DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 947226 - Geändert am: Montag, 20. Mai 2013 - Version: 10.0

 

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt verschiedene Sicherheits- und Überwachungsereignisse Ereignisse in Windows Vista und Windows Server 2008. Dieser Artikel enthält auch Informationen dazu, wie Sie diese Ereignisse zu interpretieren. Diese Ereignisse im Sicherheitsprotokoll angezeigt werden und werden protokolliert, mit der Quelle "Security-Auditing." Dieser Artikel beschreibt auch das Abrufen von beschreibende Daten zu Ereignissen.

Weitere Informationen

Dieser Abschnitt listet alle Windows Vista Audit-bezogene Sicherheitsereignisse nach Kategorie und Unterkategorie.

Kategorie: Kontoanmeldung

Unterkategorie: Überprüfung der Anmeldeinformationen

Tabelle minimierenTabelle vergrößern
IDNachricht
4774Ein Konto wurde für die Anmeldung zugeordnet.
4775Ein Konto konnte nicht für die Anmeldung zugeordnet werden.
4776Der Domänencontroller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.
4777Der Domänencontroller konnte die Anmeldeinformationen für ein Konto nicht überprüfen.

Unterkategorie: Kerberos-Authentifizierungsdienst

Tabelle minimierenTabelle vergrößern
IDNachricht
4768Ein Kerberos-Authentifizierung-Ticket (TGT) wurde angefordert.
4771Kerberos Vorbestätigung ist fehlgeschlagen.
4772Eine Anfrage für Authentifizierungsticket Kerberos ist fehlgeschlagen.

Unterkategorie: Kerberos-Ticket Dienstvorgänge

Tabelle minimierenTabelle vergrößern
IDNachricht
4769Ein Kerberos-Dienstticket wurde angefordert.
4770Ein Kerberos-Dienstticket wurde erneuert.
4773Eine Anfrage für Dienstticket Kerberos ist fehlgeschlagen.

Kategorie: Account-Management

Unterkategorie: Anwendungsgruppe Management

Tabelle minimierenTabelle vergrößern
IDNachricht
4783Eine Basisanwendungsgruppe wurde erstellt.
4784Eine Basisanwendungsgruppe wurde geändert.
4785Eine Basisanwendungsgruppe wurde ein Mitglied hinzugefügt.
4786Ein Mitglied wurde aus eine Basisanwendungsgruppe entfernt.
4787Eine Basisanwendungsgruppe wurde nicht als Mitglied hinzugefügt.
4788Ein nicht-Mitglied wurde aus eine Basisanwendungsgruppe entfernt.
4789Eine Basisanwendungsgruppe wurde gelöscht.
4790Eine LDAP-Abfragegruppe wurde erstellt.
4791Eine Basisanwendungsgruppe wurde geändert.
4792Eine LDAP-Abfragegruppe wurde gelöscht.

Unterkategorie: Computer Account Management

Tabelle minimierenTabelle vergrößern
IDNachricht
4741Ein Computerkonto wurde erstellt.
4742Ein Computerkonto wurde geändert.
4743Ein Computerkonto wurde gelöscht.

Unterkategorie: Verteilergruppe Management

Tabelle minimierenTabelle vergrößern
IDNachricht
4744Eine lokale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4745Eine lokale Gruppe mit deaktivierter Sicherheit wurde geändert.
4746Ein Mitglied wurde zu einer lokalen Gruppe mit deaktivierter Sicherheit hinzugefügt.
4747Ein Mitglied wurde aus einer lokalen Gruppe mit deaktivierter Sicherheit entfernt.
4748Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4749Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt.
4750Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert.
4751Eine globale Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4752Ein Mitglied wurde aus einer globalen Gruppe mit deaktivierter Sicherheit entfernt.
4753Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
4759Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt.
4760Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert.
4761Ein Mitglied wurde zu einer universellen Gruppe mit deaktivierter Sicherheit hinzugefügt.
4762Ein Mitglied wurde aus einer universellen Gruppe mit deaktivierter Sicherheit entfernt.

Unterkategorie: Andere Kontoverwaltungsereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
4739Domänenrichtlinie wurde geändert.
4782Der Kennworthash ein Konto wurde abgerufen.
4793Der Kennwort-Richtlinie überprüft-API wurde aufgerufen.

Unterkategorie: Sicherheitsgruppenverwaltung

Tabelle minimierenTabelle vergrößern
IDNachricht
4727Eine globale Gruppe mit aktivierter Sicherheit wurde erstellt.
4728Eine globale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4729Ein Mitglied wurde aus einer globalen Gruppe mit aktivierter Sicherheit entfernt.
4730Eine globale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4731Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt.
4732Eine lokale Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4733Ein Mitglied wurde aus einer lokalen Gruppe mit aktivierter Sicherheit entfernt.
4734Eine lokale Gruppe mit aktivierter Sicherheit wurde gelöscht.
4735Eine lokale Gruppe mit aktivierter Sicherheit wurde geändert.
4737Eine globale Gruppe mit aktivierter Sicherheit wurde geändert.
4754Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt.
4755Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert.
4756Eine universelle Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
4757Ein Mitglied wurde aus einer universellen Gruppe mit aktivierter Sicherheit entfernt.
4758Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht.
4764Ein Gruppentyp wurde geändert.

Unterkategorie: Verwaltung von Benutzerkonten

Tabelle minimierenTabelle vergrößern
IDNachricht
4720Ein Benutzerkonto wurde erstellt.
4722Ein Benutzerkonto wurde aktiviert.
4723Es wurde versucht, ein Kontokennwort ändern.
4724Es wurde versucht, ein Konto-Kennwort zurücksetzen.
4725Ein Benutzerkonto wurde deaktiviert.
4726Ein Benutzerkonto wurde gelöscht.
4738Ein Benutzerkonto wurde geändert.
4740Ein Benutzerkonto wurde gesperrt.
4765SID History wurde ein Konto hinzugefügt.
4766SID History ein Konto hinzufügen ist fehlgeschlagen.
4767Ein Benutzerkonto wurde freigegeben.
4780Die ACL wurde für Konten verwendet, die Mitglieder der Administratorgruppen sind.
4781Der Name eines Kontos wurde geändert:
4794Es wurde versucht, den Verzeichnisdienste-Wiederherstellungsmodus festlegen.
5376Anmeldeinformations-Manager Anmeldeinformationen wurden gesichert.
5377Anmeldeinformations-Manager Anmeldeinformationen wurden von einer Sicherung wiederhergestellt.

Kategorie: Detaillierte Überwachung

Unterkategorie: DPAPI Aktivität

Tabelle minimierenTabelle vergrößern
IDNachricht
4692Sicherung der Datensicherungs-Hauptschlüssel wurde versucht.
4693Recovery von Datensicherungs-Hauptschlüssel wurde versucht.
4694Schutz der geschützten Daten überwachbare bezog.
4695Unprotection überwachbare geschützter Daten bezog.

Unterkategorie: Prozesserstellung

Tabelle minimierenTabelle vergrößern
IDNachricht
4688Ein neuer Prozess wurde erstellt.
4696Ein primäres Token zugewiesen wurde verarbeitet.

Unterkategorie: Prozessbeendigung

Tabelle minimierenTabelle vergrößern
IDNachricht
4689Ein Prozess wurde beendet.

Unterkategorie: RPC-Ereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
5712Ein Remote Procedure Call (RPC) bezog.

Kategorie: DS-Zugriff

Unterkategorie: Detaillierte Verzeichnisdienstreplikation

Tabelle minimierenTabelle vergrößern
IDNachricht
4928Ein Namenskontext Active Directory Replikat Quelle wurde hergestellt.
4929Ein Namenskontext Active Directory Replikat Quelle wurde entfernt.
4930Ein Namenskontext Active Directory Replikat Quelle geändert wurde.
4931Ein Active Directory für die Replikat-Zielnamenskontext wurde geändert.
4934Attribute der Active Directory-Objekt repliziert wurden.
4935Replikationsfehler beginnt.
4936Replikationsfehler endet.
4937Ein veraltetes Objekt wurde von einem Replikat entfernt.

Unterkategorie: Active Directory-Zugriff

Tabelle minimierenTabelle vergrößern
IDNachricht
4662Für ein Objekt wurde eine Operation ausgeführt.

Unterkategorie: Verzeichnisdienständerungen

Tabelle minimierenTabelle vergrößern
IDNachricht
5136Ein Verzeichnisdienstobjekt wurde geändert.
5137Ein Verzeichnisdienstobjekt wurde erstellt.
5138Ein Verzeichnisdienstobjekt wurde wiederhergestellt.
5139Ein Verzeichnisdienstobjekt wurde verschoben.

Hinweis Das folgende Ereignis in der Unterkategorie Verzeichnisdienständerungen ist nur in Windows Vista Service Pack 1 und Windows Server 2008 verfügbar.
Tabelle minimierenTabelle vergrößern
IDNachricht
5141Ein Verzeichnisdienstobjekt wurde gelöscht.

Unterkategorie: Directory-Replikation

Tabelle minimierenTabelle vergrößern
IDNachricht
4932Synchronisierung eines Replikats einer Active Directory naming Context begonnen hat.
4933Synchronisierung eines Replikats einer Active Directory-Namenskontext wurde beendet.

Kategorie: Anmelden/Abmelden

Unterkategorie: IPSec-Erweiterungsmodus

Tabelle minimierenTabelle vergrößern
IDNachricht
4978Während der Aushandlung im erweiterten Modus hat IPsec eine ungültige Aushandlung-Paket empfangen. Wenn das Problem weiterhin besteht, könnte dies auf ein Netzwerkproblem oder ein Versuch, ändern oder diese Aushandlung wiedergeben hinweisen.
4979IPSec-Hauptmodus und Erweiterungsmodus-Sicherheitszuordnungen eingerichtet wurden.
4980IPSec-Hauptmodus und Erweiterungsmodus-Sicherheitszuordnungen eingerichtet wurden.
4981IPSec-Hauptmodus und Erweiterungsmodus-Sicherheitszuordnungen eingerichtet wurden.
4982IPSec-Hauptmodus und Erweiterungsmodus-Sicherheitszuordnungen eingerichtet wurden.
4983Eine IPsec-Erweiterungsmodus-Aushandlung ist fehlgeschlagen. Die entsprechende Hauptmodus-Sicherheitszuordnung wurde gelöscht.
4984Eine IPsec-Erweiterungsmodus-Aushandlung ist fehlgeschlagen. Die entsprechende Hauptmodus-Sicherheitszuordnung wurde gelöscht.

Unterkategorie: IPSec-Hauptmodus

Tabelle minimierenTabelle vergrößern
IDNachricht
4646IKE DoS-Schutzmodus wurde gestartet.
4650Eine IPSec-Hauptmodus-Sicherheitszuordnung wurde hergestellt. Im erweiterter Modus wurde nicht aktiviert. Authentifizierung des Zertifikats wurde nicht verwendet.
4651Eine IPSec-Hauptmodus-Sicherheitszuordnung wurde hergestellt. Im erweiterter Modus wurde nicht aktiviert. Ein Zertifikat wurde für die Authentifizierung verwendet.
4652Eine IPSec-Hauptmodus-Aushandlung ist fehlgeschlagen.
4653Eine IPSec-Hauptmodus-Aushandlung ist fehlgeschlagen.
4655Eine IPSec-Hauptmodus-Sicherheitszuordnung wurde beendet.
4976Während der Aushandlung im Hauptmodus empfangen IPsec ein Paket ungültiger Aushandlung. Wenn das Problem weiterhin besteht, könnte dies auf ein Netzwerkproblem oder ein Versuch, ändern oder diese Aushandlung wiedergeben hinweisen.
5049Eine IPSec-Sicherheitszuordnung wurde gelöscht.
5453Eine IPSec-Aushandlung mit einem remote-Computer ist fehlgeschlagen, da der IKE- und AuthIP IPsec-Keying-Module (IKEEXT) Dienst nicht gestartet wurde.

Unterkategorie: IPSec-Schnellmodus

Tabelle minimierenTabelle vergrößern
IDNachricht
4654Eine IPSec-Schnellmodus-Aushandlung ist fehlgeschlagen.
4977IPsec erhielt während der Aushandlung des Schnellmodus ein Paket ungültiger Aushandlung. Wenn das Problem weiterhin besteht, könnte dies auf ein Netzwerkproblem oder ein Versuch, ändern oder diese Aushandlung wiedergeben hinweisen.
5451Eine IPSec-Schnellmodus-Sicherheitszuordnung wurde hergestellt.
5452Eine IPSec-Schnellmodus-Sicherheitszuordnung wurde beendet.

Unterkategorie: abmelden

Tabelle minimierenTabelle vergrößern
IDNachricht
4634Ein Konto wurde abgemeldet.
4647Ein Benutzer hat eine Abmeldung gestartet.

Unterkategorie: Anmeldung

Tabelle minimierenTabelle vergrößern
IDNachricht
4624Ein Konto wurde erfolgreich angemeldet.
4625Die Anmeldung eines Kontos ist fehlgeschlagen.
4648Es wurde eine Anmeldung mit expliziten Anmeldeinformationen versucht.
4675SIDs gefiltert wurden.
Hinweis Alle Ereignisse in der Unterkategorie Network Policy Server sind nur in Windows Vista Service Pack 1 und Windows Server 2008 verfügbar.

Unterkategorie: Network Policy Server

Tabelle minimierenTabelle vergrößern
IDNachricht
6272Network Policy Server ein Benutzer Zugriff gewährt.
6273Network Policy Server der Zugriff auf einen Benutzer verweigert.
6274Network Policy Server verworfen, die Anforderung für einen Benutzer.
6275Network Policy Server verworfen Accounting-Request für einen Benutzer.
6276Network Policy Server isoliert einen Benutzer.
6277Network Policy Server Zugriff auf einen Benutzer gewährt, aber auf Bewährung setzen, da der Host definierten Integritätsrichtlinie nicht erfüllt hat.
6278Network Policy Server an einen Benutzer vollständigen Zugriff gewährt, da der Host definierten Integritätsrichtlinie erfüllt.
6279Network Policy Server gesperrt das Benutzerkonto aufgrund wiederholter fehlgeschlagene Authentifizierungsversuche.
6280Network Policy Server nicht das Benutzerkonto gesperrt.

Unterkategorie: Andere Anmelde-/Abmeldeereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
4649Ein Replay-Angriff wurde erkannt.
4778Eine Sitzung wurde mit einer Windowstation verbunden.
4779Eine Sitzung wurde von einer Station Fenster getrennt.
4800Die Arbeitsstation wurde gesperrt .
4801Die Sperrung der Arbeitsstation wurde aufgehoben.
4802Der Bildschirmschoner wurde aufgerufen.
4803Der Bildschirmschoner wurde abgewiesen.
5378Die angeforderten Anmeldeinformationen Delegierung wurde durch die Richtlinie nicht zugelassen.
5632Eine Anforderung erfolgte mit einem drahtlosen Netzwerk authentifizieren.
5633Anforderung an ein verkabeltes Netzwerk zu authentifizieren.

Unterkategorie: Spezielle Anmeldung

Tabelle minimierenTabelle vergrößern
IDNachricht
4964Sondergruppen haben eine neue Anmeldung zugewiesen wurde.

Kategorie: Objektzugriff

Unterkategorie: Anwendung generiert

Tabelle minimierenTabelle vergrößern
IDNachricht
4665Versuch einen Anwendung Clientkontext zu erstellen.
4666Eine Anwendung hat versucht, eine Operation:
4667Ein Anwendung Clientkontext wurde gelöscht.
4668Eine Anwendung initialisiert wurde.

Unterkategorie: Zertifizierungsdienste

Tabelle minimierenTabelle vergrößern
IDNachricht
4868Die Zertifikatverwaltung lehnte eine ausstehende Zertifikatanforderung.
4869Die Zertifikatdienste haben eine erneut gestellte Zertifikatanforderung erhalten.
4870Ein Zertifikat wurde gesperrt.
4871Die Zertifikatdienste haben eine Anforderung zum Veröffentlichen der Zertifikatssperrliste (CRL) erhalten.
4872Die Zertifikatdienste haben die Zertifikatssperrliste (CRL) veröffentlicht.
4873Eine Zertifikatanforderungserweiterung wurde geändert.
4874Eine oder mehrere Zertifikatanforderungsattribute wurden geändert.
4875Die Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten.
4876Die Sicherung der Zertifikatdienste wurde gestartet.
4877Die Sicherung der Zertifikatdienste wurde abgeschlossen.
4878Die Wiederherstellung der Zertifikatdienste wurde gestartet.
4879Beendet die Wiederherstellung der Zertifikatdienste.
4880Die Zertifikatsdienste gestartet.
4881Die Zertifikatdienste wurden beendet.
4882Die Sicherheitsberechtigungen für die Zertifikatdienste wurden geändert.
4883Zertifikatsdienste wiedergefunden einen archivierten Schlüssel.
4884Zertifikatsdienste importiert ein Zertifikat in seiner Datenbank.
4885Der Audit-Filter für die Zertifikatdienste geändert.
4886Die Zertifikatdienste haben eine Zertifikatanforderung erhalten.
4887Zertifikatdienste eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt wurde.
4888Eine Zertifikat-Anforderung wurde abgelehnt.
4889Zertifikatdienste haben den Status einer Zertifikatanforderung auf Ausstehend festgelegt.
4890Die Zertifikat-Manager-Einstellungen für die Zertifikatdienste geändert.
4891Ein Konfigurationseintrag in den Zertifikatdiensten geändert.
4892Eine Eigenschaft der Zertifikatdienste geändert.
4893Zertifikatdienste haben einen Schlüssel archiviert.
4894Zertifikatdienste importiert und haben einen Schlüssel archiviert.
4895Das CA-Zertifikat veröffentlicht auf dem Active Directory-Domänendienste.
4896Eine oder mehrere Zeilen wurden aus der Zertifikatdatenbank gelöscht.
4897Rollentrennung aktiviert:
4898Zertifikatdienste geladen, eine Vorlage.
4899Eine Vorlage für die Zertifikatsdienste wurde aktualisiert.
4900Services-Vorlage Zertifikatsicherheit wurde aktualisiert.
5120OCSP-Responder-Dienst gestartet.
5121OCSP-Antwortdienst wurde beendet.
5122Ein Konfigurationseintrag in den OCSP-Antwortdienst geändert.
5123Ein Konfigurationseintrag in den OCSP-Antwortdienst geändert.
5124Eine Sicherheitseinstellung wurde am OCSP-Responder-Dienst aktualisiert.
5125OCSP-Antwortdienst wurde ein Antrag gestellt.
5126Signaturzertifikat wurde durch die OCSP-Responder-Dienst automatisch aktualisiert.
5127Der OCSP-Sperranbieter wird die Sperrungsinformationen erfolgreich aktualisiert.

Unterkategorie: Dateifreigabe

Tabelle minimierenTabelle vergrößern
IDNachricht
5140Ein Netzwerk Freigabe zugegriffen.

Unterkategorie: Dateisystem

Tabelle minimierenTabelle vergrößern
IDNachricht
4664Es wurde versucht, eine feste Verknüpfung zu erstellen.
4985Der Status einer Transaktion hat sich geändert.
5051Eine Datei wurde virtualisiert.

Unterkategorie: Filtering Platform Verbindung

Tabelle minimierenTabelle vergrößern
IDNachricht
5031Der Windows-Firewalldienst blockiert eine Anwendung keine eingehende Verbindungen im Netzwerk.
5154Der Windows-Filterplattform hat eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwachen erlaubt.
5155Der Windows-Filterplattform hat eine Anwendung oder ein Dienst einen Port für eingehende Verbindungen überwacht blockiert.
5156Der Windows-Filterplattform hat eine Verbindung erlaubt.
5157Der Windows-Filterplattform hat eine Verbindung blockiert.
5158Der Windows-Filterplattform hat eine Bindung an einen lokalen Port erlaubt.
5159Der Windows-Filterplattform hat eine Bindung an einen lokalen Anschluss blockiert.

Unterkategorie: Filtering Platform Paket Drop

Tabelle minimierenTabelle vergrößern
IDNachricht
5152Der Windows-Filterplattform geblockt ein Paket.
5153Ein restriktiver Windows-Filterplattform-Filter hat ein Paket blockiert.

Unterkategorie: Handle Manipulation

Tabelle minimierenTabelle vergrößern
IDNachricht
4656Ein Handle für ein Objekt wurde angefordert.
4658Das Handle für ein Objekt wurde geschlossen.
4690Es wurde versucht, ein Handle für ein Objekt zu duplizieren.

Unterkategorie: Andere Objektzugriffsereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
4671Eine Anwendung hat versucht, eine blockierte Ordnungszahl über TBS zugreifen
4691Indirekter Zugriff auf ein Objekt wurde angefordert.
4698Ein geplanter Task wurde erstellt.
4699Ein geplanter Task wurde gelöscht.
4700Ein geplanter Task wurde aktiviert.
4701Ein geplanter Task wurde deaktiviert.
4702Ein geplanter Task wurde aktualisiert.
5888Ein Objekt in der COM+-Katalog wurde geändert.
5889Ein Objekt wurde aus dem COM+-Katalog gelöscht.
5890COM+-Katalog wurde ein Objekt hinzugefügt.

Unterkategorie: Registrierung

Tabelle minimierenTabelle vergrößern
IDNachricht
4657Ein Registrierungswert geändert wurde.
5039Ein Registrierungsschlüssel wurde virtualisiert.

Unterkategorie: Spezielle Mehrzweck-Unterkategorie

Hinweis Das folgende Ereignis kann von Ressourcen-Manager generiert werden, wenn die zugehörigen Unterkategorien aktiviert ist. Das folgende Ereignis kann z. B. durch den Registrierungs-Ressourcen-Manager oder der Dateisystem-Ressourcen-Manager generiert werden. Die Unterkategorien "Access: Kernel Object" und "Object Access: SAM" sind Beispiele für Unterkategorien, die ausschließlich diese Ereignisse verwenden.
Tabelle minimierenTabelle vergrößern
IDNachricht
4659Ein Handle für ein Objekt wurde mit Absicht so löschen Sie angefordert.
4660Ein Objekt wurde gelöscht.
4661Ein Handle für ein Objekt wurde angefordert.
4663Es wurde versucht, auf ein Objekt zuzugreifen.

Kategorie: Richtlinienänderung

Unterkategorie: Richtlinienänderungen

Tabelle minimierenTabelle vergrößern
IDNachricht
4715Die Überwachungsrichtlinie (Systemzugriffssteuerungsliste SACL) für ein Objekt wurde geändert.
4719-Überwachungsrichtlinie wurde geändert.
4902Der pro-Benutzer-Audit-Tabelle erstellt wurde.
4904Es wurde versucht, eine Sicherheit Ereignisquelle registrieren.
4905Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben.
4906Der Wert "CrashOnAuditFail" wurde geändert.
4907Überwachungseinstellungen für Objekt geändert wurden.
4908Spezielle Gruppen Anmeldung Tabelle geändert.
4912Pro Benutzer Überwachungsrichtlinie wurde geändert.

Unterkategorie: Authentifizierung-Richtlinienänderung

Tabelle minimierenTabelle vergrößern
IDNachricht
4706Eine neue Vertrauensstellung wurde zu einer Domäne erstellt.
4707Eine Vertrauensstellung zu einer Domäne wurde entfernt.
4713Kerberos-Richtlinie wurde geändert.
4716Informationen über vertrauenswürdige Domäne wurde geändert.
4717Sicherheit Systemzugriff wurde einem Konto gewährt.
4718Sicherheit Systemzugriff wurde von einem Konto entfernt.
4864Ein Namespace-Konflikt wurde erkannt.
4865Einen Informationseintrag der vertrauten Gesamtstruktur hinzugefügt wurde.
4866Einen Informationseintrag der vertrauten Gesamtstruktur entfernt wurde.
4867Einen Informationseintrag der vertrauten Gesamtstruktur geändert wurde.

Unterkategorie: Autorisierungs-Richtlinienänderung

Tabelle minimierenTabelle vergrößern
IDNachricht
4704Ein Benutzerrecht wurde zugewiesen.
4705Ein Benutzerrecht wurde entfernt.
4714Richtlinie zur Wiederherstellung verschlüsselter Daten wurde geändert.

Unterkategorie: Filterplattform-Richtlinienänderung

Tabelle minimierenTabelle vergrößern
IDNachricht
4709IPSec-Dienste wurde gestartet.
4710IPSec-Dienste wurde deaktiviert.
4711Kann eine der folgenden enthalten:
  • PAStore-Modul lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer angewendet.
  • PAStore-Modul Active Directory-Speichers IPSec-Richtlinie auf dem Computer angewendet.
  • PAStore-Modul lokalen Registrierung Speicher IPSec-Richtlinie auf dem Computer angewendet.
  • PAStore-Modul konnte nicht lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer installieren.
  • PAStore-Modul Fehler beim Anwenden von IPsec-Richtlinie für Active Directory-Speichers auf dem Computer.
  • PAStore-Modul Fehler beim Anwenden der lokalen Registrierung Speicher IPSec-Richtlinie auf dem Computer.
  • PAStore-Modul konnte einige Regeln der aktiven IPSec-Richtlinie auf dem Computer anwenden.
  • PAStore-Modul konnte nicht Directory-Speichers IPSec-Richtlinie auf dem Computer geladen werden.
  • PAStore-Directory-Speichers IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul konnte nicht lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen werden.
  • PAStore-Modul werden die lokalen Speicher IPSec-Richtlinie auf dem Computer geladen.
  • PAStore-Modul hat beim Abfragen von Änderungen an der aktiven IPSec-Richtlinie und keine Änderungen ermittelt.
4712IPSec-Dienste hat einen schwerwiegenden Fehler entdeckt.
5040In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Legen Sie eine Authentifizierung wurde hinzugefügt.
5041In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Eine Authentifizierung festlegen wurde geändert.
5042In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Eine Authentifizierung festlegen wurde gelöscht.
5043In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Eine Verbindungssicherheitsregel wurde hinzugefügt.
5044In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Eine Verbindungssicherheitsregel wurde geändert.
5045In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Eine Verbindungssicherheitsregel wurde gelöscht.
5046In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Ein Crypto festlegen wurde hinzugefügt.
5047In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Ein Crypto festlegen wurde geändert.
5048In IPSec-Einstellungen wurde eine Änderung vorgenommen wurde. Ein Crypto festlegen wurde gelöscht.
5440Die folgende Legende war vorhanden, wenn die Windows Filtering Platform Basisfiltermodul gestartet.
5441Der folgende Filter war vorhanden, wenn die Windows Filtering Platform Basisfiltermodul gestartet.
5442Der folgende Anbieter war vorhanden, wenn die Windows Filtering Platform Basisfiltermodul gestartet.
5443Folgende Anbieterkontext war vorhanden, wenn die Windows Filtering Platform Basisfiltermodul gestartet.
5444Die folgende Schicht war vorhanden, wenn die Windows Filtering Platform Basisfiltermodul gestartet.
5446Eine Windows-Filterplattform Legende wurde geändert.
5448Ein Windows-Filterplattform-Anbieter wurde geändert.
5449Ein Windows-Filterplattform Anbieterkontext wurde geändert.
5450Ein Windows-Filterplattform Schicht wurde geändert.
5456PAStore-Modul Active Directory-Speichers IPSec-Richtlinie auf dem Computer angewendet.
5457PAStore-Modul Fehler beim Anwenden von IPsec-Richtlinie für Active Directory-Speichers auf dem Computer.
5458PAStore-Modul lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer angewendet.
5459PAStore-Modul konnte nicht lokal zwischengespeicherte Kopie der Active Directory-Speichers IPSec-Richtlinie auf dem Computer installieren.
5460PAStore-Modul lokalen Registrierung Speicher IPSec-Richtlinie auf dem Computer angewendet.
5461PAStore-Modul Fehler beim Anwenden der lokalen Registrierung Speicher IPSec-Richtlinie auf dem Computer.
5462PAStore-Modul konnte einige Regeln der aktiven IPSec-Richtlinie auf dem Computer anwenden. Das IP-Sicherheitsmonitor-Snap-in verwenden Sie, um das Problem zu diagnostizieren.
5463PAStore-Modul hat beim Abfragen von Änderungen an der aktiven IPSec-Richtlinie und keine Änderungen ermittelt.
5464PAStore-Modul Abfragen von Änderungen für die aktive IPSec-Richtlinie Änderungen erkannt und IPSec-Dienste zugewiesen.
5465PAStore-Modul hat eine Steuerung für das erneute Laden der IPSec-Richtlinie und das Steuerelement erfolgreich verarbeitet.
5466PAStore-Modul hat beim Abfragen von Änderungen für die Active Directory-IPSec-Richtlinie festgestellt, dass Active Directory kann nicht erreicht werden und die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie stattdessen wird. Alle Änderungen der Active Directory-IPSec-Richtlinie seit der letzten Abfrage nicht übernommen werden konnten.
5467PAStore-Modul hat beim Abfragen von Änderungen an der Active Directory-IPSec-Richtlinie festgestellt, dass Active Directory erreicht und keine Änderungen an der Richtlinie gefunden. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5468PAStore-Modul hat beim Abfragen von Änderungen für die Active Directory-IPSec-Richtlinie festgestellt, dass Active Directory erreicht werden kann, Änderungen an der Richtlinie gefunden und diese Änderungen angewendet. Die zwischengespeicherte Kopie der Active Directory-IPSec-Richtlinie wird nicht mehr verwendet.
5471PAStore-Modul werden die lokalen Speicher IPSec-Richtlinie auf dem Computer geladen.
5472PAStore-Modul konnte nicht lokalen Speicher-IPSec-Richtlinie auf dem Computer geladen werden.
5473PAStore-Directory-Speichers IPSec-Richtlinie auf dem Computer geladen.
5474PAStore-Modul konnte nicht Directory-Speichers IPSec-Richtlinie auf dem Computer geladen werden.
5477PAStore-Modul konnte Schnellmodusfilter hinzufügen.

Unterkategorie: MPSSVC Regelebene Richtlinienänderung

Tabelle minimierenTabelle vergrößern
IDNachricht
4944Die folgende Richtlinie war aktiv, wenn die Windows-Firewall gestartet.
4945Eine Regel wurde eingestellt, wenn die Windows-Firewall gestartet.
4946Zur Ausnahmeliste von Windows-Firewall hat eine Änderung vorgenommen wurde. Eine Regel wurde hinzugefügt.
4947Zur Ausnahmeliste von Windows-Firewall hat eine Änderung vorgenommen wurde. Eine Regel wurde geändert.
4948Zur Ausnahmeliste von Windows-Firewall hat eine Änderung vorgenommen wurde. Eine Regel wurde gelöscht.
4949Windows-Firewall-Einstellungen wurden auf die Standardwerte zurückgesetzt.
4950Eine Windows-Firewall-Einstellung wurde geändert.
4951Eine Regel wurde ignoriert, da seine Hauptversionsnummer vom Windows-Firewall nicht erkannt wurde.
4952Teile einer Regel wurden ignoriert, da die Nebenversionsnummer von Windows-Firewall nicht erkannt wurde. Die anderen Teile der Regel werden erzwungen.
4953Eine Regel wurde vom Windows-Firewall ignoriert, da die Regel nicht analysiert werden konnte.
4954Gruppenrichtlinien für Windows-Firewall-Einstellungen wurden geändert. Die neuen Einstellungen wurden angewendet.
4956Windows-Firewall wurde das aktive Profil geändert.
4957Windows-Firewall hat die folgende Regel nicht angewendet:
4958Windows-Firewall hat die folgende Regel nicht angewendet, da die Regel auf nicht auf diesem Computer konfigurierten Elemente verwiesen:
5050Versuch, deaktivieren Sie die Windows-Firewall mit einem Aufruf von INetFwProfile.FirewallEnabled(FALSE) Schnittstelle programmgesteuert wurde zurückgewiesen, da diese API unter Windows Vista nicht unterstützt wird. Dies ist höchstwahrscheinlich aufgrund eines Programms aufgetreten, der mit Windows Vista inkompatibel ist. Wenden Sie sich an den Hersteller des Programms sicherstellen, dass Sie eine Version des Windows Vista-kompatibles Programm verfügen.

Unterkategorie: Andere Richtlinienänderungsereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
4909Die lokalen Richtlinieneinstellungen für die TBS wurden geändert.
4910Die Gruppenrichtlinieneinstellungen für die TBS wurden geändert.
5063Ein cryptographic Provider-Vorgang wurde ausgeführt.
5064Ein kryptografischer Kontext-Vorgang wurde ausgeführt.
5065Eine Änderung kryptografischer Kontext es wurde versucht.
5066Wurde versucht, eine kryptografische Funktion-Operation.
5067Wurde versucht, eine kryptografische Funktion Änderung.
5068Ein kryptografische Funktion Anbieter-Vorgang wurde ausgeführt.
5069Ein kryptografische Funktion-Eigenschaft-Vorgang wurde ausgeführt.
5070Wurde versucht, eine kryptografische Funktion-Eigenschaft ändern.
5447Ein Windows-Filterplattform Filter wurde geändert.
6144Die Sicherheitsrichtlinien in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.
6145Fehler beim Verarbeiten der Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten.

Unterkategorie: Spezielle Mehrzweck-Unterkategorie

Hinweis Das folgende Ereignis kann von Ressourcen-Manager generiert werden, wenn die zugehörigen Unterkategorien aktiviert ist. Das folgende Ereignis kann z. B. durch den Registrierungs-Ressourcen-Manager oder der Dateisystem-Ressourcen-Manager generiert werden.
Tabelle minimierenTabelle vergrößern
IDNachricht
4670Berechtigungen für ein Objekt geändert wurden.

Kategorie: Rechteverwendung

Unterkategorie: Sensible Verwendung von rechten / nicht vertraulichen Rechteverwendung

Tabelle minimierenTabelle vergrößern
IDNachricht
4672Besondere Rechte bei neuer Anmeldung.
4673Ein privilegierter Dienst wurde aufgerufen.
4674Ein Vorgang bezog sich auf ein privilegiertes Objekt.

Kategorie: System

Unterkategorie: IPSec-Treiber

Tabelle minimierenTabelle vergrößern
IDNachricht
4960IPsec verworfen ein eingehendes Paket, das eine Integritätsprüfung fehlgeschlagen. Wenn das Problem weiterhin besteht, konnte dies bedeuten, dass ein Netzwerkproblem oder diese Pakete auf dem Weg zu diesem Computer geändert werden. Stellen Sie sicher, dass die Pakete, die vom Remotecomputer gesendet, identisch mit denen von diesem Computer empfangen werden. Dieser Fehler kann auch darauf hinweisen Probleme hinsichtlich der Interoperabilität mit anderen IPSec-Implementierungen.
4961IPsec verworfen ein eingehendes Paket, das eine Replay-Überprüfung fehlgeschlagen ist. Wenn das Problem weiterhin besteht, könnte dies einen Replay-Angriff gegen diese Computer hinweisen.
4962IPsec verworfen ein eingehendes Paket, das eine Replay-Überprüfung fehlgeschlagen ist. Eingehende Paket war zu niedrig eine Sequenznummer um sicherzustellen, dass es sich nicht um eine Wiederholung war.
4963IPsec verworfen ein eingehenden Klartext-Paket, die verschlüsselt sein sollten. Dies ist in der Regel auf dem Remotecomputer, der seine IPSec-Richtlinie ändern, ohne diesen Computer zu informieren. Dies könnte auch ein spoofing Angriffsversuch sein.
4965IPsec hat ein Paket von einem Remotecomputer mit einer falschen Security Parameter Index (SPI). Dies wird normalerweise durch fehlerhafte Hardware verursacht, die Pakete beschädigt ist. Wenn dieser Fehler weiterhin auftritt, stellen Sie sicher, dass die Pakete, die vom Remotecomputer gesendet, identisch mit denen von diesem Computer empfangen werden. Dieser Fehler kann auch Probleme hinsichtlich der Interoperabilität mit anderen IPSec-Implementierungen hinweisen. In diesem Fall, wenn Verbindung nicht behindert wird, können diese Ereignisse ignoriert werden.
5478IPSec-Dienste wurde erfolgreich gestartet.
5479IPSec-Dienste wurde erfolgreich heruntergefahren. Beim Herunterfahren des IPSec-Dienste kann Risiko den Computer größer Netzwerkangriffs oder den Computer potenziellen Sicherheitsrisiken aussetzen.
5480IPSec-Dienste konnten die vollständige Liste der Netzwerkschnittstellen auf dem Computer erhalten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht abgerufen werden kann. Das IP-Sicherheitsmonitor-Snap-in verwenden Sie, um das Problem zu diagnostizieren.
5483IPSec-Dienste konnte den RPC-Server zu initialisieren. IPSec-Dienste konnte nicht gestartet werden.
5484IPSec-Dienste einen kritischen Fehler ist aufgetreten und wurde heruntergefahren. Beim Herunterfahren des IPSec-Dienste kann Risiko den Computer größer Netzwerkangriffs oder den Computer potenziellen Sicherheitsrisiken aussetzen.
5485IPSec-Dienste konnte einige IPSec-Filter auf ein Plug & Play-Ereignis für Netzwerkschnittstellen zu verarbeiten. Dies stellt ein potenzielles Sicherheitsrisiko dar, da einige Netzwerkschnittstellen des Schutzes durch die angewendeten IPSec-Filter nicht abgerufen werden kann. Das IP-Sicherheitsmonitor-Snap-in verwenden Sie, um das Problem zu diagnostizieren.

Unterkategorie: Andere Systemereignisse

Tabelle minimierenTabelle vergrößern
IDNachricht
5024Der Windows-Firewall-Dienst wurde erfolgreich gestartet.
5025Der Windows-Firewall-Dienst wurde beendet.
5027Der Windows-Firewalldienst konnte die Sicherheitsrichtlinie vom lokalen Speicher abrufen. Der Dienst wird weiterhin die aktuelle Richtlinie zu erzwingen.
5028Der Windows-Firewalldienst konnte die neue Sicherheitsrichtlinie nicht analysieren. Der Dienst wird derzeit erzwungene Richtlinie weiterhin.
5029Der Windows-Firewalldienst konnte den Treiber nicht initialisieren. Der Dienst wird weiterhin die aktuelle Richtlinie zu erzwingen.
5030Der Windows-Firewall-Dienst konnte nicht gestartet werden.
5032Windows-Firewall konnte den Benutzer nicht benachrichtigen, dass bei einer Anwendung die Annahme eingehender Verbindungen im Netzwerk blockiert wurde.
5033Der Windows-Firewalltreiber wurde erfolgreich gestartet.
5034Der Windows-Firewalltreiber wurde beendet.
5035Der Windows-Firewalltreiber konnte nicht gestartet werden.
5037Der Windows-Firewalltreiber erkannt kritischen Laufzeitfehler. Beendet.
5058Schlüsseldatei Vorgang.
5059Wichtige Migrationsvorgang.

Unterkategorie: Security-Statusänderung

Tabelle minimierenTabelle vergrößern
IDNachricht
4608Windows wird gestartet.
4616Die Systemzeit wurde geändert.
4621Administrator System vom CrashOnAuditFail wiederhergestellt. Benutzer, die keine Administratoren sind, ist jetzt möglich, anmelden. Möglicherweise wurden einige überwachbare Aktivitäten nicht aufgezeichnet.

Unterkategorie: Security-System-Erweiterung

Tabelle minimierenTabelle vergrößern
IDNachricht
4610Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
4611Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert.
4614Der Security Account Manager hat ein Benachrichtigungspaket geladen wurde.
4622Ein Sicherheitspaket wurde durch die lokale Sicherheitsinstanz geladen.
4697Ein Dienst wurde im System installiert.

Unterkategorie: Systemintegrität

Tabelle minimierenTabelle vergrößern
IDNachricht
4612Queuing Überwachung reservierte interne Ressourcen sind erschöpft, was zum Verlust von Überwachungsereignissen.
4615Ungültige Verwendung des LPC-Port.
4618Ein Muster für überwachte Sicherheit ist aufgetreten.
4816RPC entdeckt eine Verletzung der Integrität beim Entschlüsseln einer eingehenden Nachricht.
5038Codeintegrität hat ermittelt, dass der Bild-Hash einer Datei nicht gültig ist. Die Datei konnte aufgrund von nicht autorisierten Änderung beschädigt werden oder ungültige Hash deutet auf einen potenziellen Datenträgerfehler Gerät.
5056Ein kryptografischer Selbsttest wurde durchgeführt.
5057Eine kryptografische primitive Operation ist fehlgeschlagen.
5060Überprüfung ist fehlgeschlagen.
5061Kryptografischer Vorgang.
5062Kernelmodus-kryptografische Selbsttest wurde durchgeführt.
Hinweise
  • Zurückzugebenden eine detaillierte Liste aller Sicherheits ü berwachung Ereignis, führen den folgenden Befehl an einer erhöhten Eingabeaufforderung als Administrator:
    Wevtutil Gp, Microsoft-Windows-Sicherheit-Überwachung/ge /gm:true
    Das folgende Beispiel zeigt einen Teil der Ausgabe:
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • Um eine Liste aller Sicherheits ü berwachung Kategorien und Unterkategorien zurückzukehren, führen Sie den folgenden Befehl an einer erhöhten Eingabeaufforderung als Administrator:
    Auditpol/List subcategory: *

Informationsquellen

Weitere Informationen zum Dienstprogramm "Wevtutil" finden Sie auf der folgenden Microsoft-Website:
http://technet2.Microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-AA55-0223b77a48221033.mspx (http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
Weitere Informationen zu den Auditpol-Dienstprogramm finden Sie auf der folgenden Microsoft-Website:
http://technet2.Microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true)
Weitere Informationen dazu, wie Sie mithilfe von Gruppenrichtlinien zum Konfigurieren von detaillierten Sicherheitsüberwachungseinstellungen klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
921469  (http://support.microsoft.com/kb/921469/ ) Wie Sie mithilfe von Gruppenrichtlinien zum Konfigurieren von detaillierten Sicherheitsüberwachungseinstellungen für Windows Vista-basierten und Windows Server 2008-basierten Computer in einer Domäne Windows Server 2008, in einer Windows Server 2003-Domäne oder in einer Windows 2000-Domäne
Weitere Informationen über das Windows Vista-Sicherheitshandbuch finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-US/bb629420.aspx (http://technet.microsoft.com/en-us/bb629420.aspx)

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
Keywords: 
kbexpertiseadvanced kbinfo kbmt KB947226 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947226  (http://support.microsoft.com/kb/947226/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store