Windows Server 2008 R2 中的安全事件的说明|江阴雨辰互联

2023年6月25日发(作者：)

类别：帐户登录

子类别：凭据验证

消息

4774

帐户已进行的登录映射。

4775

不能进行的登录映射的帐户。

4776

计算机试图验证帐户凭据。

4777

域控制器无法验证帐户凭据。

子类别： Kerberos 验证服务

消息

4768

Kerberos 身份验证票证 (TGT) 请求。

4771

Kerberos 预身份验证失败。

4772

Kerberos 身份验证票证请求失败。

子类别： Kerberos 服务票证操作

消息

4769

请求服务的 Kerberos 票证。

4770

Kerberos 服务票证的续订。

4773

Kerberos 服务票证请求失败。

类别：帐户管理

子类别：应用程序组管理

消息

4783

创建一个基本的应用程序组。

4784

一个基本的应用程序组已被更改。

4785

已将成员添加到基本应用程序组。

4786

从基本的应用程序组已删除成员。

4787

非成员已添加到基本应用程序组。

4788

从基本的应用程序组中删除非成员。

4789

一个基本的应用程序组已被删除。

4790

创建 LDAP 查询组。 4791

一个基本的应用程序组已被更改。

4792

LDAP 查询组已被删除。

子类别：计算机帐户管理

消息

4741

创建计算机帐户。

4742

计算机帐户已被更改。

4743

计算机帐户已被删除。

子类别：分发组管理

消息

4744

已创建禁用安全的本地组。

4745

禁用安全的本地组已被更改。

4746

已将成员添加到禁用安全的本地组。

4747

已从禁用安全的本地组删除成员。

4748

已删除禁用安全的本地组。

4749

已创建禁用安全的全局组。

4750

禁用安全的全局组已被更改。

4751

已将成员添加到禁用安全的全局组。

4752

已从禁用安全的全局组删除成员。

4753

已删除禁用安全的全局组。

4759

已创建禁用安全的通用组。

4760

禁用安全的通用组已被更改。

4761

已将成员添加到禁用安全的通用组。

4762

已从禁用安全的通用组删除成员。

子类别：其他帐户管理事件

消息

4782

访问密码哈希的帐户。

4793

调用了密码策略检查 API。

子类别：安全组管理

消息

4727

创建启用安全的全局组。

4728

已将成员添加到启用安全的全局组。

4729

已从启用安全的全局组删除成员。

4730

启用安全的全局组已被删除。

4731

创建启用安全的本地组。

4732

已将成员添加到启用安全的本地组。

4733

已从启用安全的本地组删除成员。

4734

启用安全的本地组已被删除。

4735

启用安全的本地组已被更改。

4737

启用安全的全局组已被更改。

4754

创建启用安全的通用组。

4755

启用安全的通用组已被更改。

4756

已将成员添加到启用安全的通用组。

4757

已从启用安全的通用组删除成员。

4758

启用安全的通用组已被删除。

4764

一组的类型已更改。

子类别：用户帐户管理

消息

4720

创建用户帐户。

4722

已启用用户帐户。

4723

尝试更改帐户的密码。

4724

尝试重置帐户的密码。

4725

一个用户帐户被禁用。

4726

用户帐户已被删除。

4738

用户帐户已被更改。

4740

用户帐户已被锁定。

4765

SID 历史记录已添加到帐户。 4766

要添加到帐户的 SID 历史记录的尝试失败。

4767

用户帐户被解除锁定。

4780

它们是管理员组的成员帐户上设置 ACL。

4781

已更改的帐户名称:

4794

尝试设置目录服务还原模式。

5376

凭据管理器凭据已备份。

5377

凭据管理器凭据已从备份中还原。

类别：详细的跟踪

子类别： DPAPI 活动

消息

4692

试图进行备份的数据保护主密钥。

4693

试图恢复的数据保护主密钥。

4694

试图进行可审核的受保护数据的保护。

4695

试图进行可审核的受保护数据的 unprotection。

子类别：进程创建

消息

4688

已创建一个新的进程。

4696

一个主令牌分配给处理。

子类别：进程终止

消息

4689

一个进程已退出。

子类别： RPC 事件

消息

5712

试图执行一个远程过程调用 (RPC)。

类别： DS 访问

子类别：详细的目录服务复制

消息

4928

已建立的 Active Directory 复制副本源的命名上下文。

4929

删除一个 Active Directory 复制副本源的命名上下文。

4930

已修改的 Active Directory 复制副本源的命名上下文。

4931

已修改的 Active Directory 复制副本目标命名上下文。

4934

Active Directory 对象的属性被复制。

4935

开始复制失败。

4936

结束复制失败。

4937

已从副本中删除延迟对象。

子类别：目录服务访问

消息

4662

在对象上执行的操作。

子类别：目录服务变更

消息

5136

目录服务对象已被修改。

5137

创建目录服务对象。

5138

目录服务对象时未删除。

5139

目录服务对象已移动。

5141

目录服务对象已被删除。

子类别：目录服务复制

消息

4932

Active Directory 命名上下文的副本的同步已开始。

4933

Active Directory 命名上下文的副本的同步已结束。

类别：登录/注销

子类别： IPsec 扩展模式

消息

4978

在扩展的模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在，它可能表示网络问题或试图修改或重播此协商的。

4979

建立 IPsec 主模式和扩展的模式安全关联。

4980

建立 IPsec 主模式和扩展的模式安全关联。

4981

建立 IPsec 主模式和扩展的模式安全关联。

4982

建立 IPsec 主模式和扩展的模式安全关联。

4983

一个 IPsec 扩展模式协商失败。相应的主模式安全关联已被删除。

4984

一个 IPsec 扩展模式协商失败。相应的主模式安全关联已被删除。

子类别： IPsec 主模式

消息

4646

IKE DoS 预防启动模式。

4650

已建立的 IPsec 主模式安全关联。扩展模式下未启用。不使用证书身份验证。

4651

已建立的 IPsec 主模式安全关联。扩展模式下未启用。证书用于身份验证。

4652

一个 IPsec 主模式协商失败。

4653

一个 IPsec 主模式协商失败。

4655

IPsec 主模式安全关联结束。

4976

在主模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在，它可能表示网络问题或试图修改或重播此协商的。

5049

IPsec 安全关联已被删除。

5453

IPsec 策略代理计算机上应用 Active Directory 存储 IPsec 策略。

子类别： IPsec 快速模式

消息

4654

一个 IPsec 快速模式协商失败。

4977

在快速模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在，它可能表示网络问题或试图修改或重播此协商的。

5451

已建立的 IPsec 快速模式安全关联。 5452

IPsec 快速模式安全关联结束。

子类别：注销

消息

4634

帐户被注销。

4647

用户启动注销过程。

子类别：登录

消息

4624

已成功登录的帐户。

4625

帐户登录失败。

4648

使用显式凭据尝试登录。

4675

sid 已被筛选。

子类别：网络策略服务器

消息

6272

网络策略服务器向用户授予访问权限。

6273

网络策略服务器对用户拒绝访问。

6274

网络策略服务器放弃用户的请求。

6275

网络策略服务器放弃用户的记帐请求。

6276

网络策略服务器隔离的用户。

6277

网络策略服务器向用户授予访问权限，但将其放在试用期，因为主机不符合已定义的运行状况策略。

6278

因为主机符合已定义的运行状况策略，网络策略服务器向用户授予完全访问权限。

6279

网络策略服务器锁定用户帐户由于重复身份验证失败的尝试。

6280

网络策略服务器解除锁定用户帐户。

子类别：其他登录/注销事件

消息

4649

检测到重播攻击。

4778

会话已重新连接到一个窗口站。

4779

从窗口站断开的会话。 4800

工作站已锁定。

4801

工作站已解锁。

4802

屏幕保护程序被调用。

4803

屏幕保护程序被取消。

5378

所请求的凭据委派是不允许的策略。

5632

对无线网络进行身份验证进行了一个请求。

5633

对有线网络进行身份验证进行了一个请求。

子类别：特殊登录

消息

4964

特殊组已分配到一个新的登录。

对象访问类别：

生成的子类别：应用程序

消息

4665

尝试创建一个应用程序客户端上下文。

4666

应用程序试图执行的操作：

4667

应用程序客户端上下文已被删除。

4668

应用程序已初始化。

子类别：证书服务

消息

4868

证书管理器拒绝了挂起的证书请求。

4869

证书服务收到重新提交的证书申请。

4870

证书服务吊销的证书。

4871

证书服务收到发布证书吊销列表 (CRL) 的请求。

4872

证书服务发布证书吊销列表 (CRL)。

4873

证书申请扩展已更改。

4874

一个或多个证书申请属性已更改。

4875

证书服务收到关机请求。 4876

证书服务备份已启动。

4877

证书服务备份已完成。

4878

证书服务还原已启动。

4879

证书服务还原已完成。

4880

证书服务已启动。

4881

证书服务已停止。

4882

证书服务的安全权限更改。

4883

证书服务检索到一个存档的密钥。

4884

证书服务已将证书导入它的数据库。

4885

证书服务的该审核筛选已更改。

4886

证书服务收到证书申请。

4887

证书服务批准证书申请并颁发了证书。

4888

证书服务拒绝证书申请。

4889

证书服务将证书申请的状态设置为挂起。

4890

证书服务的证书管理器设置更改。

4891

在 $ 证书服务中更改一个配置项。

4892

证书服务的属性已更改。

4893

证书服务存档了密钥。

4894

证书服务导入并存档了密钥。

4895

证书服务发布到 Active Directory 域服务的 CA 证书。

4896

已从证书数据库删除一个或多个行。

4897

启用角色分离：

4898

证书服务加载模板。

4899

证书服务模板进行更新。

4900

证书服务模板安全性已更新。

5120

OCSP 响应方服务已启动。

5121

OCSP 响应方服务已停止。

5122

在 $ OCSP 响应方服务中更改一个配置条目。

5123

在 $ OCSP 响应方服务中更改一个配置项。 5124

OCSP 响应方服务上已更新的安全设置。

5125

OCSP 响应方服务以提交了一个请求。

5126

OCSP 响应方服务时，自动更新签名证书。

5127

OCSP 吊销提供程序已成功更新吊销信息。

子类别：详细的文件共享

消息

5145

若要查看是否可以访问所需授予客户端检查网络共享对象。

子类别：文件共享

消息

5140

访问网络共享对象。

5142

添加了一个网络共享对象。

5143

网络共享对象已被修改。

5144

网络共享对象已被删除。

5168

SMB/SMB2 Spn 检查失败。

子类别：文件系统

消息

4664

尝试创建硬链接。

4985

事务的状态已发生更改。

5051

文件的虚拟化。

子类别：筛选平台连接

消息

5031

Windows 防火墙服务被阻止的应用程序接受传入连接在网络上。

5148

Windows 筛选平台已检测到 DoS 攻击并输入一种防御性模式；与此攻击相关的数据包将被放弃。

5149

DoS 攻击已减少，并继续正常处理。

5150

Windows 筛选平台已阻止的数据包。

5151

一个限制性更强的 Windows 筛选平台筛选器已阻止的数据包。

5154

Windows 筛选平台具有允许应用程序或服务为在端口上侦听传入的连接。 5155

应用程序或从在端口上侦听传入的连接的服务，已阻止 Windows 筛选平台。

5156

Windows 筛选平台具有允许连接。

5157

Windows 筛选平台已阻止的连接。

5158

Windows 筛选平台具有允许绑定到一个本地端口。

5159

Windows 筛选平台已阻止了绑定到一个本地端口。

子类别：筛选平台数据包丢弃

消息

5152

Windows 筛选平台已阻止的数据包。

5153

一个限制性更强的 Windows 筛选平台筛选器已阻止的数据包。

子类别：句柄操作

消息

4656

请求对象的句柄。

4658

已关闭的对象句柄。

4690

尝试复制一个对象的句柄。

子类别：其他对象访问事件

消息

4671

应用程序试图通过该 TBS.访问被禁止的序号

4691

请求的对象的间接访问。

4698

创建计划的任务。

4699

计划的任务已被删除。

4700

已启用计划的任务。

4701

已禁用计划的任务。

4702

已更新计划的任务。

4702

已更新计划的任务。

5888

COM + 目录中的对象已被修改。

5889

对象已从 COM + 目录中删除。

5890

对象已添加到 COM + 目录中。

子类别：注册表

消息

4657

修改注册表值。

5039

注册表项是虚拟化。

子类别：特殊 Multi-use 子类别

注意启用及其子类别时，可能会以下事件生成的任何资源管理器。例如对于通过注册表资源管理器或由文件系统资源管理器，可能会生成下面的事件。在对象访问：内核对象和对象访问： SAM 子类别是以独占方式使用这些事件的子类别的示例。

消息

4659

若要删除的意图请求对象的句柄。

4660

一个对象已被删除。

4661

请求对象的句柄。

4663

尝试访问的对象。

类别：策略更改

子类别：审核策略更改

消息

4715

在对象上的审核策略 (SACL) 已被更改。

4719

系统审核策略已更改。

4817

在对象上的审核设置已更改。

4902

创建每用户审核策略表。

4904

尝试注册一个安全的事件源。

4905

尝试注销一个安全的事件源。

4906

CrashOnAuditFail 值已更改。

4907

在对象上的审核设置已更改。

4908

修改的特殊组登录表。

4912

每用户审核策略已更改。

子类别：身份验证策略更改

消息

4706

为域创建一个新的信任。

4707

删除到域的信任。 4713

Kerberos 策略已更改。

4716

受信任的域信息进行了修改。

4717

系统的安全访问权授予权限的帐户。

4718

系统的安全访问权限已从帐户中删除。

4739

域策略已更改。

4864

检测到一个命名空间冲突。

4865

添加了一个受信任的林信息条目。

4866

删除受信任的林信息项。

4867

受信任的林信息项进行了修改。

子类别：授权策略更改

消息

4704

分配用户权利。

4705

删除了用户权限。

4714

数据恢复代理组策略的加密文件系统 (EFS) 已更改。已应用新的更改。

子类别：筛选平台策略更改

消息

4709

IPsec 策略代理服务已启动。

4710

IPsec 策略代理服务已被禁用。

4711

可能包含以下任何一项：

PAStore 引擎在计算机上应用 IPsec 策略的 Active Directory 存储的本地缓存的的副本。

PAStore 引擎应用 IPsec 策略的 Active Directory 存储在计算机上。

PAStore 引擎应用在计算机上的本地注册表存储 IPsec 策略。

PAStore 引擎无法在计算机上应用的 IPsec 策略的 Active Directory 存储的本地缓存的副本。

PAStore 引擎无法应用活动目录存储 IPsec 策略在计算机上。

PAStore 引擎无法应用在计算机上的本地注册表存储 IPsec 策略。

PAStore 引擎无法应用某些规则的活动 IPsec 策略在计算机上。

PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。

PAStore 引擎加载目录存储在计算机上的 IPsec 策略。

PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。

PAStore 引擎加载本地存储在计算机上的 IPsec 策略。

PAStore 引擎轮询活动 IPsec 策略的更改，并检测到任何更改。 4712

IPsec 策略代理遇到了一个潜在的严重故障。

5040

IPsec 设置进行了更改。添加了一个身份验证集。

5041

IPsec 设置进行了更改。修改一个身份验证集。

5042

IPsec 设置进行了更改。一个身份验证集已被删除。

5043

IPsec 设置进行了更改。添加了一个连接安全规则。

5044

IPsec 设置进行了更改。连接安全规则已被修改。

5045

IPsec 设置进行了更改。连接安全规则已被删除。

5046

IPsec 设置进行了更改。添加加密设置。

5047

IPsec 设置进行了更改。加密设置进行了修改。

5048

IPsec 设置进行了更改。加密设置已被删除。

5440

当 Windows 筛选平台基础筛选引擎已启动时出现以下的标注。

5441

下面的筛选器已存在时，Windows 筛选平台基础筛选引擎已启动。

5442

当 Windows 筛选平台基础筛选引擎已启动时出现下列提供程序。

5443

下面的提供程序上下文已存在时，Windows 筛选平台基础筛选引擎已启动。

5444

以下 sub-layer 已存在时，Windows 筛选平台基础筛选引擎已启动。

5446

Windows 筛选平台标注已被更改。

5448

Windows 筛选平台提供程序已被更改。

5449

Windows 筛选平台提供程序上下文已被更改。

5450

Windows 筛选平台 sub-layer 已被更改。

5456

PAStore 引擎应用 IPsec 策略的 Active Directory 存储在计算机上。

5457

IPsec 策略代理无法在计算机上应用 Active Directory 存储 IPsec 策略。

5458

本地应用的 IPsec 策略代理缓存活动目录存储在计算机上的 IPsec 策略的副本。

5459

IPsec 策略代理无法在计算机上应用的 IPsec 策略的 Active Directory 存储的本地缓存的副本。

5460

IPsec 策略代理计算机上应用本地注册表存储 IPsec 策略。

5461

IPsec 策略代理无法应用在计算机上的本地注册表存储 IPsec 策略。

5462

IPsec 策略代理无法在计算机上应用某些规则的活动 IPsec 策略。使用 IP 安全监视器管理单元来诊断问题。

5463

IPsec 策略代理以更改活动的 IPsec 策略轮询和检测到任何更改。

5464

IPsec 策略代理的活动 IPsec 策略更改轮询、检测到更改，和应用它们。 5465

IPsec 策略代理收到以强制重新加载 IPsec 策略的一个控件，并已成功处理该控件。

5466

要确定 Active Directory 无法到达，并且将使用缓存的副本的 Active Directory IPsec

策略来代替了 Active Directory IPsec 策略更改轮询 IPsec 策略代理。因为不能应用上次轮询对 Active Directory IPsec 策略所做的任何更改。

5467

IPsec 策略代理轮询对确定 Active Directory 可达到，并找到策略没有更改该 Active

Directory IPsec 策略的更改。不能再使用 Active Directory IPsec 策略的缓存的副本。

5468

轮询更改到 Active Directory IPsec 策略的 IPsec 策略代理已确定活动目录可到达，找到策略的更改和应用这些更改。不能再使用 Active Directory IPsec 策略的缓存的副本。

5471

IPsec 策略代理加载本地存储在计算机上的 IPsec 策略。

5472

IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。

5473

IPsec 策略代理加载目录存储在计算机上的 IPsec 策略。

5474

IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。

5477

IPsec 策略代理未能添加快速模式筛选器。

子类别： MPSSVC 规则级策略更改

消息

4944

启动 Windows 防火墙时，以下策略处于活动状态。

4945

启动 Windows 防火墙时，已列出的规则。

4946

Windows 防火墙例外列表进行了更改。添加了一个规则。

4947

Windows 防火墙例外列表进行了更改。规则已被修改。

4948

Windows 防火墙例外列表进行了更改。规则已被删除。

4949

Windows 防火墙设置还原为默认值。

4950

更改 Windows 防火墙设置。

4951

Windows 防火墙将忽略一个规则，因为无法识别其主版本号。

4952

无法识别的次要版本号，因此，Windows 防火墙将忽略规则的部分。将强制该规则的其他部分。

4953

由于无法分析，Windows 防火墙将忽略规则。

4954

已更改的 Windows 防火墙组策略设置并应用新的设置。

4956

Windows 防火墙将更改活动配置文件。

4957

Windows 防火墙未应用以下规则：

4958

因为规则引用到未配置此计算机上的项目，Windows 防火墙未应用以下规则： 5050

试图以编程方式禁用 Windows 防火墙使用 llEnabled(FALSE) 接口的调用被拒绝，因为此 API 不支持在此版本的 Windows 上的版本。这是很可能是由于与此 Windows 版本不兼容的程序。请与该程序的制造商联系，以确保您有一个兼容的程序版本。

子类别：其他策略更改事件

消息

4909

为该 TBS 本地策略设置都已更改。

4910

组策略设置为在 TBS 都已更改。

5063

试图执行一个加密提供程序的操作。

5064

试图执行一个加密上下文的操作。

5065

尝试加密上下文的修改。

5066

尝试执行了加密函数运算。

5067

尝试加密函数的修改。

5068

尝试加密函数提供程序操作。

5069

尝试加密函数属性操作。

5070

尝试加密函数的属性修改。

5447

Windows 筛选平台的筛选器已被更改。

6144

已成功应用组策略对象中的安全策略。

6145

处理组策略对象中的安全策略时出现一个或多个错误。

子类别：特殊 Multi-use 子类别

注意启用及其子类别时，可能会以下事件生成的任何资源管理器。例如对于通过注册表资源管理器或由文件系统资源管理器，可能会生成下面的事件。

消息

4670

更改对象上的权限。

类别：特权使用

子类别：敏感权限使用 / 非敏感权限使用

消息

4672

分配给新的登录的特殊权限。

4673

调用了特权的服务。

4674

特权对象上尝试某个操作。分类：系统

子类别： IPsec 驱动程序

消息

4960

IPsec 丢弃的入站的数据包完整性检查失败。如果此问题仍然存在，它可能表示网络问题或该数据包在这台计算机的传输过程中被修改。验证远程计算机发送的数据包是由这台计算机接收到的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。

4961

IPsec 丢弃无法重播检查一个入站的数据包。如果此问题仍然存在，它能指出对此计算机的重播攻击。

4962

IPsec 丢弃无法重播检查一个入站的数据包。入站的数据包所以确保它不是一个重放得过低序列号。

4963

IPsec 丢弃应当有安全的入站的明文数据包。如果远程计算机配置与请求的出站 IPsec

策略，这可能是良性的和预期。这也会导致不通知此计算机的情况下更改其 IPsec 策略的远程计算机。这也可能是一个欺骗攻击尝试。

4965

IPsec 接收到从远程计算机使用一个不正确的安全参数索引 (SPI) 的数据包。这通常是由于不能正常工作损坏的数据包的硬件所致。如果这些错误仍然存在，验证远程计算机发送的数据包是由这台计算机接收到的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。在这种情况下如果连接不只有时阻碍，然后这些事件可以被忽略。

5478

IPsec 策略代理服务已启动。

5479

IPsec 服务已成功关闭。IPsec 服务的关闭可以将计算机放在更大的网络攻击的风险，或者将该潜在安全风险的计算机暴露给。

5480

IPsec 策略代理无法获取计算机上的网络接口的完整列表。这会带来潜在的安全风险，因为某些网络接口可能不会得到通过应用 IPsec 筛选器来提供保护。使用 IP 安全监视器管理单元来诊断问题。

5483

IPsec 策略代理服务无法初始化其 RPC 服务器。不能启动该服务。

5484

IPsec 策略代理服务遇到一个关键性失败，已经关闭。此服务的关闭可以将计算机放在更大的网络攻击的风险，或者将该潜在安全风险的计算机暴露给。

5485

IPsec 策略代理无法处理网络接口上插即用-事件一些 IPsec 筛选器。这会带来潜在的安全风险，因为某些网络接口可能不会得到通过应用 IPsec 筛选器来提供保护。使用