DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 947226 - Dernière mise à jour: lundi 11 novembre 2013 - Version: 11.0

 

Sommaire

INTRODUCTION

Cet article décrit différents événements relatifs à la sécurité et d'audit relatifs à la sécurité dans Windows Vista et Windows Server 2008. Cet article fournit également des informations sur la façon d'interpréter ces événements. Tous ces événements apparaissent dans le journal de sécurité et sont enregistrés avec une source de « Audit de sécurité. » Cet article décrit également comment récupérer les données plus descriptives sur les événements individuels.

Plus d'informations

Cette section répertorie les événements liés à la vérification de la sécurité tous les Windows Vista par catégorie et par sous-catégorie.

Catégorie : Connexion à un compte

Sous-catégorie : Validation des informations d'identification

Réduire ce tableauAgrandir ce tableau
IDMessage
4774Un compte a été mappé pour l'ouverture de session.
4775Un compte n'a pas pu être mappé pour l'ouverture de session.
4776Le contrôleur de domaine a tenté de valider les informations d'identification pour un compte.
4777Le contrôleur de domaine n'a pas pu valider les informations d'identification pour un compte.

Sous-catégorie : Kerberos Authentication Service

Réduire ce tableauAgrandir ce tableau
IDMessage
4768Un ticket d'authentification Kerberos (TGT) a été demandé.
4771Échec de la pré-authentification Kerberos.
4772Une demande de ticket d'authentification Kerberos a échoué.

Sous-catégorie : Opérations de Ticket de Service Kerberos

Réduire ce tableauAgrandir ce tableau
IDMessage
4769Un ticket de service Kerberos a été demandé.
4770Un ticket de service Kerberos a été renouvelé.
4773Une demande de ticket de service Kerberos a échoué.

Catégorie : Gestion des comptes

Sous-catégorie : Gestion des groupes d'applications

Réduire ce tableauAgrandir ce tableau
IDMessage
4783Un groupe d'application de base a été créé.
4784Un groupe d'application de base a été modifié.
4785Un membre a été ajouté à un groupe d'application de base.
4786Un membre a été supprimé d'un groupe d'application de base.
4787Un non membre a été ajouté à un groupe d'application de base.
4788Un tiers a été supprimé d'un groupe d'application de base.
4789Un groupe d'application de base a été supprimé.
4790Un groupe de requêtes LDAP a été créé.
4791Un groupe d'application de base a été modifié.
4792Un groupe de requêtes LDAP a été supprimé.

Sous-catégorie : Gestion du compte ordinateur

Réduire ce tableauAgrandir ce tableau
IDMessage
4741Un compte d'ordinateur a été créé.
4742Un compte d'ordinateur a été modifié.
4743Un compte d'ordinateur a été supprimé.

Sous-catégorie : Gestion de groupe de Distribution

Réduire ce tableauAgrandir ce tableau
IDMessage
4744Un groupe local avec sécurité désactivée a été créé.
4745Un groupe local avec sécurité désactivée a été modifié.
4746Un membre a été ajouté à un groupe local avec sécurité désactivée.
4747Un membre a été supprimé d'un groupe local avec sécurité désactivée.
4748Un groupe local avec sécurité désactivée a été supprimé.
4749Un groupe global avec sécurité désactivée a été créé.
4750Un groupe global avec sécurité désactivée a été modifié.
4751Un membre a été ajouté à un groupe global avec sécurité désactivée.
4752Un membre a été supprimé d'un groupe global avec sécurité désactivée.
4753Un groupe global avec sécurité désactivée a été supprimé.
4759Un groupe universel avec sécurité désactivée a été créé.
4760Un groupe universel avec sécurité désactivée a été modifié.
4761Un membre a été ajouté à un groupe universel avec sécurité désactivée.
4762Un membre a été supprimé d'un groupe universel avec sécurité désactivée.

Sous-catégorie : Autres événements gestion des comptes

Réduire ce tableauAgrandir ce tableau
IDMessage
4739Stratégie de domaine a été modifié.
4782Le hachage de mot de passe un compte a été accédé.
4793L'API de vérification de la stratégie de mot de passe a été appelée.

Sous-catégorie : Groupe de sécurité Gestion

Réduire ce tableauAgrandir ce tableau
IDMessage
4727Un groupe global avec sécurité activée a été créé.
4728Un membre a été ajouté à un groupe global avec sécurité activée.
4729Un membre a été supprimé d'un groupe global avec sécurité activée.
4730Un groupe global avec sécurité activée a été supprimé.
4731Un groupe local avec sécurité activée a été créé.
4732Un membre a été ajouté à un groupe local avec sécurité activée.
4733Un membre a été supprimé d'un groupe local avec sécurité activée.
4734Un groupe local avec sécurité activée a été supprimé.
4735Un groupe local avec sécurité activée a été modifié.
4737Un groupe global avec sécurité activée a été modifié.
4754Un groupe universel avec sécurité activée a été créé.
4755Un groupe universel avec sécurité activée a été modifié.
4756Un membre a été ajouté à un groupe universel avec sécurité activée.
4757Un membre a été supprimé d'un groupe universel avec sécurité activée.
4758Un groupe universel avec sécurité activée a été supprimé.
4764Type de groupe a été modifié.

Sous-catégorie : Gestion des comptes utilisateur

Réduire ce tableauAgrandir ce tableau
IDMessage
4720Un compte d'utilisateur a été créé.
4722Un compte d'utilisateur a été activé.
4723Une tentative a été faite pour modifier le mot de passe d'un compte.
4724Une tentative a été faite pour réinitialiser le mot de passe d'un compte.
4725Un compte d'utilisateur a été désactivé.
4726Un compte d'utilisateur a été supprimé.
4738Un compte d'utilisateur a été modifié.
4740Un compte d'utilisateur a été verrouillé.
4765SID History a été ajouté à un compte.
4766Échec de la tentative d'ajout de SID History à un compte.
4767Un compte d'utilisateur a été déverrouillé.
4780L'ACL a été défini pour les comptes qui sont membres des groupes Administrateurs.
4781Le nom d'un compte a été modifié :
4794Une tentative a été faite pour définir le Mode de restauration des Services de répertoire.
5376Informations d'identification du Gestionnaire d'informations d'identification ont été sauvegardées.
5377Informations d'identification du Gestionnaire d'informations d'identification ont été restaurées à partir d'une sauvegarde.

Catégorie : Suivi détaillé

Sous-catégorie : DPAPI activité

Réduire ce tableauAgrandir ce tableau
IDMessage
4692.Sauvegarde de la clé principale de protection des données a été tentée.
4693Tentative de restauration de la clé principale de protection des données.
4694Protection des données protégées auditables a été tentée.
4695Unprotection des données protégées auditables a été tentée.

Sous-catégorie : Création du processus

Réduire ce tableauAgrandir ce tableau
IDMessage
4688Un nouveau processus a été créé.
4696Un jeton principal a été attribué à traiter.

Sous-catégorie : Fin du processus

Réduire ce tableauAgrandir ce tableau
IDMessage
4689Un processus s'est arrêté.

Sous-catégorie : Les événements RPC

Réduire ce tableauAgrandir ce tableau
IDMessage
5712Un appel de procédure distante (RPC) a été tentée.

Catégorie : Accès DS

Sous-catégorie : Réplication du Service d'annuaire détaillé

Réduire ce tableauAgrandir ce tableau
IDMessage
4928Un contexte d'attribution de noms de Active Directory réplica source a été établi.
4929Un contexte d'attribution de noms de Active Directory réplica source a été supprimé.
4930Un contexte d'attribution de noms de Active Directory réplica source a été modifié.
4931Un contexte d'appellation de la destination Active Directory réplica a été modifié.
4934Les attributs d'un objet Active Directory ont été répliqués.
4935Échec de la réplication commence.
4936Échec de la réplication se termine.
4937Un objet en attente a été supprimé à partir d'un réplica.

Sous-catégorie : L'accès au Service d'annuaire

Réduire ce tableauAgrandir ce tableau
IDMessage
4662Une opération a été effectuée sur un objet.

Sous-catégorie : Modifications de Service d'annuaire

Réduire ce tableauAgrandir ce tableau
IDMessage
5136Un objet de service d'annuaire a été modifié.
5137Un objet de service d'annuaire a été créé.
5138Un objet de service d'annuaire a été récupéré.
5139Un objet de service d'annuaire a été déplacé.

Remarque : L'événement suivant dans la sous-catégorie des modifications de Service d'annuaire est disponible uniquement dans Windows Vista Service Pack 1 et Windows Server 2008.
Réduire ce tableauAgrandir ce tableau
IDMessage
5141Un objet de service d'annuaire a été supprimé.

Sous-catégorie : Réplication du Service d'annuaire

Réduire ce tableauAgrandir ce tableau
IDMessage
4932Synchronisation d'un réplica d'un contexte de nommage Active Directory a commencé.
4933Synchronisation d'un réplica d'un contexte de nommage Active Directory est terminée.

Catégorie : Ouverture de session/fermeture de session

Sous-catégorie : Mode étendu IPsec

Réduire ce tableauAgrandir ce tableau
IDMessage
4978Lors de la négociation en Mode étendu, IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
4979Associations de sécurité de Mode principal IPsec et Mode étendu ont été établies.
4980Associations de sécurité de Mode principal IPsec et Mode étendu ont été établies.
4981Associations de sécurité de Mode principal IPsec et Mode étendu ont été établies.
4982Associations de sécurité de Mode principal IPsec et Mode étendu ont été établies.
4983Échec d'une négociation en Mode étendu d'IPsec. L'association de sécurité de Mode principal correspondante a été supprimée.
4984Échec d'une négociation en Mode étendu d'IPsec. L'association de sécurité de Mode principal correspondante a été supprimée.

Sous-catégorie : Le Mode principal IPsec

Réduire ce tableauAgrandir ce tableau
IDMessage
4646Mode de prévention DoS IKE démarré.
4650Une association de sécurité de Mode principal IPsec a été établie. En Mode étendu n'a pas été activé. L'authentification par certificat n'a pas été utilisée.
4651Une association de sécurité de Mode principal IPsec a été établie. En Mode étendu n'a pas été activé. Un certificat a été utilisé pour l'authentification.
4652Une négociation de Mode principal IPsec a échoué.
4653Une négociation de Mode principal IPsec a échoué.
4655Une association de sécurité de Mode principal IPsec s'est terminée.
4976Au cours de la négociation de Mode principal IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
5049Une Association de sécurité IPsec a été supprimée.
5453Une négociation IPsec avec un ordinateur distant a échoué car le service IKE et AuthIP IPsec incrustation Modules IKEEXT () n'est pas démarré.

Sous-catégorie : Le Mode rapide IPsec

Réduire ce tableauAgrandir ce tableau
IDMessage
4654Une négociation de Mode rapide IPsec a échoué.
4977Lors de la négociation de Mode rapide IPsec a reçu un paquet de négociation non valide. Si le problème persiste, cela pourrait indiquer un problème réseau ou une tentative de modifier ou de relire cette négociation.
5451Une association de sécurité de Mode rapide IPsec a été établie.
5452Une association de sécurité de Mode rapide IPsec s'est terminée.

Sous-catégorie : fermeture de session

Réduire ce tableauAgrandir ce tableau
IDMessage
4634Un compte a été déconnecté.
4647Déconnexion initiée par l'utilisateur.

Sous-catégorie : ouverture de session

Réduire ce tableauAgrandir ce tableau
IDMessage
4624L’ouverture de session d’un compte s’est correctement déroulée.
4625Un compte n'a pas pu ouvrir une session.
4648Une ouverture de session a été tentée à l'aide des informations d'identification explicites.
4675SID ont été filtrés.
Remarque : Tous les événements de la sous-catégorie Network Policy Server sont disponibles uniquement dans Windows Vista Service Pack 1 et Windows Server 2008.

Sous-catégorie : Serveur de stratégie réseau

Réduire ce tableauAgrandir ce tableau
IDMessage
6272Serveur de stratégie réseau accordé l'accès à un utilisateur.
6273 valeurServeur de stratégie réseau, accès refusé à un utilisateur.
6274Serveur de stratégie réseau rejeté la demande d'un utilisateur.
6275Serveur de stratégie réseau supprimé la demande de gestion de comptes pour un utilisateur.
6276Serveur de stratégie réseau mis en quarantaine d'un utilisateur.
6277Serveur de stratégie réseau l'accès accordé à un utilisateur mais placer suspendue parce que l'hôte ne respectait pas la stratégie d'intégrité.
6278Serveur de stratégie réseau accordé un accès total à un utilisateur car l'hôte remplie de la stratégie d'intégrité.
6279Serveur de stratégie réseau verrouillé le compte d'utilisateur en raison de tentatives d'authentification ayant échoué.
6280Serveur de stratégie réseau déverrouillé le compte d'utilisateur.

Sous-catégorie : Autres événements d'ouverture de session/fermeture de session

Réduire ce tableauAgrandir ce tableau
IDMessage
4649Une attaque par reconstitution a été détecté.
4778Une session a été reconnectée à un poste de fenêtre.
4779Une session a été déconnectée à partir d'une station de travail.
4800La station de travail a été verrouillée.
4801La station de travail a été déverrouillée.
4802L'économiseur d'écran a été appelé.
4803L'écran de veille a été fermée.
5378La délégation d'informations d'identification demandées a été interdite par la stratégie.
5632Une demande a été faite pour s'authentifier sur un réseau sans fil.
5633Une demande a été faite pour s'authentifier sur un réseau câblé.

Sous-catégorie : Ouverture de session spéciale

Réduire ce tableauAgrandir ce tableau
IDMessage
4964Les groupes spéciaux ont été affectés à une ouverture de session.

Catégorie : Accès aux objets

Sous-catégorie : Générés par l'Application

Réduire ce tableauAgrandir ce tableau
IDMessage
4665Une tentative a été effectuée pour créer un contexte d'application client.
4666Une application a tenté une opération :
4667Un contexte d'application client a été supprimé.
4668Une application a été initialisée.

Sous-catégorie : Services de Certification

Réduire ce tableauAgrandir ce tableau
IDMessage
4868Le Gestionnaire de certificats a refusé une demande de certificat en attente.
4869Les Services de certificats a reçu une demande de certificat soumise à nouveau.
4870Les Services de certificat révoqué un certificat.
4871Les Services de certificats a reçu une demande pour publier la liste de révocation de certificats (CRL).
4872Services de certificat publié la liste de révocation de certificats (CRL).
4873Une extension de demande de certificat est modifié.
4874Un ou plusieurs attributs de demande de certificat est modifié.
4875Les Services de certificats a reçu une demande d'arrêt.
4876Sauvegarde des Services de certificats a démarré.
4877Terminé la sauvegarde des Services de certificats.
4878Restauration des Services de certificats a démarré.
4879Terminé la restauration des Services de certificats.
4880Les Services de certificats a démarré.
4881Les Services de certificats s'est arrêté.
4882Les autorisations de sécurité pour les Services de certificat est modifié.
4883Les Services de certificats de récupérer une clé archivée.
4884Les Services de certificat importé un certificat dans sa base de données.
4885Le filtre d'audit des Services de certificat modifié.
4886Services de certificats ont reçu une demande de certificat.
4887Les Services de certificats approuvé une demande de certificat et émis un certificat.
4888Les Services de certificats a refusé une demande de certificat.
4889Les Services de certificats défini le statut d'une demande de certificat en attente.
4890Les paramètres du Gestionnaire de certificats pour les Services de certificat est modifié.
4891Une entrée de configuration modifiée dans les Services de certificats.
4892Modification d'une propriété des Services de certificats.
4893Les Services de certificat archivé une clé.
4894Les Services de certificat importé et archivé une clé.
4895Services de certificat publié le certificat d'autorité de certification pour les Services de domaine Active Directory.
4896Une ou plusieurs lignes ont été supprimés de la base de données de certificats.
4897Séparation de rôle activée :
4898Les Services de certificats de charger un modèle.
4899Un modèle de Services de certificats a été mis à jour.
4900Mise à jour de sécurité de modèle de Services de certificat.
5120Service du répondeur OCSP est démarré.
5121Service du répondeur OCSP est arrêté.
5122Une entrée de Configuration modifiée dans le Service du répondeur OCSP.
5123Une entrée de configuration modifiée dans le Service du répondeur OCSP.
5124Un paramètre de sécurité a été mis à jour sur le Service du répondeur OCSP.
5125Une demande a été soumise au Service du répondeur OCSP.
5126Le certificat de signature a été automatiquement mis à jour par le Service du répondeur OCSP.
5127Le fournisseur de révocation OCSP mis correctement à jour les informations de révocation.

Sous-catégorie : Partage de fichiers

Réduire ce tableauAgrandir ce tableau
IDMessage
5140Un objet de partage réseau est accessible.

Sous-catégorie : Fichier système

Réduire ce tableauAgrandir ce tableau
IDMessage
4664Une tentative a été effectuée pour créer un lien réel.
4985L'état d'une transaction a été modifié.
5051Un fichier a été virtualisé.

Sous-catégorie : Filtrage de connexion de la plateforme

Réduire ce tableauAgrandir ce tableau
IDMessage
5031Le Service pare-feu Windows bloqué une application d'accepter des connexions entrantes sur le réseau.
5154La plateforme de filtrage Windows a autorisé une application ou un service à l'écoute sur un port pour les connexions entrantes.
5155La plateforme de filtrage Windows a bloqué une application ou un service d'écoute sur un port pour les connexions entrantes.
5156La plateforme de filtrage Windows a autorisé une connexion.
5157La plateforme de filtrage Windows a bloqué une connexion.
5158La plateforme de filtrage Windows a autorisé une liaison à un port local.
5159La plateforme de filtrage Windows a bloqué une liaison à un port local.

Sous-catégorie : Rejet de paquet de plateforme de filtrage

Réduire ce tableauAgrandir ce tableau
IDMessage
5152La plateforme de filtrage Windows bloqué un paquet.
5153Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet.

Sous-catégorie : Poignée de Manipulation

Réduire ce tableauAgrandir ce tableau
IDMessage
4656Un handle d'un objet a été demandé.
4658Le handle d'un objet a été fermé.
4690Une tentative a été faite pour dupliquer un handle à un objet.

Sous-catégorie : D'autres événements d'accès aux objets

Réduire ce tableauAgrandir ce tableau
IDMessage
4671Une application a tenté d'accéder à un ordinal bloquée via le service TBS.
4691Un accès indirect à un objet a été demandé.
4698Création d'une tâche planifiée.
4699Une tâche planifiée a été supprimée.
4700Une tâche planifiée a été activée.
4701Une tâche planifiée a été désactivée.
4702Une tâche planifiée a été mis à jour.
5888Un objet dans le catalogue COM + a été modifié.
5889Un objet a été supprimé à partir du catalogue COM +.
5890Un objet a été ajouté au catalogue COM +.

Sous-catégorie : Registre

Réduire ce tableauAgrandir ce tableau
IDMessage
4657Une valeur de Registre a été modifiée.
5039Une clé de Registre a été virtualisée.

Sous-catégorie : Spécial sous-catégorie multi-usage

Remarque : L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activé. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources du système de fichiers. Les sous-catégories « Objet noyau : objet Access » et « Objet Access: SAM » sont des exemples de sous-catégories qui utilisent exclusivement des ces événements.
Réduire ce tableauAgrandir ce tableau
IDMessage
4659Un handle d'un objet a été demandé avec intention de le supprimer.
4660Un objet a été supprimé.
4661Un handle d'un objet a été demandé.
4663Une tentative a été faite pour accéder à un objet.

Catégorie : Changement de politique

Sous-catégorie : Modification de la stratégie d'Audit

Réduire ce tableauAgrandir ce tableau
IDMessage
4715La stratégie d'audit (SACL) d'un objet a été modifiée.
4719Stratégie d'audit système a été modifiée.
4902La table de stratégie d'audit par utilisateur a été créée.
4904Une tentative a été effectuée pour inscrire une source d'événements de sécurité.
4905Une tentative a été effectuée pour annuler l'inscription d'une source d'événements de sécurité.
4906La valeur de CrashOnAuditFail a changé.
4907Paramètres d'audit sur un objet ont été modifiées.
4908Table groupes d'ouverture de session spéciale modifiée.
4912Stratégie par utilisateur d'Audit a été modifiée.

Sous-catégorie : Modification de la stratégie d'authentification

Réduire ce tableauAgrandir ce tableau
IDMessage
4706Une nouvelle relation d'approbation a été créée pour un domaine.
4707Un niveau de confiance d'un domaine a été supprimé.
4713Stratégie Kerberos a été modifié.
4716Informations de domaine approuvé a été modifiées.
4717Accès au système de sécurité a été accordé à un compte.
4718Accès au système de sécurité a été supprimé d'un compte.
4864Une collision d'espace de noms a été détectée.
4865Une entrée d'informations de forêt approuvée a été ajoutée.
4866Une entrée d'informations de forêt approuvée a été supprimée.
4867Une entrée d'informations de forêt approuvée a été modifiée.

Sous-catégorie : Modification de la stratégie d'autorisation

Réduire ce tableauAgrandir ce tableau
IDMessage
4704Un droit d'utilisateur a été affecté.
4705Un droit d'utilisateur a été supprimé.
4714Stratégie de récupération de données cryptées a été modifiée.

Sous-catégorie : Modification de stratégie de plateforme de filtrage

Réduire ce tableauAgrandir ce tableau
IDMessage
4709Les Services IPsec a été démarré.
4710Les Services IPsec a été désactivé.
4711Peut contenir l'une des opérations suivantes :
  • Le moteur PAStore a appliqué une copie localement mise en cache de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore a appliqué la stratégie IPsec de stockage du Registre local sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur.
  • Le moteur PAStore n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur.
  • Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire.
  • Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage directory.
  • Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local.
  • Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage local.
  • Le moteur PAStore a recherches de modifications de la stratégie IPsec active et a détecté aucune modification.
4712Les Services IPsec a rencontré un échec potentiellement grave.
5040Une modification a été apportée aux paramètres IPsec. Un ensemble d'authentification a été ajouté.
5041Une modification a été apportée aux paramètres IPsec. Un ensemble d'authentification a été modifié.
5042Une modification a été apportée aux paramètres IPsec. Une authentification définie a été supprimée.
5043Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée.
5044Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée.
5045Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée.
5046Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été ajouté.
5047Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été modifié.
5048Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été supprimé.
5440 àLa légende suivante n'était pas présente lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5441Le filtre suivant n'était pas présent lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5442Le fournisseur suivant était présent au démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5443Le contexte du fournisseur suivant était présent au démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5444La couche secondaire suivante n'était pas présente lors du démarrage de la plate-forme de filtrage Windows moteur de filtrage Base.
5446Une légende de plateforme de filtrage Windows a été modifiée.
5448Un fournisseur de plateforme de filtrage Windows a été modifié.
5449Un contexte de fournisseur de plateforme de filtrage Windows a été modifié.
5450Une sous-couche de plateforme de filtrage Windows a été modifiée.
5456Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5457Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5458Le moteur PAStore a appliqué une copie localement mise en cache de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5459Le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l'ordinateur.
5460Le moteur PAStore a appliqué la stratégie IPsec de stockage du Registre local sur l'ordinateur.
5461Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage du Registre local sur l'ordinateur.
5462Le moteur PAStore n'a pas pu appliquer certaines règles de la stratégie IPsec active sur l'ordinateur. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5463Le moteur PAStore a recherches de modifications de la stratégie IPsec active et a détecté aucune modification.
5464Le moteur PAStore a recherches de modifications de la stratégie IPsec active, a détecté des modifications et les a appliquées aux Services IPsec.
5465Le moteur PAStore a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et traiter le contrôle avec succès.
5466Le moteur PAStore a recherches de modifications de la stratégie IPsec Active Directory, a déterminé que Active Directory est inaccessible et utilisera la copie mise en cache de la stratégie IPsec Active Directory. Toutes les modifications apportées à la stratégie IPsec Active Directory depuis le dernier sondage n'a pas pu être appliqué.
5467Le moteur PAStore a recherches de modifications de la stratégie IPsec Active Directory, a déterminé que Active Directory peut être atteint et ne trouvé aucune modification apportée à la stratégie. La copie mise en cache de la stratégie IPsec Active Directory n'est plus utilisée.
5468Le moteur PAStore a recherches de modifications de la stratégie IPsec Active Directory, a déterminé que Active Directory peut être atteint, trouver les modifications apportées à la stratégie et appliqué ces modifications. La copie mise en cache de la stratégie IPsec Active Directory n'est plus utilisée.
5471Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage local.
5472Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage local.
5473Moteur PAStore a chargé la stratégie IPsec sur l'ordinateur de stockage directory.
5474Le moteur PAStore n'a pas pu charger la stratégie IPsec sur l'ordinateur de stockage de répertoire.
5477Le moteur PAStore n'a pas pu ajouter le filtre de mode rapide.

Sous-catégorie : Modification de stratégie de niveau règle MPSSVC

Réduire ce tableauAgrandir ce tableau
IDMessage
4944La stratégie suivante était active lorsque le pare-feu Windows a démarré.
4945Une règle a été répertoriée lorsque le pare-feu Windows a démarré.
4946Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée.
4947Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée.
4948Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée.
4949Paramètres du pare-feu Windows ont été restaurées aux valeurs par défaut.
4950Un paramètre du pare-feu Windows a été modifié.
4951Une règle a été ignorée parce que son numéro de version principale n'a pas été reconnu par le pare-feu Windows.
4952Parties d'une règle ont été ignorés parce que son numéro de version mineure n'a pas été reconnu par le pare-feu Windows. Les autres parties de la règle seront appliquées.
4953Une règle a été ignorée par le pare-feu Windows, car il n'a pas analyser la règle.
4954Paramètres de stratégie de groupe du pare-feu Windows ont été modifiés. Les nouveaux paramètres ont été appliqués.
4956Le pare-feu Windows a été modifié le profil actif.
4957Le pare-feu Windows n'a pas appliqué la règle suivante :
4958Le pare-feu Windows n'a pas appliqué la règle suivante, car la règle fait référence à des éléments non configurées sur cet ordinateur :
5050Une tentative pour désactiver par programme le pare-feu Windows à l'aide d'un appel à l'interface INetFwProfile.FirewallEnabled(FALSE) a été rejetée car cette API n'est pas pris en charge sur Windows Vista. Cela s'est probablement produite parce qu'un programme qui est incompatible avec Windows Vista. Veuillez contacter le fabricant du programme pour vous assurer que vous possédez une version du programme compatible avec Windows Vista.

Sous-catégorie : Autres événements de modification de stratégie

Réduire ce tableauAgrandir ce tableau
IDMessage
4909Les paramètres de stratégie locale pour le service TBS ont été modifiés.
4910Les paramètres de stratégie de groupe pour le service TBS ont été modifiés.
5063Une opération de fournisseur de services cryptographiques a été tentée.
5064Une opération de contexte cryptographique a été tentée.
5065Une modification de contexte cryptographique a été tentée.
5066Une opération de fonction de chiffrement a été tentée.
5067Une modification de la fonction de chiffrement a été tentée.
5068Une opération de fournisseur de fonction de chiffrement a été tentée.
5069Une opération de propriété de fonction de chiffrement a été tentée.
5070Une modification de propriété de fonction de chiffrement a été tentée.
5447Un filtre de plateforme de filtrage Windows a été modifié.
6144La stratégie de sécurité dans les objets de stratégie de groupe a été appliquée avec succès.
6145Une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe.

Sous-catégorie : Spécial sous-catégorie multi-usage

Remarque : L'événement suivant peut être généré par un gestionnaire de ressources lorsque son sous-catégorie est activé. Par exemple, l'événement suivant peut être généré par le Gestionnaire de ressources du Registre ou par le Gestionnaire de ressources du système de fichiers.
Réduire ce tableauAgrandir ce tableau
IDMessage
4670Les autorisations sur un objet ont été modifiées.

Catégorie : L'utilisation des privilèges

Sous-catégorie : L'utilisation des privilèges sensibles / utilisation de privilèges Non sensibles

Réduire ce tableauAgrandir ce tableau
IDMessage
4672Privilèges spéciaux assignés à la nouvelle session.
4673Un service privilégié a été appelé.
4674Une opération a été tentée sur un objet avec privilèges.

Catégorie : système

Sous-catégorie : Pilote IPsec

Réduire ce tableauAgrandir ce tableau
IDMessage
4960IPsec a abandonné un paquet entrant qui a échoué une vérification d'intégrité. Si le problème persiste, cela pourrait indiquer qu'un problème de réseau ou que les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés de l'ordinateur distant sont les mêmes que celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec.
4961IPsec a abandonné un paquet entrant qui a échoué une vérification de la relecture. Si ce problème persiste, il peut indiquer une attaque par reconstitution contre cet ordinateur.
4962IPsec a abandonné un paquet entrant qui a échoué une vérification de la relecture. Le paquet entrant avait trop faible un numéro de séquence pour vous assurer qu'il n'était pas une rediffusion.
4963IPsec a abandonné un paquet de texte en clair entrant qui devrait être sécurisé. Cela est généralement dû à l'ordinateur distant, la modification de sa stratégie IPsec sans informer cet ordinateur. Cela peut également être une tentative d'attaque d'usurpation d'identité.
4965IPsec a reçu un paquet d'un ordinateur distant avec un Index SPI (Security Parameter Index) incorrect. Cela est généralement causé par du matériel défectueux qui endommage les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés de l'ordinateur distant sont les mêmes que celles reçues par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. Dans ce cas, si la connexion n'est pas entravée, puis ces événements peuvent être ignorés.
5478Les Services IPsec a démarré correctement.
5479Les Services IPsec a été arrêté avec succès. L'arrêt des Services IPsec peut présenter davantage de risques d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels.
5480Les Services IPsec n'a pas pu obtenir la liste complète des interfaces réseau de l'ordinateur. Ceci pose un risque de sécurité potentiel car certaines interfaces réseau peut ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5483Les Services IPsec n'a pas pu initialiser le serveur RPC. Les Services IPsec n'ont pas pu être démarrés.
5484Les Services IPsec ont expérimenté une défaillance critique et a été arrêté. L'arrêt des Services IPsec peut présenter davantage de risques d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels.
5485Les Services IPsec n'a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Ceci pose un risque de sécurité potentiel car certaines interfaces réseau peut ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.

Sous-catégorie : Autres événements système

Réduire ce tableauAgrandir ce tableau
IDMessage
5024Le Service pare-feu Windows a démarré avec succès.
5025Le Service pare-feu Windows a été arrêté.
5027Le Service pare-feu Windows n'a pas pu récupérer la stratégie de sécurité à partir du stockage local. Le service continuera d'appliquer la stratégie en cours.
5028Le Service pare-feu Windows n'a pas pu analyser la nouvelle stratégie de sécurité. Le service va continuer avec la stratégie actuellement appliquée.
5029Le Service pare-feu Windows n'a pas pu initialiser le pilote. Le service continuera d'appliquer la stratégie actuelle.
5030Impossible de démarrer le Service pare-feu Windows.
5032Le pare-feu Windows n'a pas pu notifier l'utilisateur qu'il a empêché une application d'accepter les connexions entrantes sur le réseau.
5033Le pilote du pare-feu Windows a démarré correctement.
5034Le pilote du pare-feu Windows a été arrêté.
5035Le pilote du pare-feu Windows n'a pas pu démarrer.
5037Le pilote du pare-feu Windows a détecté l'erreur d'exécution critique. Fin.
5058Opération de fichier de clé.
5059Opération de migration clés.

Sous-catégorie : Modification de l'état de sécurité

Réduire ce tableauAgrandir ce tableau
IDMessage
4608Démarrage de Windows.
4616L'heure système a été modifié.
4621Administrateur retrouvé le système à partir de la valeur CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs pourront maintenant se connecter. Peut-être que certaines activités pouvant être auditées n'aient pas été enregistrées.

Sous-catégorie : Extension de système de sécurité

Réduire ce tableauAgrandir ce tableau
IDMessage
4610Un package d'authentification a été chargé par l'autorité de sécurité locale.
4611Un processus d'ouverture de session a été enregistré avec l'autorité de sécurité locale.
4614Un package de notification a été chargé par le Gestionnaire de comptes de sécurité.
4622Un package de sécurité a été chargé par l'autorité de sécurité locale.
4697Un service a été installé dans le système.

Sous-catégorie : L'intégrité du système

Réduire ce tableauAgrandir ce tableau
IDMessage
4612Les ressources internes allouées pour la file d'attente des messages d'audit ont été épuisées, entraînant la perte de certains audits.
4615Utilisation non valide de port LPC.
4618Un modèle d'événement de sécurité analysé s'est produite.
4816RPC a détecté une violation d'intégrité lors du décryptage d'un message entrant.
5038L'intégrité du code déterminé que le hachage de l'image d'un fichier n'est pas valide. Le fichier peut être endommagé en raison d'une modification non autorisée ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle.
5056Un chiffrement auto-test a été effectué.
5057Échec d'une opération de primitive cryptographique.
5060Échec de l'opération de vérification.
5061Opération de chiffrement.
5062Un mode noyau cryptographique de test a été effectué.
Remarques
  • Pour renvoyer une plus détaillée la liste de toutes les écritures événements audit de sécurité, exécutez la commande suivante à une invite de commandes avec élévation de privilèges en tant qu'administrateur.
    wevtutil gp Microsoft-Windows-Security-audit /ge /gm:true
    L'exemple suivant montre une partie de la sortie :
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • Pour retourner une liste de tous les audits de sécurité catégories et sous-catégories, exécutez la commande suivante à une invite de commandes avec élévation de privilèges en tant qu'administrateur :
    AuditPol /list /subcategory: *

Références

Pour plus d'informations sur l'utilitaire Wevtutil, visitez le site Web de Microsoft à l'adresse suivante :
http://technet2.Microsoft.com/windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx (http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
Pour plus d'informations sur l'utilitaire Auditpol, visitez le site Web de Microsoft à l'adresse suivante :
http://technet2.Microsoft.com/windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true)
Pour plus d'informations sur l'utilisation de stratégie de groupe pour configurer les paramètres d'audit de sécurité détaillés, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
921469  (http://support.microsoft.com/kb/921469/ ) Comment faire pour utiliser Stratégie de groupe pour configurer les paramètres pour les ordinateurs basés sur Windows Server 2008 et Windows Vista dans un domaine Windows Server 2008, dans un domaine Windows Server 2003 ou dans un domaine Windows 2000 d'audit de sécurité détaillés
Pour plus d'informations sur le Guide de sécurité Windows Vista, visitez le site Web de Microsoft à l'adresse suivante :
http://technet.Microsoft.com/en-us/bb629420.aspx (http://technet.microsoft.com/en-us/bb629420.aspx)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Intégrale 64 bits
  • Windows Vista Professionnel
  • Windows Vista Professionnel 64 bits
  • Windows Vista Entreprise
  • Windows Vista Édition Intégrale
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
Mots-clés : 
kbexpertiseadvanced kbinfo kbmt KB947226 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 947226  (http://support.microsoft.com/kb/947226/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store