 筛选平台已阻止连接。 |
| 5158 | Windows 筛选平台允许绑定到本地端口。 |
| 5159 | Windows 筛选平台已阻止绑定到本地端口。 |
子类别︰ 筛选平台数据包丢弃
| 标识 | 消息 |
|---|---|
| 5152 | Windows 筛选平台已阻止的数据包。 |
| 5153 | 限制性更强的 Windows 筛选平台过滤器已阻止数据包。 |
子类别︰ 句柄操作
| 标识 | 消息 |
|---|---|
| 4656 | 请求的对象的句柄。 |
| 4658 | 已关闭的对象句柄。 |
| 4690 | 尝试复制一个对象的句柄。 |
子类别︰ 其他对象访问事件
| 标识 | 消息 |
|---|---|
| 4671 | 应用程序试图访问被阻止的序号通过进行 tbs。 |
| 4691 | 请求的对象的间接访问。 |
| 4698 | 创建计划的任务。 |
| 4699 | 计划的任务已被删除。 |
| 4700 | 计划的任务已启用。 |
| 4701 | 已禁用计划的任务。 |
| 4702 | 已更新计划的任务。 |
| 4702 | 已更新计划的任务。 |
| 5888 | 在 COM + 目录中的对象已被修改。 |
| 5889 | 从 COM + 目录中删除对象。 |
| 5890 | 对象已添加到 COM + 目录中。 |
子类别︰ 注册表
| 标识 | 消息 |
|---|---|
| 4657 | 修改注册表值。 |
| 5039 | 注册表项被虚拟化。 |
特殊的多用途子类别的子类别︰
注意:任何资源管理器可能会生成下面的事件及其子类别启用。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。对象访问︰ 内核对象和对象访问︰ SAM子类别是以独占方式使用这些事件的子类别的示例。
| 标识 | 消息 |
|---|---|
| 4659 | 旨在通过删除请求的对象的句柄。 |
| 4660 | 对象已被删除。 |
| 4661 | 请求的对象的句柄。 |
| 4663 | 试图访问的对象。 |
类别︰ 策略更改
子类别︰ 审核策略更改
| 标识 | 消息 |
|---|---|
| 4715 | 已更改对象上的审核策略 (SACL)。 |
| 4719 | 系统审核策略已更改。 |
| 4817 | 已更改对象上的审核设置。 |
| 4902 | 每用户审核策略表已创建。 |
| 4904 | 尝试注册安全事件源。 |
| 4905 | 尝试取消安全事件源注册。 |
| 4906 | 禁用组值已更改。 |
| 4907 | 已更改对象上的审核设置。 |
| 4908 | 修改特殊组登录表格。 |
| 4912 | 每个用户审核策略已更改。 |
子类别︰ 身份验证策略更改
| 标识 | 消息 |
|---|---|
| 4706 | 向域创建新的信任。 |
| 4707 | 已删除对一个域的信任。 |
| 4713 | Kerberos 策略已更改。 |
| 4716 | 已修改受信任的域的信息。 |
| 4717 | 系统安全访问权限授予帐户。 |
| 4718 | 帐户已删除系统安全访问权限。 |
| 4739 | 域策略已更改。 |
| 4864 | 检测到的命名空间冲突。 |
| 4865 | 添加受信任的林信息条目。 |
| 4866 | 已删除受信任的林信息项。 |
| 4867 | 已修改受信任的林信息项。 |
子类别︰ 授权策略更改
| 标识 | 消息 |
|---|---|
| 4704 | 已分配用户权限。 |
| 4705 | 已删除了用户权限。 |
| 4714 | 已更改的数据恢复代理组策略的加密文件系统 (EFS)。新的更改尚未应用。 |
子类别︰ 筛选平台策略更改
| 标识 | 消息 |
|---|---|
| 4709 | IPsec 策略代理服务已启动。 |
| 4710 | 已禁用 IPsec 策略代理服务。 |
| 4711 | 可能包含下列之一︰
|
| 4712 | IPsec 策略代理遇到潜在的严重问题。 |
| 5040 | IPsec 设置已更改。已添加身份验证集。 |
| 5041 | IPsec 设置已更改。身份验证设置已被修改。 |
| 5042 | IPsec 设置已更改。身份验证设置已被删除。 |
| 5043 | IPsec 设置已更改。已添加的连接安全规则。 |
| 5044 | IPsec 设置已更改。连接安全规则已被修改。 |
| 5045 | IPsec 设置已更改。连接安全规则已被删除。 |
| 5046 | IPsec 设置已更改。添加加密设置。 |
| 5047 | IPsec 设置已更改。加密设置已被修改。 |
| 5048 | IPsec 设置已更改。加密设置已被删除。 |
| 5440 | 下面标注时 Windows 筛选平台基本筛选引擎启动时出现。 |
| 5441 | 下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。 |
| 5442 | 下列提供程序是 Windows 筛选平台基本筛选引擎启动时出现。 |
| 5443 | 当 Windows 筛选平台基本筛选引擎启动时存在下列提供程序上下文。 |
| 5444 | 下面的子图层时 Windows 筛选平台基本筛选引擎启动时出现。 |
| 5446 | 已更改 Windows 筛选平台标注。 |
| 5448 | 已更改 Windows 筛选平台提供商。 |
| 5449 | Windows 筛选平台提供程序上下文已被更改。 |
| 5450 | 已更改 Windows 筛选平台的子图层。 |
| 5456 | PAStore 引擎的计算机上应用 IPsec 策略的 Active Directory 存储。 |
| 5457 | IPsec 策略代理在计算机上应用 IPsec 策略的 Active Directory 存储失败。 |
| 5458 | 本地应用的 IPsec 策略代理缓存中的活动目录存储在计算机上的 IPsec 策略的副本。 |
| 5459 | IPsec 策略代理无法在计算机上应用 IPsec 策略的 Active Directory 存储的本地缓存的副本。 |
| 5460 | IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储。 |
| 5461 | IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储失败。 |
| 5462 | IPsec 策略代理无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。 |
| 5463 | IPsec 策略代理轮询的活动 IPsec 策略的更改,并检测到任何更改。 |
| 5464 | IPsec 策略代理对活动的 IPsec 策略更改轮询、 检测到更改,并且应用它们。 |
| 5465 | IPsec 策略代理收到用于 IPsec 策略的强制重新加载的控件,成功地处理该控件。 |
| 5466 | IPsec 策略代理轮询到活动目录 IPsec 策略中,已确定 Active Directory 无法访问,并将改为使用活动目录 IPsec 策略缓存的副本的更改。由于上次轮询不能应用到活动目录 IPsec 策略中做的任何更改。 |
| 5467 | IPsec 策略代理轮询更改活动目录 IPsec 策略,确定可以达到,并且找到策略没有更改 Active Directory 中。活动目录 IPsec 策略缓存的副本不再被使用。 |
| 5468 | IPsec 策略代理轮询更改到活动目录 IPsec 策略中,已确定 Active Directory 可以达到,找到更改策略,并应用这些更改。活动目录 IPsec 策略缓存的副本不再被使用。 |
| 5471 | IPsec 策略代理加载本地存储在计算机上的 IPsec 策略。 |
| 5472 | IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。 |
| 5473 | IPsec 策略代理加载目录存储在计算机上的 IPsec 策略。 |
| 5474 | IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。 |
| 5477 | IPsec 策略代理无法添加快速模式筛选器。 |
子类别︰ mpssvc 规则级别策略更改
| 标识 | 消息 |
|---|---|
| 4944 | 当启动 Windows 防火墙时,以下策略处于活动状态。 |
| 4945 | 当启动 Windows 防火墙已列出规则。 |
| 4946 | Windows 防火墙例外列表已更改。添加的规则。 |
| 4947 | Windows 防火墙例外列表已更改。修改规则的。 |
| 4948 | Windows 防火墙例外列表已更改。规则已被删除。 |
| 4949 | Windows 防火墙设置都恢复为默认值。 |
| 4950 | 更改 Windows 防火墙设置。 |
| 4951 | Windows 防火墙忽略规则,因为无法识别的主要版本号。 |
| 4952 | Windows 防火墙忽略规则的部分,因为无法识别它的次要版本号。将强制执行该规则的其他部分。 |
| 4953 | 由于无法分析,Windows 防火墙将忽略规则。 |
| 4954 | Windows 防火墙组策略设置已更改,并且未应用新设置。 |
| 4956 | Windows 防火墙更改活动配置文件。 |
| 4957 | Windows 防火墙未应用以下规则: |
| 4958 | 因为规则引用的项目未在此计算机上配置 Windows 防火墙未应用以下规则︰ |
| 5050 | 尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持此版本的 Windows 上。这是最可能的原因是与此版本的 Windows 不兼容的程序。请联系该程序的制造商联系,以确保您具有兼容的程序版本。 |
子类别︰ 其他策略更改事件
| 标识 | 消息 |
|---|---|
| 4909 | TBS 的本地策略设置已更改。 |
| 4910 | TBS 的组策略设置已更改。 |
| 5063 | 加密提供程序操作。 |
| 5064 | 尝试加密上下文操作。 |
| 5065 | 试图执行加密上下文修改。 |
| 5066 | 加密函数操作。 |
| 5067 | 试图执行的加密函数修改。 |
| 5068 | 试图进行加密的功能提供程序操作。 |
| 5069 | 尝试加密函数属性操作。 |
| 5070 | 试图执行的加密函数属性修改。 |
| 5447 | Windows 筛选平台筛选器已更改。 |
| 6144 | 已成功应用的组策略对象中的安全策略。 |
| 6145 | 处理组策略对象中的安全策略时出现一个或多个错误。 |
特殊的多用途子类别的子类别︰
注意:任何资源管理器可能会生成下面的事件及其子类别启用。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
| 标识 | 消息 |
|---|---|
| 4670 | 已更改对象上的权限。 |
类别︰ 特权使用
子类别︰ 敏感权限使用 / 非敏感权限使用
| 标识 | 消息 |
|---|---|
| 4672 | 分配给新的登录特权。 |
| 4673 | 特权的服务被调用。 |
| 4674 | 试图在特权对象上执行操作。 |
类别︰ 系统
子类别︰ IPsec 驱动程序
| 标识 | 消息 |
|---|---|
| 4960 | IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表明存在网络问题或该数据包正在修改传输到这台计算机中。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。 |
| 4961 | IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。 |
| 4962 | IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保它不是重播。 |
| 4963 | IPsec 丢弃应该保护的入站的明文数据包。如果远程计算机请求出站 IPsec 策略配置,这可能是良性和预期。 这也可以致其 IPsec 策略更改而不通知此计算机的远程计算机。这也可能是欺骗的攻击企图。 |
| 4965 | IPsec 将数据包来自远程计算机具有不正确的安全参数索引 (SPI)。这通常是由有故障正在损坏数据包的硬件引起的。如果这些错误仍然存在,请验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。在这种情况下,如果不被阻碍的连接,然后这些事件可以忽略。 |
| 5478 | IPsec 策略代理服务已启动。 |
| 5479 | IPsec 服务已成功关闭。IPsec 服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。 |
| 5480 | IPsec 策略代理无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。 |
| 5483 | IPsec 策略代理服务未能初始化其 RPC 服务器。无法启动该服务。 |
| 5484 | IPsec 策略代理服务遇到严重错误,已关闭。关闭此服务,可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。 |
| 5485 | IPsec 策略代理无法处理网络接口插件播放事件上的一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。 |
子类别︰ 其他系统事件
| 标识 | 消息 |
|---|---|
| 5024 | Windows 防火墙服务已成功启动。 |
| 5025 | Windows 防火墙服务已停止。 |
| 5027 | Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。 |
| 5028 | Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。 |
| 5029 | Windows 防火墙服务无法初始化该驱动程序。Windows 防火墙将继续执行当前的策略。 |
| 5030 | Windows 防火墙服务无法启动。 |
| 5032 | Windows 防火墙不能通知用户它阻止接受传入连接在网络上的应用程序。 |
| 5033 | Windows 防火墙驱动程序已成功启动。 |
| 5034 | Windows 防火墙驱动程序已停止。 |
| 5035 | Windows 防火墙驱动程序启动失败。 |
| 5037 | Windows 防火墙驱动程序检测到严重的运行时错误,正在终止。 |
| 5058 | 密钥文件操作。 |
| 5059 | 键迁移操作。 |
| 6400 | 发现内容的可用性时,分支缓存︰ 收到格式不正确的响应。 |
| 6401 | 分支缓存︰ 来自对等方接收到无效的数据。数据丢失。 |
| 6403 | 分支缓存︰ 托管的缓存发送格式不正确的响应客户端。 |
| 6404 | 分支缓存︰ 托管的缓存无法验证使用已设置的 SSL 证书。 |
| 6405 | 分支缓存中: %2 实例 id 为 %1 的事件的发生。 |
| 6406 | 到 Windows 防火墙注册为以下用于筛选的控件的 %1: %2 |
| 6407 | 1% |
子类别︰ 安全状态更改
| 标识 | 消息 |
|---|---|
| 4608 | Windows 正在启动。 |
| 4616 | 更改系统时间。 |
| 4621 | 管理员已禁用组从恢复系统。现在将允许用户不是管理员登录。可能不记录一些可审核的活动。 |
子类别︰ 安全系统扩展
| 标识 | 消息 |
|---|---|
| 4610 | 已由本地安全机构加载身份验证程序包。 |
| 4611 | 受信任的登录进程已与本地安全机构注册。 |
| 4614 | 安全帐户管理器已加载通知程序包。 |
| 4622 | 安全程序包已由本地安全机构加载。 |
| 4697 | 在系统中已安装的服务。 |
子类别︰ 系统完整性
| 标识 | 消息 |
|---|---|
| 4612 | 进行的审核消息进行排队而分配的内部资源已用尽,从而导致丢失的一些审计。 |
| 4615 | 使用 LPC 端口无效。 |
| 4618 | 监视的安全事件模式出现。 |
| 4816 | RPC 检测到解密传入消息时存在完整性冲突。 |
| 5038 | 代码完整性取决于文件的图像哈希是无效。该文件可能会损坏原因是未经授权的修改或无效哈希可能表明存在潜在的磁盘设备错误。 |
| 5056 | 执行加密的自我测试。 |
| 5057 | 当加密基元操作失败。 |
| 5060 | 验证操作失败。 |
| 5061 | 加密操作。 |
| 5062 | 内核模式加密自检未执行。 |
| 6281 | 代码完整性确定图像文件的网页哈希值无效。该文件可能会不正确地签名而无需页面哈希或损坏原因是未经授权的修改。无效的哈希值可能表明存在潜在的磁盘设备错误 |
备注:
- 若要返回一个更详细的所有安全审核事件条目列表,在提升的命令提示符以管理员身份运行以下命令︰
wevtutil Microsoft -Windows-Security_Auditing gp /ge /gm:true
下面的示例显示输出的一部分︰event: value: 4706 version: 0 opcode: 0 channel: 10 level: 4 task: 0 keywords: 0x8000000000000000 message: A new trust was created to a domain. Subject: Security ID:%3 Account Name:%4 Account Domain:%5 Logon ID:%6 Trusted Domain: Domain Name:%1 Domain ID:%2 Trust Information: Trust Type:%7 Trust Direction:%8 Trust Attributes:%9 SID Filtering:%10 - 若要返回列表中的所有安全审核类别和子类别,请以管理员身份在提升的命令提示符下运行以下命令︰
auditpol /list /subcategory: *
-
参考:https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008