DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 977519 - Última revisão: terça-feira, 17 de Novembro de 2009 - Revisão: 1.0

 

Nesta página

INTRODUÇÃO

Este artigo descreve vários relacionadas com segurança e relacionadas com a auditoria de eventos no Windows 7 e no Windows Server 2008 R2. Este artigo também fornece informações sobre como interpretar estes eventos. Todos os estes eventos aparecem no registo de segurança e iniciaram sessão com uma origem de Auditoria de segurança. Este artigo também descreve como obter dados mais descritivos sobre eventos individuais.

Mais Informação

Esta secção lista todos os Windows 7 e Windows Server 2008 R2 segurança auditoria eventos relacionados com por categoria e subcategoria.

Categoria: Início de sessão de conta

Subcategoria: Validação de credenciais

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4774Uma conta foi mapeada para o início de sessão.
4775Não foi possível mapear uma conta de início de sessão.
4776O computador tentou validar as credenciais para uma conta.
4777Uma falha do controlador de domínio validar as credenciais para uma conta.

Subcategoria: Serviços de autenticação Kerberos

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4768Foi pedida uma permissão de autenticação Kerberos (TGT).
4771Falha de pré-autenticação Kerberos.
4772Falhou um pedido de permissão de autenticação Kerberos.

Subcategoria: Operações de permissão de serviços Kerberos

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4769Foi pedida uma permissão de serviço Kerberos.
4770Foi renovada uma permissão de serviço Kerberos.
4773Falhou um pedido de permissão de serviço Kerberos.

Categoria: Gestão de contas

Subcategoria: Gestão de grupos de aplicações

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4783Um grupo básico de aplicações foi criado.
4784Um grupo básico de aplicações foi alterado.
4785Foi adicionado um membro a um grupo de aplicações básicas.
4786Foi removido um membro de um grupo básico de aplicações.
4787Um membro não foi adicionado a um grupo de aplicações básicas.
4788Um membro não foi removido de um grupo básico de aplicações.
4789Foi eliminado um grupo básico de aplicações.
4790Um grupo de consulta LDAP foi criado.
4791Um grupo básico de aplicações foi alterado.
4792Foi eliminado um grupo de consulta LDAP.

Subcategoria: Gestão de contas de computador

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4741Foi criada uma conta de computador.
4742Foi alterada uma conta de computador.
4743Foi eliminada uma conta de computador.

Subcategoria: Gestão de grupos de distribuição

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4744Foi criado um grupo local com a segurança desactivada.
4745Foi alterado um grupo local com a segurança desactivada.
4746Foi adicionado um membro a um grupo local com a segurança desactivada.
4747Foi removido um membro de um grupo local com a segurança desactivada.
4748Foi eliminado um grupo local com a segurança desactivada.
4749Foi criado um grupo global com a segurança desactivada.
4750Foi alterado um grupo global de segurança desactivada.
4751Foi adicionado um membro a um grupo global com a segurança desactivada.
4752Foi removido um membro de um grupo global com a segurança desactivada.
4753Foi eliminado um grupo global de segurança desactivada.
4759Foi criado um grupo universal com a segurança desactivada.
4760Foi alterado um grupo universal com a segurança desactivada.
4761Foi adicionado um membro a um grupo universal com a segurança desactivada.
4762Foi removido um membro de um grupo universal com a segurança desactivada.

Subcategoria: Outros conta gestão eventos

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4782O hash da palavra-passe uma conta foi acedido.
4793A password política verificação API foi chamada.

Subcategoria: Gestão de grupos de segurança

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4727Foi criado um grupo global com segurança activada.
4728Foi adicionado um membro a um grupo global com segurança activada.
4729Foi removido um membro de um grupo global com segurança activada.
4730Foi eliminado um grupo global com segurança activada.
4731Foi criado um grupo local com segurança activada.
4732Foi adicionado um membro a um grupo local com segurança activada.
4733Foi removido um membro de um grupo local com segurança activada.
4734Foi eliminado um grupo local com segurança activada.
4735Foi alterado um grupo local com segurança activada.
4737Foi alterado um grupo global com segurança activada.
4754Foi criado um grupo universal com segurança activada.
4755Foi alterado um grupo universal com segurança activada.
4756Foi adicionado um membro a um grupo universal com segurança activada.
4757Foi removido um membro de um grupo universal com segurança activada.
4758Foi eliminado um grupo universal com segurança activada.
4764Tipo de um grupo foi alterado.

Subcategoria: Gestão de contas de utilizador

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4720Foi criada uma conta de utilizador.
4722Uma conta de utilizador foi activada.
4723Foi efectuada uma tentativa para alterar a palavra-passe da conta.
4724Foi efectuada uma tentativa para repor palavra-passe da conta.
4725Uma conta de utilizador foi desactivada.
4726Foi eliminada uma conta de utilizador.
4738Uma conta de utilizador foi alterada.
4740Uma conta de utilizador foi bloqueada.
4765Histórico do SID foi adicionado a uma conta.
4766Falha ao tentar adicionar o histórico SID a uma conta.
4767Uma conta de utilizador foi desbloqueada.
4780Foi definida a ACL em contas que sejam membros de grupos de administradores.
4781O nome de uma conta foi alterado:
4794Foi efectuada uma tentativa para definir o modo de restauro dos serviços de directório.
5376Gestor de credencial credenciais foram incluídos na cópia.
5377Gestor de credencial credenciais foram restauradas a partir de uma cópia de segurança.

Categoria: Rastreio detalhado

Subcategoria: Actividade da DPAPI

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4692Foi tentada a cópia de segurança da chave principal de protecção de dados.
4693Foi tentada a recuperação de chave principal de protecção de dados.
4694Foi tentada a protecção de dados protegidas auditáveis.
4695Foi tentada unprotection dos dados protegidos auditáveis.

Subcategoria: Criação do processo

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4688Foi criado um novo processo.
4696Foi atribuído um token primário a processar.

Subcategoria: Terminação do processo

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4689Um processo terminou.

Subcategoria: Eventos RPC

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5712 Foi tentada uma chamada de procedimento remoto (RPC).

Categoria: Acesso DS

Subcategoria: Replicação de serviço de directório detalhado

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4928Um contexto de nomeação de origem do Active Directory réplica foi estabelecido.
4929Um contexto de nomeação de origem do Active Directory réplica foi removido.
4930Um contexto de nomeação de origem do Active Directory réplica foi modificado.
4931Um contexto de nomeação de destino do Active Directory réplica foi modificado.
4934Atributos de um objecto do Active Directory foram replicados.
4935Inicia a replicação falha.
4936Falha de replicação termina.
4937Um objecto lentos foi removido de uma réplica.

Subcategoria: Directory Service Access

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4662 Foi efectuada uma operação num objecto.

Subcategoria: Alterações de serviço de directório

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5136Um objecto do serviço de directório foi modificado.
5137Foi criado um objecto de serviço de directório.
5138Um objecto do serviço de directório foi não eliminado.
5139Um objecto do serviço de directório foi movido.
5141 Um objecto do serviço de directório foi eliminado.

Subcategoria: Replicação de serviço de directório

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4932Sincronização de uma réplica de um contexto de nomeação do Active Directory começou.
4933Sincronização de uma réplica de um contexto de nomeação do Active Directory foi concluída.

Categoria: Iniciar/terminar sessão

Subcategoria: Modo expandido IPsec

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4978Durante a negociação de modo expandido, o IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação.
4979Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido.
4980Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido.
4981Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido.
4982Foram estabelecidas IPsec de modo principal e associações de segurança de modo expandido.
4983Um IPsec expandido negociação em modo falhou. A associação de segurança de modo principal correspondente foi eliminada.
4984Um IPsec expandido negociação em modo falhou. A associação de segurança de modo principal correspondente foi eliminada.

Subcategoria: Modo de principal de IPsec

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4646Modo de prevenção de IKE iniciado.
4650Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Autenticação de certificados não foi utilizada.
4651Foi estabelecida uma associação de segurança de modo principal IPsec. Não foi activado o modo expandido. Foi utilizado um certificado para autenticação.
4652Uma negociação de modo principal IPsec falhou.
4653Uma negociação de modo principal IPsec falhou.
4655Uma associação de segurança de modo principal IPsec terminou.
4976Durante a negociação de modo principal IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação.
5049Foi eliminada uma associação de segurança IPsec.
5453Agente de política de IPsec aplicado a política de IPsec de armazenamento do Active Directory no computador.

Subcategoria: Modo rápido IPsec

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4654Uma negociação de modo rápido IPsec falhou.
4977Durante a negociação de modo rápido IPsec recebeu um pacote de negociação inválido. Se este problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir esta negociação.
5451Foi estabelecida uma associação de segurança de modo rápido IPsec.
5452Uma associação de segurança de modo rápido IPsec terminou.

Subcategoria: terminar sessão

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4634 Uma conta foi terminada.
4647 O utilizador iniciou a fim de sessão.

Subcategoria: início de sessão

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4624Uma conta com êxito foi iniciada.
4625Uma conta não conseguiu iniciar sessão.
4648Foi tentado um início de sessão utilizando credenciais explícitas.
4675SID foram filtrados.

Subcategoria: Servidor de políticas de rede

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
6272Servidor de políticas de rede concedido acesso a um utilizador.
6273Servidor de políticas de rede negado o acesso a um utilizador.
6274Servidor de políticas de rede rejeitado o pedido de um utilizador.
6275Servidor de políticas de rede rejeitado o pedido de gestão de contas para um utilizador.
6276Servidor de políticas de rede colocados em quarentena um utilizador.
6277Servidor de políticas de rede acesso concedido a um utilizador mas colocá-la na probation porque o anfitrião não respeita a política de saúde definido.
6278Servidor de políticas de rede concedido acesso total a um utilizador porque o anfitrião cumprido a política de saúde definido.
6279Servidor de políticas de rede bloqueado a conta de utilizador devido a tentativas de autenticação falhadas repetidos.
6280Servidor de políticas de rede desbloqueado a conta de utilizador.

Subcategoria: Outros eventos de início/fim de sessão

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4649Foi detectado um ataque de reprodução.
4778Foi restabelecida uma sessão para uma estação de janela.
4779Uma sessão foi desligada de uma estação de janela.
4800A estação de trabalho foi bloqueada.
4801A estação de trabalho foi desbloqueada.
4802A protecção de ecrã foi invocada.
4803A protecção de ecrã foi dispensada.
5378A delegação de credenciais pedida não foi permitida pela política.
5632Foi efectuado um pedido para autenticar uma rede sem fios.
5633Foi efectuado um pedido para autenticar uma rede com fios.

Subcategoria: Início de sessão especial

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4964 Grupos especiais atribuídos a um novo início de sessão.

Categoria: Acesso a objectos

Subcategoria: Aplicação gerada

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4665Foi efectuada uma tentativa para criar um contexto de cliente da aplicação.
4666Uma aplicação tentou uma operação:
4667Um contexto de cliente da aplicação foi eliminado.
4668Uma aplicação foi inicializada.

Subcategoria: Serviços de certificação

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4868O Gestor de certificados negado um pedido de certificado pendente.
4869Os serviços de certificados receberam um pedido de certificado reenviado.
4870Serviços de certificados revogado um certificado.
4871Os serviços de certificados receberam um pedido para publicar a lista de revogação de certificado (CRL).
4872Os serviços de certificados publicaram a lista de revogação de certificados (CRL).
4873Uma extensão do pedido de certificado alterado.
4874Um ou mais atributos de pedido de certificado alterado.
4875Os serviços de certificados receberam um pedido para encerrar.
4876Cópia de segurança de serviços de certificados iniciado.
4877Certificado cópia de segurança de serviços foi concluída.
4878Iniciar o restauro dos serviços de certificado.
4879Concluída de restauro dos serviços de certificados.
4880Serviços de certificados iniciado.
4881Parar os serviços de certificados.
4882Alterar as permissões de segurança para os serviços de certificados.
4883Serviços de certificados obtidos de uma chave arquivada.
4884Serviços de certificados importados um certificado para a respectiva base de dados.
4885O filtro de auditoria para os serviços de certificados alterado.
4886Os serviços de certificados receberam um pedido de certificado.
4887Os serviços de certificados aprovou um pedido de certificado e emitiram um certificado.
4888Serviços de certificados negado um pedido de certificado.
4889Serviços de certificados definir o estado de um pedido de certificado como pendente.
4890As definições de Gestor de certificados para os serviços de certificados alteradas.
4891Uma entrada de configuração alterada no serviços de certificados.
4892Alterar uma propriedade dos serviços de certificados.
4893Serviços de certificados arquivaram uma chave.
4894Os serviços de certificados importados e arquivaram uma chave.
4895Os serviços de certificados publicaram o certificado da AC aos serviços de domínio do Active Directory.
4896Uma ou mais linhas foram eliminadas da base de dados do certificado.
4897Separação de funções activada:
4898Serviços de certificados carregado um modelo.
4899Um modelo de serviços de certificados foi actualizado.
4900Segurança de modelo dos serviços de certificado foi actualizada.
5120Serviço de resposta de OCSP iniciado.
5121Serviço de resposta de OCSP parado.
5122Uma entrada de configuração alterada no serviço de resposta de OCSP.
5123Uma entrada de configuração alterada no serviço de resposta de OCSP.
5124Uma definição de segurança foi actualizada no serviço de resposta de OCSP.
5125Foi submetido um pedido ao serviço de resposta de OCSP.
5126Certificado de assinatura foi actualizado automaticamente pelo serviço de resposta de OCSP.
5127O fornecedor de revogação de OCSP actualizado com êxito as informações de revogação.

Subcategoria: Partilha de ficheiros detalhado

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5145 Um objecto de partilha de rede estava marcado para ver se o cliente pode ser concedido acesso pretendido.

Subcategoria: Partilha de ficheiros

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5140Um objecto de partilha de rede foi acedido.
5142Foi adicionado um objecto de partilha de rede.
5143Um objecto de partilha de rede foi modificado.
5144Um objecto de partilha de rede foi eliminado.
5168Falhou a verificação de spn para SMB/SMB2.

Subcategoria: Sistema de ficheiros

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4664Foi efectuada uma tentativa de criar uma ligação rígida.
4985O estado de uma transacção foi alterado.
5051Um ficheiro foi virtualized.

Subcategoria: Ligação de plataforma de filtragem

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5031O serviço Firewall do Windows bloqueou uma aplicação de aceitar ligações a receber na rede.
5148Plataforma de filtragem do Windows tiver detectado um ataque do tipo denial-of-Service e introduzido um modo defensivo; pacotes associados este ataque serão rejeitadas.
5149O ataque do tipo denial-of-Service tem subsided e processamento normal é a ser retomado.
5150Plataforma de filtragem do Windows bloqueou um pacote.
5151Um filtro de plataforma de filtragem do Windows mais restritivo bloqueou um pacote.
5154Plataforma de filtragem do Windows foi permitida uma aplicação ou serviço para escutar numa porta de ligações a receber.
5155Plataforma de filtragem do Windows bloqueou uma aplicação ou serviço do está à escuta numa porta para ligações a receber.
5156Plataforma de filtragem do Windows foi permitida uma ligação.
5157Plataforma de filtragem do Windows bloqueou uma ligação.
5158Plataforma de filtragem do Windows permitiu um vincular a uma porta local.
5159Plataforma de filtragem do Windows bloqueou um vincular a uma porta local.

Subcategoria: Filtering Platform pacotes ignorados

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5152 Plataforma de filtragem do Windows bloqueou um pacote.
5153 Um filtro de plataforma de filtragem do Windows mais restritivo bloqueou um pacote.

Subcategoria: Manipulação de processar

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4656Um identificador para um objecto foi pedido.
4658O identificador para um objecto foi fechado.
4690Foi efectuada uma tentativa de duplicar um identificador para um objecto.

Subcategoria: Outros objecto eventos de acesso

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4671Uma aplicação tentou aceder a um ordinal bloqueado através de TBS.
4691Acesso indirecto a um objecto foi pedido.
4698Uma tarefa agendada foi criada.
4699Uma tarefa agendada foi eliminada.
4700Uma tarefa agendada foi activada.
4701Uma tarefa agendada foi desactivada.
4702Uma tarefa agendada foi actualizada.
4702Uma tarefa agendada foi actualizada.
5888Um objecto no catálogo do COM + foi modificado.
5889Um objecto foi eliminado do catálogo do COM +.
5890Um objecto foi adicionado ao catálogo do COM +.

Subcategoria: registo

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4657 Um valor de registo foi modificado.
5039 Uma chave de registo foi virtualized.

Subcategoria: especial subcategoria Multi-use

Nota O seguinte evento poderá ser gerado por qualquer gestor de recursos quando o respectiva subcategoria está activada. Por exemplo, o seguinte evento poderá ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros. O Object Access: objecto kernel e acesso a objectos: SAM subcategorias são exemplos de subcategorias utilizam exclusivamente a estes eventos.
Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4659Foi pedido um identificador para um objecto com intenção de o eliminar.
4660Um objecto foi eliminado.
4661Um identificador para um objecto foi pedido.
4663Foi efectuada uma tentativa para aceder a um objecto.

Categoria: Alteração da política

Subcategoria: Alteração da política de auditoria

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4715A política de auditoria (SACL) num objecto foi alterada.
4719Política de auditoria de sistema foi alterada.
4817Foram alteradas as definições de auditoria num objecto.
4902A tabela de políticas de auditoria por utilizador foi criada.
4904Foi efectuada uma tentativa de registar uma origem de evento de segurança.
4905Foi efectuada uma tentativa para anular o registo de uma origem de evento de segurança.
4906O valor CrashOnAuditFail foi alterado.
4907Foram alteradas as definições de auditoria no objecto.
4908Tabela de logon de grupos especial modificada.
4912Por política de auditoria do utilizador foi alterada.

Subcategoria: Alteração da política de autenticação

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4706Uma nova fidedignidade foi criada para um domínio.
4707Uma fidedignidade para um domínio foi removida.
4713Política Kerberos foi alterada.
4716Informações de domínio fidedigno foi modificadas.
4717Foi concedido o acesso de segurança do sistema para uma conta.
4718Acesso de segurança do sistema foi removido de uma conta.
4739Política de domínio foi alterada.
4864Foi detectada uma colisão de espaço de nomes.
4865Foi adicionada uma entrada de informações de floresta fidedigna.
4866Uma entrada de informações de floresta fidedigna foi removida.
4867Uma entrada de informações de floresta fidedigna foi modificada.

Subcategoria: Alteração da política de autorização

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4704Foi atribuído um direito de utilizador.
4705Foi removido um direito de utilizador.
4714Política de grupo de agente de recuperação de dados para encriptação de ficheiros (EFS) foi alterada. As novas alterações foram aplicadas.

Subcategoria: Alteração da política de plataforma de filtragem

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4709O serviço de agente de política IPsec foi iniciado.
4710O serviço do agente de política IPsec foi desactivado.
4711Pode conter qualquer um dos seguintes procedimentos:
  • O motor PAStore aplicou a cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador.
  • O motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador.
  • O motor PAStore aplicou a política IPsec de armazenamento no registo local no computador.
  • Falha do motor PAStore ao aplicar cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador.
  • Falha do motor PAStore ao aplicar política de IPsec de armazenamento do Active Directory no computador.
  • Falha do motor PAStore ao aplicar a política IPsec de armazenamento no registo local no computador.
  • Falha do motor PAStore ao aplicar algumas regras da política IPsec activa no computador.
  • Falha do motor PAStore ao carregar a política IPsec no computador de armazenamento de directório.
  • O motor PAStore carregou a política IPsec no computador de armazenamento de directório.
  • Falha do motor PAStore ao carregar a política IPsec no computador de armazenamento local.
  • O motor PAStore carregou a política IPsec no computador de armazenamento local.
  • O motor PAStore consultou alterações à política IPsec activa e detectou sem alterações.
4712Agente de política IPsec detectou uma falha potencialmente grave.
5040Foi efectuada uma alteração às definições de IPsec. Foi adicionado um conjunto de autenticação.
5041Foi efectuada uma alteração às definições de IPsec. Um conjunto de autenticação foi modificado.
5042Foi efectuada uma alteração às definições de IPsec. Um conjunto de autenticação foi eliminado.
5043Foi efectuada uma alteração às definições de IPsec. Foi adicionada uma regra de segurança de ligação.
5044Foi efectuada uma alteração às definições de IPsec. Uma regra de segurança de ligação foi modificada.
5045Foi efectuada uma alteração às definições de IPsec. Uma regra de segurança de ligação foi eliminada.
5046Foi efectuada uma alteração às definições de IPsec. Foi adicionado um conjunto de criptografia.
5047Foi efectuada uma alteração às definições de IPsec. Um conjunto de criptografia foi modificado.
5048Foi efectuada uma alteração às definições de IPsec. Um conjunto de criptografia foi eliminado.
5440A chamada seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado.
5441O seguinte filtro estava presente quando o Windows Filtering Platform Base filtragem motor iniciado.
5442O seguinte fornecedor estava presente quando o Windows Filtering Platform Base filtragem motor iniciado.
5443O contexto do fornecedor seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado.
5444Sub-layer seguinte estava presente quando o Windows Filtering Platform Base filtragem motor iniciado.
5446Uma chamada de plataforma de filtragem do Windows foi alterada.
5448Um fornecedor de plataforma de filtragem do Windows foi alterado.
5449Contexto do fornecedor um plataforma de filtragem do Windows foi alterado.
5450Sub-layer uma plataforma de filtragem do Windows foi alterado.
5456O motor PAStore aplicou a política de IPsec de armazenamento do Active Directory no computador.
5457Agente de política de IPsec Falha ao aplicar política de IPsec de armazenamento do Active Directory no computador.
5458Agente de política de IPsec aplicados localmente cópia da política IPsec no computador de armazenamento do Active Directory em cache.
5459Agente de política de IPsec Falha ao aplicar a cópia em cache localmente de política de IPsec de armazenamento do Active Directory no computador.
5460Agente de política de IPsec aplicado a política IPsec de armazenamento no registo local no computador.
5461Agente de política de IPsec Falha ao aplicar a política IPsec de armazenamento no registo local no computador.
5462Agente de política de IPsec Falha ao aplicar algumas regras da política IPsec activa no computador. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema.
5463Agente de política de IPsec consultou alterações à política IPsec activa e detectou sem alterações.
5464Agente de política de IPsec consultou alterações à política IPsec activa, detectou alterações e aplicou-as.
5465Agente de política de IPsec recebeu um controlo para recarregamento forçado da política IPsec e processado com êxito o controlo.
5466Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory não pode ser acedido e irá utilizar a cópia em cache da política IPsec do Active Directory em vez disso. Quaisquer alterações efectuadas a política IPsec Active Directory desde a última consulta não puderam ser aplicada.
5467Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory pode ser atingido e não encontrou alterações à política. A cópia em cache da política IPsec Active Directory já não está a ser utilizada.
5468Agente de política de IPsec consultado relativamente a alterações efectuadas a política IPsec Active Directory, determinado que Active Directory pode ser acedido, encontrou alterações à política e aplicou essas alterações. A cópia em cache da política IPsec Active Directory já não está a ser utilizada.
5471Agente de política de IPsec carregou a política IPsec no computador de armazenamento local.
5472Agente de política de IPsec Falha ao carregar a política IPsec no computador de armazenamento local.
5473Agente de política de IPsec carregou a política IPsec no computador de armazenamento de directório.
5474Agente de política de IPsec Falha ao carregar a política IPsec no computador de armazenamento de directório.
5477Agente de política de IPsec Falha ao adicionar o filtro de modo rápido.

Subcategoria: Alteração da política de nível de regra MPSSVC

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4944A seguinte política estava activa quando a Firewall do Windows foi iniciado.
4945Uma regra foi listada quando a Firewall do Windows foi iniciado.
4946Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi adicionada.
4947Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi modificada.
4948Foi efectuada uma alteração à lista de excepções do Firewall do Windows. Uma regra foi eliminada.
4949As definições do Firewall do Windows foram restauradas para os valores predefinidos.
4950Foi alterada uma definição de Firewall do Windows.
4951Firewall do Windows ignorada uma regra porque o respectivo número de versão principal não é reconhecido.
4952Firewall do Windows ignorada partes de uma regra porque o respectivo número de versão secundário não é reconhecido. Outras partes da regra serão aplicadas.
4953Firewall do Windows ignorada uma regra, porque não foi possível analisar.
4954As definições de política de grupo para O Firewall do Windows foram alteradas e as novas definições foram aplicadas.
4956Firewall do Windows alterados no perfil activo.
4957Firewall do Windows não aplicou a seguinte regra:
4958Firewall do Windows não aplicou a seguinte regra porque a regra referido itens não configurados neste computador:
5050Uma tentativa para desactivar programaticamente o Firewall do Windows utilizando uma chamada para INetFwProfile.FirewallEnabled(FALSE) interface foi rejeitada porque esta API não é suportado nesta versão do Windows. Isto é provavelmente devido a um programa que é incompatível com esta versão do Windows. Contacte o fabricante do programa para Certifique-se de que tem uma versão do programa compatível.

Subcategoria: Outros política eventos de alteração

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4909As definições de política local para o TBS foram alteradas.
4910As definições de política de grupo para o TBS foram alteradas.
5063Foi tentada uma operação de fornecedor criptográfico.
5064Foi tentada uma operação de contexto criptográfico.
5065Foi tentada uma modificação de contexto criptográfico.
5066Foi tentada uma operação de função criptográfica.
5067Foi tentada uma modificação de função criptográfica.
5068Foi tentada uma operação de fornecedor de função criptográfica.
5069Foi tentada uma operação de propriedade de função criptográfica.
5070Foi tentada uma modificação da propriedade de função criptográfica.
5447Foi alterado um filtro de plataforma de filtragem do Windows.
6144A política de segurança nos objectos de política de grupo foi aplicada com êxito.
6145Ocorreram um ou mais erros ao processar a política de segurança nos objectos de política de grupo.

Subcategoria: especial subcategoria Multi-use

Nota O seguinte evento poderá ser gerado por qualquer gestor de recursos quando o respectiva subcategoria está activada. Por exemplo, o seguinte evento poderá ser gerado pelo Gestor de recursos de registo ou pelo Gestor de recursos do sistema de ficheiros.
Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4670 Permissões num objecto foram alterados.

Categoria: Utilização de privilégios

Utilização de privilégios sensíveis subcategoria: / Utilizar privilégios de não distinção

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4672Privilégios especiais atribuídos a novo início de sessão.
4673Foi chamado um serviço privilegiado.
4674Foi tentada uma operação num objecto privilegiado.

Categoria: sistema

Subcategoria: Controlador de IPsec

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4960IPsec ignorado um pacote de entrada falhou uma verificação de integridade. Se este problema persistir, poderá indicar que um problema de rede ou que pacotes estão a ser modificados em trânsito para este computador. Verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec.
4961IPsec ignorado um pacote de entrada falhou uma verificação de reprodução. Se este problema persistir, poderá indicar um ataque de reprodução contra este computador.
4962IPsec ignorado um pacote de entrada falhou uma verificação de reprodução. O pacote de entrada tinha demasiado baixo um número de sequência para garantir que não era uma reprodução.
4963IPsec ignorado um pacote de entrada de texto simples que deveria ter sido protegido. Se o computador remoto estiver configurado com uma política de pedido de saída IPsec, este poderá ser benigno e esperado. Isto também pode ser causado pelo computador remoto, alterar a respectiva política de IPsec sem informar neste computador. Isto também poderia ser uma tentativa de ataque de fraude.
4965IPsec recebeu um pacote a partir de um computador remoto com um incorrecto Security Parameter índice (SPI). Normalmente, esta situação é causada por hardware funcionar incorrectamente que é danificando pacotes. Se estes erros persistirem, verifique se os pacotes enviados a partir do computador remoto são os mesmos daqueles recebido por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações do IPsec. Nesse caso, se não for impeded conectividade, em seguida, estes eventos podem ser ignorados.
5478O serviço de agente de política IPsec foi iniciado.
5479Serviços IPsec foi encerrado com êxito. O encerramento de serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança.
5480Agente de política de IPsec Falha ao obter a lista completa de interfaces de rede no computador. Isto representa um risco de segurança potencial porque algumas das interfaces de rede não poderão obter a protecção fornecida pelos filtros de IPsec aplicados. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema.
5483O serviço agente de política de IPsec Falha ao inicializar o respectivo servidor RPC. Não foi possível iniciar o serviço.
5484O serviço do agente de política IPsec detectou uma falha grave e foi encerrado. O encerramento do serviço pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança.
5485Agente de política de IPsec não conseguiu processar alguns filtros de IPsec num evento plug-and-play para interfaces de rede. Isto representa um risco de segurança potencial porque algumas das interfaces de rede não poderão obter a protecção fornecida pelos filtros de IPsec aplicados. Utilizar o snap-in Monitor de segurança IP para diagnosticar o problema.

Subcategoria: Outros eventos do sistema

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
5024O serviço Firewall do Windows foi iniciado com êxito.
5025O serviço Firewall do Windows foi parado.
5027O serviço Firewall do Windows não conseguiu obter a política de segurança do armazenamento local. Firewall do Windows continuará para impor a política actual.
5028Firewall do Windows não conseguiu analisar a nova política de segurança. Firewall do Windows continuará para impor a política actual.
5029O serviço Firewall do Windows não conseguiu inicializar o controlador. Firewall do Windows continuará para impor a política actual.
5030Não foi possível iniciar o serviço Firewall do Windows.
5032Firewall do Windows não conseguiu notificar o utilizador que bloqueado uma aplicação de aceitar ligações a receber na rede.
5033O controlador da Firewall do Windows foi iniciado com êxito.
5034O controlador da Firewall do Windows foi parado.
5035Não foi possível iniciar o controlador da Firewall do Windows.
5037O controlador da Firewall do Windows detectou um erro de tempo de execução crítico, terminar.
5058Operação de ficheiro de chave.
5059Operação de migração de chaves.
6400BranchCache: Recebida uma resposta formatada incorrectamente ao descobrir a disponibilidade de conteúdo.
6401BranchCache: Recebidos dados inválidos de um peer. Dados eliminados.
6403BranchCache: A cache hospedado enviou uma resposta formatada incorrectamente para o cliente.
6404BranchCache: Alojada cache não pode ser autenticado utilizando o certificado SSL provisioned.
6405BranchCache: Ocorreu a instância (s) de id de evento %1 %2.
6406%1 registado ao Firewall do Windows para controlo de filtragem para o seguinte: %2
64071 %

Subcategoria: Alteração de estado de segurança

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4608Windows está a iniciar.
4616A hora do sistema foi alterada.
4621Administrador recuperou de sistema de CrashOnAuditFail. Os utilizadores que não são administradores agora serão permitidos para iniciar sessão. Algumas actividades auditáveis podem não ter sido gravada.

Subcategoria: Extensão de sistema de segurança

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4610Um pacote de autenticação foi carregado pela autoridade de segurança local.
4611Um processo de início de sessão fidedigno foi registado com a autoridade de segurança local.
4614Um pacote de notificação foi carregado pelo Gestor de contas de segurança.
4622Um pacote de segurança foi carregado pela autoridade de segurança local.
4697Um serviço foi instalado no sistema.

Subcategoria: Integridade do sistema

Reduzir esta tabelaExpandir esta tabela
ID Mensagem
4612Tem sido esgotados recursos internos atribuídos para a colocação em fila de mensagens de auditoria, conduzindo a perda de algumas auditorias.
4615Utilização inválida da porta LPC.
4618Ocorreu um padrão de eventos de segurança monitorizada.
4816RPC detectou uma violação de integridade ao desencriptar uma mensagem a receber.
5038Código de integridade determinou que o hash de imagem de um ficheiro não é válido. O ficheiro pode estar danificado devido a modificação não autorizada ou hash inválido pode indicar um potencial erro de dispositivo de disco.
5056Um teste automático criptográfico foi efectuado.
5057Falhou uma operação criptográfica primitiva.
5060Falha na operação de verificação.
5061Operação criptográfica.
5062Um modo de kernel criptográfico autoteste foi efectuado.
6281Código de integridade determinado os hashes de página de um ficheiro de imagem não são válidos. O ficheiro pode ser incorrectamente assinado sem hashes de página ou danificado devido a modificação não autorizada. Os hashes inválidos poderá indicar um potencial erro de dispositivo de disco

Notas

  • Para devolver um mais detalhada lista de todas as auditoria de segurança evento entradas, execute o seguinte comando numa linha de comandos elevada como administrador:
    wevtutil gp Microsoft-Windows--auditoria de segurança /gm:true /ge
    O exemplo seguinte mostra parte do resultado: evento
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • Para devolver uma lista de todos os auditoria de segurança categorias e subcategorias, execute o seguinte comando numa linha de comandos elevada como administrador:
    auditpol /list /subcategory: *

Referências

Para mais informações sobre o utilitário Wevtutil, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx (http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
Para mais informações sobre o utilitário AuditPol, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx (http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx)
Para obter mais informações sobre definições avançadas de segurança auditoria política no Windows Server 2008 R2 e no Windows 7, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx)
Para obter mais informações sobre a auditoria de segurança no Windows Vista e Windows Server 2008, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
947226  (http://support.microsoft.com/kb/947226/ ) Descrição de eventos de segurança no Windows Vista e no Windows Server 2008

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
Palavras-chave: 
kbmt kbeventlog kbexpertiseinter kbsurveynew kbinfo KB977519 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 977519  (http://support.microsoft.com/kb/977519/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft