Id de eventos de auditorias
34
ID De eventos de Auditorias Esta sección enumera todos los Windows 7 y Windows Server 2008 R2 seguridad relacionada con la auditoría eventos por categoría y subcategoría. Categoría: Inicio de sesión de cuenta Categoría: Inicio de sesión ID. Mensaje 477 4 Se ha asignado una cuenta de inicio de sesión. 477 5 No se pudo asignar una cuenta de inicio de sesión. 477 6 El equipo intentado validar las credenciales de una cuenta. 477 7 El controlador de dominio no pudo validar las credenciales de una cuenta. Subcategoría: Validación de credenciales ID. Mensaje 476 8 Se solicitó un vale de autenticación de Kerberos (TGT). 477 1 Error en la autenticación Kerberos previa. 477 2 Error en una solicitud de vale de autenticación de Kerberos. Subcategoría: Servicio de autenticación de Kerberos ID. Mensaje 476 9 Se solicitó un vale de servicio Kerberos. 477 Se ha renovado un vale de servicio
-
Upload
percy-quintanilla -
Category
Education
-
view
479 -
download
6
Transcript of Id de eventos de auditorias
ID De eventos de AuditoriasEsta sección enumera todos los Windows 7 y Windows Server 2008 R2 seguridad relacionada con la auditoría eventos por categoría y subcategoría.
Categoría: Inicio de sesión de cuenta
Categoría: Inicio de sesión
ID. Mensaje
4774 Se ha asignado una cuenta de inicio de sesión.
4775 No se pudo asignar una cuenta de inicio de sesión.
4776 El equipo intentado validar las credenciales de una cuenta.
4777 El controlador de dominio no pudo validar las credenciales de una cuenta.
Subcategoría: Validación de credenciales
ID. Mensaje
4768 Se solicitó un vale de autenticación de Kerberos (TGT).
4771 Error en la autenticación Kerberos previa.
4772 Error en una solicitud de vale de autenticación de Kerberos.
Subcategoría: Servicio de autenticación de Kerberos
ID. Mensaje
4769 Se solicitó un vale de servicio Kerberos.
4770 Se ha renovado un vale de servicio Kerberos.
4773 Error en una solicitud de vale de servicio Kerberos.
Subcategoría: Las operaciones de vale de servicio Kerberos
Categoría: Administración de cuentas de
ID. Mensaje
4783
Se creó un grupo de aplicaciones básicas.
4784
Un grupo de aplicaciones básicas cambió.
4785
Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786
Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787
Se ha agregado un miembro a un grupo de aplicaciones básicas.
4788
Se quitó un miembro de un grupo de aplicaciones básicas.
4789
Se ha eliminado un grupo de aplicaciones básicas.
4790
Se creó un grupo de consulta LDAP.
4791
Un grupo de aplicaciones básicas cambió.
4792
Se ha eliminado un grupo de consulta LDAP.
Subcategoría: Grupo de aplicaciones administración
ID. Mensaje
4741 Se creó una cuenta de equipo.
4742 Se ha modificado una cuenta de equipo.
4743 Se ha eliminado una cuenta de equipo.
Subcategoría: Administración de cuentas de equipo
ID. Mensaje
4744
Se creó un grupo local con seguridad deshabilitada.
4745
Un grupo local con seguridad deshabilitada cambió.
4746
Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747
Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748
Se ha eliminado un grupo local con seguridad deshabilitada.
4749
Se creó un grupo global con seguridad deshabilitada.
4750
Un grupo global con seguridad deshabilitada cambió.
4751
Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752
Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753
Se ha eliminado un grupo global con seguridad deshabilitada.
4759
Se creó un grupo universal con seguridad deshabilitada.
4760
Un grupo universal con seguridad deshabilitada cambió.
4761
Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762
Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.
Subcategoría: Administración de grupo de distribución
ID. Mensaje
4782
El hash de contraseña de una cuenta se obtuvo acceso.
4793
Se llamó a la API de comprobación de directivas de contraseña.
Subcategoría: Otros sucesos de administración de cuentas
ID. Mensaje
4727
Se creó un grupo global con seguridad habilitada.
4728
Se ha agregado un miembro a un grupo global con seguridad habilitada.
4729
Se ha quitado un miembro de un grupo global con seguridad habilitada.
473 Se ha eliminado un grupo global con seguridad habilitada.
0
4731
Se creó un grupo local con seguridad habilitada.
4732
Se ha agregado un miembro a un grupo local con seguridad habilitada.
4733
Se ha quitado un miembro de un grupo local con seguridad habilitada.
4734
Se ha eliminado un grupo local con seguridad habilitada.
4735
Un grupo local con seguridad habilitada cambió.
4737
Un grupo global con seguridad habilitada cambió.
4754
Se creó un grupo universal con la seguridad habilitada.
4755
Un grupo universal con seguridad habilitada cambió.
4756
Se ha agregado un miembro a un grupo universal con la seguridad habilitada.
4757
Se ha quitado un miembro de un grupo universal con la seguridad habilitada.
4758
Se ha eliminado un grupo universal con la seguridad habilitada.
4764
Se cambió el tipo de un grupo.
Subcategoría: Grupo de seguridad administración
ID. Mensaje
4720 Se creó una cuenta de usuario.
4722 Se ha habilitado una cuenta de usuario.
4723 Se intentó cambiar la contraseña de una cuenta.
4724 Se intentó restablecer la contraseña de una cuenta.
4725 Se ha deshabilitado una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Se cambió una cuenta de usuario.
4740 Se ha bloqueado una cuenta de usuario.
4765 SID History se ha agregado a una cuenta.
4766 Error al intentar agregar SID History a una cuenta.
4767 Una cuenta de usuario se ha desbloqueado.
4780 Se ha establecido la ACL en las cuentas que son miembros de los grupos de administradores.
4781 Se cambió el nombre de una cuenta:
4794 Se intentó establecer el modo de restauración de servicios de directorio.
5376 Se copia de las credenciales de administrador de credenciales.
5377 Credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.
Subcategoría: Administración de cuentas de usuario
Categoría: Realizar un seguimiento detallado
ID. Mensaje
4692
Se intentó realizar la copia de seguridad de la clave maestra de protección de datos.
4693
Se intentó realizar la recuperación de la clave maestra de protección de datos.
4694
Se ha intentado la protección de los datos protegidos auditables.
4695
Se intentó realizar la desprotección de los datos auditables protegidos.
Subcategoría: Actividad DPAPI
ID. Mensaje
4688
Se ha creado un nuevo proceso.
4696
Se asignó un identificador primario para procesar.
Subcategoría: La terminación del proceso
ID. Mensaje
4689 Un proceso ha terminado.
Subcategoría: Eventos RPC
ID. Mensaje
5712
Se intentó realizar una llamada a procedimiento remoto (RPC).
Categoría: Acceso DS
Subcategoría: Replicación del servicio de directorio detallado
ID. Mensaje
4928
Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929
Se ha quitado un contexto de nombres de origen de réplica de Active Directory.
4930
Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931
Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934
Se han replicado los atributos de un objeto de Active Directory.
4935
Error de replicación se inicia.
4936
Errores de replicación de los extremos.
4937
Un objeto persistente se quitó una réplica.
Subcategoría: Acceso al servicio de directorio
ID. Mensaje
4662
Se realizó una operación en un objeto.
Subcategoría: Cambios de servicio de directorio
ID. Mensaje
5136 Se ha modificado un objeto de servicio de directorio.
5137 Se creó un objeto de servicio de directorio.
5138 No se ha borrado un objeto de servicio de directorio.
5139 Se ha movido un objeto de servicio de directorio.
5141 Se ha eliminado un objeto de servicio de directorio.
Subcategoría: Replicación del servicio de directorio
ID. Mensaje
4932 Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
4933 Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.
Categoría: Inicio de sesión/cierre de sesión
Subcategoría: Modo extendido de IPsec
ID. Mensaje
4978 Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
4979 Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4980 Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4981 Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4982 Se han establecido de modo principal IPsec y asociaciones de seguridad de modo extendido.
4983 Una IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.
4984 Una IPsec extended error de negociación de modo. Se eliminó la asociación de seguridad de modo principal correspondiente.
Subcategoría: El modo principal de IPsec
ID. Mensaje
4646 Iniciada el modo de prevención DoS IKE.
4650 Se ha establecido una asociación de seguridad IPsec de modo principal. No se ha habilitado el modo extendido. No se utilizó la autenticación de certificados.
4651 Se ha establecido una asociación de seguridad IPsec de modo principal. No se ha habilitado el modo extendido. Se utilizó un certificado para la autenticación.
4652 Error en una negociación de modo principal IPsec.
4653 Error en una negociación de modo principal IPsec.
4655 Se terminó una asociación de seguridad IPsec de modo principal.
4976 Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
5049 Se ha eliminado una asociación de seguridad IPsec.
5453 Agente de directivas IPsec aplica la directiva de IPsec de almacenamiento de información de Active Directory en el equipo.
Subcategoría: El modo rápido de IPsec
ID. Mensaje
4654 Error en una negociación de modo rápido IPsec.
4977 Durante la negociación de modo rápido IPsec recibió un paquete de negociación no válido. Si el problema persiste, podría indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.
5451 Se ha establecido una asociación de seguridad IPsec de modo rápido.
5452 Una asociación de seguridad IPsec de modo rápido finalizado.
Subcategoría: cierre de sesión
ID. Mensaje
4634 Una cuenta se ha cerrado la sesión.
4647 Cierre de sesión iniciada por el usuario.
Subcategoría: inicio de sesión
ID. Mensaje
462 Una cuenta se registró correctamente en.
4
4625
No se pudo iniciar sesión una cuenta.
4648
Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.
4675
Se han filtrado los SID.
Subcategoría: Servidor de directivas de red
ID. Mensaje
6272 Servidor de directivas de red había concedido acceso a un usuario.
6273 Servidor de directivas de red había denegado el acceso a un usuario.
6274 Servidor de directivas de red descarta la solicitud de un usuario.
6275 Servidor de directivas de red descarta la solicitud de contabilidad para un usuario.
6276 Servidor de directivas de red en cuarentena a un usuario.
6277 Servidor de directivas de red con acceso a un usuario pero poner a prueba porque el host no cumplía con la directiva de mantenimiento definidos.
6278 Servidor de directivas de red acceso completo a un usuario porque el host cumple la directiva de mantenimiento definidos.
6279 Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.
6280 Servidor de directivas de red desbloquear la cuenta de usuario.
Subcategoría: Otros eventos de inicio de sesión/cierre de sesión
ID. Mensaje
4649 Se detectó un ataque de reproducción.
4778 Se volvió a conectar una sesión en una estación de ventana.
4779 Se ha desconectado una sesión desde una estación de ventana.
4800 Se ha bloqueado la estación de trabajo.
4801 La estación de trabajo se ha desbloqueado.
4802 Se invocó el protector de pantalla.
4803 Se cerró el protector de pantalla.
5378 La delegación de credenciales solicitado no se ha permitido por la directiva.
5632 Se realizó una solicitud para autenticarse en una red inalámbrica.
5633 Se realizó una solicitud para autenticarse en una red cableada.
Subcategoría: Inicio de sesión especial
ID. Mensaje
4964 Los grupos especiales se han asignado a un nuevo inicio de sesión.
Categoría: El acceso a objetos
Subcategoría: Aplicación de generado
ID. Mensaje
4665 Se ha intentado crear un contexto de cliente de aplicación.
4666 Una aplicación intentó una operación:
4667 Se ha eliminado un contexto de cliente de aplicación.
4668 Se puede inicializar una aplicación.
Subcategoría: Servicios de certificación de
ID. Mensaje
4868 El Administrador de certificados denegó una solicitud de certificado pendiente.
4869 Servicios de Certificate Server recibieron una solicitud de certificado reenviada.
4870 Servicios de Certificate Server revocan un certificado.
4871 Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).
4872 Servicios de Certificate Server publicaron la lista de revocación de certificados (CRL).
4873 Cambia una extensión de solicitud de certificado.
4874 Cambiar uno o varios atributos de solicitud de certificado.
4875 Servicios de Certificate Server recibieron una solicitud de cierre.
4876 Se inicia la copia de seguridad de los servicios de certificado.
4877 Backup de los servicios de certificado completado.
4878 Inició la restauración de servicios de certificado.
4879 Completada la restauración de servicios Certificate Server.
4880 Inician servicios de Certificate Server.
4881 Detienen servicios de Certificate Server.
4882 Cambian los permisos de seguridad para servicios de Certificate Server.
4883 Servicios de Certificate Server recuperaron una clave archivada.
4884 Servicios de Certificate Server ha importado un certificado en su base de datos.
4885 Cambia el filtro de auditoría para servicios de Certificate Server.
4886 Servicios de Certificate Server recibieron una solicitud de certificado.
4887 Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.
4888 Servicios de Certificate Server ha denegado una petición de certificado.
4889 Servicios de Certificate Server sea el estado de una solicitud de certificado pendiente.
4890 Cambia la configuración del Administrador de certificados para servicios de Certificate Server.
4891 Una entrada de configuración cambiada en servicios de Certificate Server.
4892 Cambiar una propiedad de servicios de Certificate Server.
4893 Servicios de Certificate Server archivaron una clave.
4894 Servicios de Certificate Server importaron y archivaron una clave.
4895 Servicios de Certificate Server publican el certificado de entidad emisora de certificados en los servicios de dominio de Active Directory.
4896 Se han eliminado una o varias filas de la base de datos de certificados.
4897 Separación de funciones habilitada:
4898 Servicios de Certificate Server cargan una plantilla.
4899 Se actualizó una plantilla de servicios de Certificate Server.
4900 Seguridad de plantillas de servicios de certificado se ha actualizado.
5120 Se inició el servicio de contestador OCSP.
5121 Detener el servicio de contestador OCSP.
5122 Una entrada de configuración que se cambió en el servicio del Respondedor de OCSP.
5123 Una entrada de configuración que se cambió en el servicio del Respondedor de OCSP.
5124 Una configuración de seguridad se actualizó en servicio del Respondedor de OCSP.
5125 Se ha enviado una solicitud al servicio del Respondedor de OCSP.
5126 Certificado de firma se actualizó automáticamente por el servicio de Respondedor de OCSP.
5127 El proveedor de revocación de OCSP se actualizó correctamente la información de revocación.
Subcategoría: Recurso compartido de archivo detallado
ID. Mensaje
5145 Un objeto de recurso compartido de red se comprueba para ver si se puede conceder el cliente desea acceso.
Subcategoría: Recurso compartido de archivos
ID. Mensaje
5140 Se tiene acceso a un objeto de recurso compartido de red.
5142 Se ha agregado un objeto de recurso compartido de red.
5143 Se ha modificado un objeto de recurso compartido de red.
5144 Se ha eliminado un objeto de recurso compartido de red.
5168 Comprobación de SPN de SMB/SMB2 falló.
Subcategoría: Sistema de archivos
ID. Mensaje
4664 Se ha intentado crear un vínculo físico.
4985 Ha cambiado el estado de una transacción.
5051 Un archivo se ha virtualizado.
Subcategoría: Conexión de Filtering Platform
ID. Mensaje
5031 El servicio de Firewall de Windows bloquea una aplicación de aceptar conexiones entrantes en la red.
5148 La plataforma de filtrado de Windows ha detectado un ataque DoS y entrado en un modo defensivo; se descartarán los paquetes asociados con este ataque.
5149 El ataque ha disminuido y se está reanudando el procesamiento normal.
5150 La plataforma de filtrado de Windows ha bloqueado un paquete.
5151 Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.
5154 La plataforma de filtrado de Windows haya permitido que una aplicación o servicio para escuchar en un puerto para conexiones entrantes.
5155 La plataforma de filtrado de Windows ha bloqueado una aplicación o servicio de escucha en un puerto para conexiones entrantes.
5156 La plataforma de filtrado de Windows ha permitido una conexión.
5157 La plataforma de filtrado de Windows ha bloqueado una conexión.
5158 La plataforma de filtrado de Windows ha permitido un enlace a un puerto local.
5159 La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.
Subcategoría: Colocación de paquetes de la plataforma de filtrado
ID. Mensaje
5152 La plataforma de filtrado de Windows ha bloqueado un paquete.
5153 Un filtro más restrictivo de la plataforma de filtrado de Windows ha bloqueado un paquete.
Subcategoría: Identificador de manipulación
ID. Mensaje
4656 Se ha solicitado un identificador de objeto.
4658 Se ha cerrado el identificador de objeto.
4690 Se intentó duplicar un identificador a un objeto.
Subcategoría: Otros eventos de acceso a objetos
ID. Mensaje
4671
Una aplicación ha intentado tener acceso a un ordinal bloqueado a través de TBS.
469 Se ha solicitado acceso indirecto a un objeto.
1
4698
Se creó una tarea programada.
4699
Se ha eliminado una tarea programada.
4700
Se ha habilitado una tarea programada.
4701
Una tarea programada se ha deshabilitado.
4702
Se ha actualizado una tarea programada.
4702
Se ha actualizado una tarea programada.
5888
Ha modificado un objeto en el catálogo COM +.
5889
Se ha eliminado un objeto desde el catálogo de COM +.
5890
Se ha agregado un objeto en el catálogo COM +.
Subcategoría: registro
ID. Mensaje
4657 Un valor del registro se modificó.
5039 Una clave del registro se virtualiza.
Subcategoría: subcategoría varios uso especial
Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategorías son ejemplos de subcategorías que utilizar estos eventos de forma exclusiva.
ID. Mensaje
4659
Se ha solicitado un identificador para un objeto con la intención de eliminar.
4660
Se ha eliminado un objeto.
4661
Se ha solicitado un identificador de objeto.
4663
Se ha intentado tener acceso a un objeto.
Categoría: Cambio de directiva
Subcategoría: Cambio de directiva de auditoría
ID. Mensaje
4715
Se ha cambiado la directiva de auditoría (SACL) en un objeto.
4719
Se ha cambiado la directiva de auditoría del sistema.
4817
Se han cambiado la configuración de auditoría en un objeto.
4902
Se creó la tabla de normas de auditoría por usuario.
4904
Se ha intentado registrar un origen de eventos de seguridad.
4905
Se ha intentado anular el registro de un origen de eventos de seguridad.
4906
El valor de CrashOnAuditFail ha cambiado.
4907
Se han cambiado la configuración de auditoría en el objeto.
4908
Modificadas una tabla de grupos de inicio de sesión especial.
4912
Se ha cambiado por la directiva de auditoría de usuario.
Subcategoría: Cambio de directiva de autenticación
ID. Mensaje
4706 Se creó una nueva confianza a un dominio.
4707 Se ha quitado una confianza a un dominio.
4713 Se ha cambiado la directiva Kerberos.
4716 Se ha modificado la información de dominio de confianza.
4717 Acceso al sistema de seguridad se ha concedido a una cuenta.
4718 Se ha quitado una cuenta de acceso al sistema de seguridad.
4739 Se ha cambiado la directiva de dominio.
4864 Se ha detectado una colisión de espacio de nombres.
4865 Se ha agregado una entrada de información de confianza de bosque.
4866 Se quitó una entrada de información de confianza de bosque.
4867 Se modificó la entrada de información de una bosque de confianza.
Subcategoría: Cambio de directiva de autorización
ID. Mensaje
4704 Se asignó un derecho de usuario.
4705 Se ha quitado un derecho de usuario.
4714 Directiva de grupo de agente de recuperación de datos para el sistema de archivos de cifrado (EFS) ha cambiado. Se han aplicado los cambios nuevos.
Subcategoría: Cambio de directiva de la plataforma de filtrado de
ID. Mensaje
4709 Se inició el servicio de agente de directivas IPsec.
4710 Se ha deshabilitado el servicio Agente de directivas IPsec.
4711 Puede contener cualquiera de las siguientes acciones: El motor PAStore aplicó una copia en caché local de la directiva IPsec de
almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de Active
Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento del registro
local en el equipo. El motor PAStore no se pudo aplicar la copia en caché local de la directiva
IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar la directiva de IPsec de almacenamiento de
Active Directory en el equipo. Error del motor PAStore al aplicar la directiva de IPsec de almacenamiento de
registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa
en el equipo.
El motor PAStore no se pudo cargar la directiva de IPsec en el equipo de almacenamiento de directorio.
El motor PAStore cargó en el equipo de directiva IPsec de almacenamiento de directorio.
El motor PAStore no se pudo cargar la directiva de IPsec en el equipo de almacenamiento local.
El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo.
El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
4712 Agente de directivas IPsec ha encontrado un error potencialmente grave.
5040 Se ha modificado la configuración de IPsec. Se ha agregado un conjunto de autenticación.
5041 Se ha modificado la configuración de IPsec. Se ha modificado un conjunto de autenticación.
5042 Se ha modificado la configuración de IPsec. Se ha eliminado un conjunto de autenticación.
5043 Se ha modificado la configuración de IPsec. Se ha agregado una regla de seguridad de conexión.
5044 Se ha modificado la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.
5045 Se ha modificado la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.
5046 Se ha modificado la configuración de IPsec. Se ha agregado un conjunto de cifrado.
5047 Se ha modificado la configuración de IPsec. Se ha modificado un conjunto de cifrado.
5048 Se ha modificado la configuración de IPsec. Se ha eliminado un conjunto de cifrado.
5440 La siguiente llamada estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5441 El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5442 El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5443 El siguiente contexto de proveedor estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5444 El siguiente subnivel estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.
5446 Se ha cambiado una llamada Windows Filtering Platform.
5448 Un proveedor de plataforma de filtrado de Windows se ha cambiado.
5449 Un contexto de proveedor de la plataforma de filtrado de Windows se ha cambiado.
5450 Se ha cambiado un subnivel de la plataforma de filtrado de Windows.
5456 El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458 Agente de directivas IPsec a aplicar localmente en caché copia de la directiva de IPsec en el equipo de almacenamiento de Active Directory.
5459 Agente de directivas IPsec no se pudo aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5460 Agente de directivas IPsec aplica la directiva IPsec de almacenamiento del registro local en el equipo.
5461 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento del registro local en el equipo.
5462 Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5463 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicado.
5465 Agente de directivas IPsec recibió un control para la recarga forzada de directiva IPsec y el control se ha procesado correctamente.
5466 Agente de directivas IPsec sondeó en busca de cambios en la directiva IPsec de Active Directory, determinada que no se puede conectar Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados a la directiva IPsec de Active Directory, ya que no se pudo aplicar el último sondeo.
5467 Agente de directivas IPsec sondeo de cambios en la directiva de IPsec de Active Directory, determinada que Active Directory puede alcanzado y no encontró cambios en la directiva. Ya no se que se utiliza la copia en caché de la directiva IPsec de Active Directory.
5468 Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas IPsec determina que Active Directory puede llegar, encontró cambios en la directiva
y aplicar esos cambios. Ya no se que se utiliza la copia en caché de la directiva IPsec de Active Directory.
5471 Agente de directivas IPsec carga almacenamiento local de directiva de IPsec en el equipo.
5472 Agente de directivas IPsec no se pudo cargar el almacenamiento local de directiva de IPsec en el equipo.
5473 Agente de directivas IPsec carga de almacenamiento de información de directorio en el equipo de directiva IPsec.
5474 Agente de directivas IPsec no se pudo cargar el almacenamiento de información de directorio en el equipo de directiva IPsec.
5477 Agente de directivas IPsec no se pudo agregar el filtro de modo rápido.
Subcategoría: Cambio de la directiva de nivel de reglas MPSSVC
ID. Mensaje
4944 La siguiente directiva estaba activa cuando el Firewall de Windows se inicia.
4945 Una regla se mostró al iniciar el Firewall de Windows.
4946 Se ha modificado la lista de excepciones de Firewall de Windows. Se ha agregado una regla.
4947 Se ha modificado la lista de excepciones de Firewall de Windows. Se ha modificado una regla.
4948 Se ha modificado la lista de excepciones de Firewall de Windows. Se ha eliminado una regla.
4949 Configuración de Firewall de Windows se han restaurado a los valores predeterminados.
4950 Se ha cambiado una configuración de Firewall de Windows.
4951 Firewall de Windows pasa por alto una regla, ya que no se reconoce su número de versión principal.
4952 Firewall de Windows pasa por alto las partes de una regla porque no se reconoce su número de versión secundaria. Otras partes de la regla se aplicará.
4953 Firewall de Windows pasa por alto una regla, ya que no se puede analizar.
4954 Se han cambiado la configuración de directiva de grupo para Firewall de Windows y se han aplicado la nueva configuración.
4956 Firewall de Windows cambia el perfil activo.
4957 Firewall de Windows no aplicó la siguiente regla:
4958 Firewall de Windows no aplicó la siguiente regla debido a la regla hace referencia a los elementos que no está configurados en este equipo:
5050 Se rechazó un intento de deshabilitar el Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programación porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un programa que no es compatible con esta versión de Windows. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión del programa compatible.
Subcategoría: Otros eventos de cambio de directiva
ID. Mensaje
4909 Se han cambiado la configuración de directivas locales para el TBS.
4910 Se han cambiado la configuración de directiva de grupo para el TBS.
5063 Se intentó una operación de proveedor de servicios criptográficos.
5064 Se intentó una operación de contexto de cifrado.
5065 Se intentó realizar una modificación del contexto de cifrado.
5066 Se intentó una operación de la función criptográfica.
5067 Se intentó realizar una modificación de la función criptográfica.
5068 Se intentó una operación de proveedor de función criptográfica.
5069 Se intentó una operación de propiedad de la función criptográfica.
5070 Se intentó realizar una modificación de la propiedad de función criptográfica.
5447 Se ha cambiado un filtro de plataforma de filtrado de Windows.
6144 Directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente.
6145 Se ha producido uno o más errores durante el procesamiento de directiva de seguridad de los objetos de directiva de grupo.
Subcategoría: subcategoría varios uso especial
Nota El suceso siguiente puede generarse por cualquier administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos del sistema de archivos.
ID. Mensaje
4670
Se cambiaron los permisos en un objeto.
Categoría: El uso de privilegios
Subcategoría: Uso de privilegio confidencial / uso de privilegios no sensibles,
ID. Mensaje
4672 Privilegios especiales asignados al nuevo inicio de sesión.
4673 Se llama a un servicio con privilegios.
4674 Se intentó una operación en un objeto con privilegios.
Categoría: sistema
Subcategoría: Controlador de IPsec
ID. Mensaje
4960 IPsec descartó un paquete entrante que no se pudo una comprobación de integridad. Si el problema persiste, podría indicar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961 IPsec descartó un paquete entrante que no se pudo una comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción contra este equipo.
4962 IPsec descartó un paquete entrante que no se pudo una comprobación de la reproducción. El paquete de entrada tenía demasiado bajo un número de secuencia para asegurarse de que no era una reproducción.
4963 IPsec descartó un paquete entrante como texto sin cifrar que debería haber protegido. Si el equipo remoto está configurado con una directiva de solicitud saliente IPsec, podría resultar benignos y esperadas. Esto puede deberse por el equipo remoto, cambiar su directiva IPsec sin informar a este equipo. Esto también podría ser un intento de ataque de suplantación de identidad.
4965 IPsec había recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Normalmente, esto se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se obstaculice la conectividad, pueden ignorar estos eventos.
5478 Se inició el servicio de agente de directivas IPsec.
5479 Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.
5480 Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red no pueden obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
5483 El servicio de agente de directivas IPsec no se pudo inicializar el servidor RPC. No se pudo iniciar el servicio.
5484 El servicio de agente de directivas IPsec un error grave y se cerró. El cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.
5485 Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento de plug-and-play para interfaces de red. Esto supone un posible riesgo de seguridad porque algunas de las interfaces de red no pueden obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.
Subcategoría: Otros eventos del sistema
ID. Mensaje
5024 El servicio de Firewall de Windows se inició correctamente.
5025 Se detuvo el servicio de Firewall de Windows.
5027 El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual.
5028 Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de Windows seguirá aplicando la directiva actual.
5029 El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de Windows seguirá aplicando la directiva actual.
5030 No se pudo iniciar el servicio Firewall de Windows.
5032 Firewall de Windows no pudo notificar al usuario que bloquea una aplicación de aceptar conexiones entrantes en la red.
5033 El controlador de Firewall de Windows se inició correctamente.
5034 Se ha detenido el controlador de Firewall de Windows.
5035 No se pudo iniciar el controlador de Firewall de Windows.
5037 El controlador de Firewall de Windows ha detectado un error en tiempo de ejecución críticos, finalizando.
5058 Operación de archivo de clave.
5059 Operación de clave de migración.
6400 BranchCache: Se recibió una respuesta con formato incorrecto durante el descubrimiento de la disponibilidad del contenido.
6401 BranchCache: Datos no válidos recibidos desde un elemento del mismo nivel. Se descartaron datos.
6403 BranchCache: La memoria caché hospedada envió una respuesta con formato incorrecto para el cliente.
6404 BranchCache: Memoria caché hospedada no se pudo autenticar con el certificado SSL con provisioning.
6405 BranchCache: se ha producido %2 instancias del id de evento %1.
6406 registrar %1 a Firewall de Windows al control de filtrado para lo siguiente: %2
6407 % 1
Subcategoría: Cambio de estado de seguridad de
ID. Mensaje
4608 Windows se está iniciando.
4616 Se cambió la hora del sistema.
4621 Administrador de recuperarse sistema CrashOnAuditFail. Ahora se permitirá a los usuarios que no son administradores para iniciar sesión. Pueden que no se han registrado algunas actividades auditables.
Subcategoría: Extensión del sistema de seguridad
ID. Mensaje
4610 Se ha cargado un paquete de autenticación por la autoridad de seguridad Local.
4611 Se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad Local.
4614 Un paquete de notificación se ha cargado por el Administrador de cuentas de seguridad.
4622 Se ha cargado un paquete de seguridad por la autoridad de seguridad Local.
4697 Un servicio se instaló en el sistema.
Subcategoría: Integridad del sistema
ID. Mensaje
4612 Se han agotado los recursos internos asignados para la cola de mensajes de auditoría, provocando la pérdida de algunas auditorías.
4615 Uso no válido de puerto LPC.
4618 Se ha producido un modelo de eventos de seguridad supervisados.
4816 RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.
5038 Integridad de código determinó que el valor de hash de la imagen de un archivo no es válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco.
5056 Se realizó una prueba automática de cifrado.
5057 Error en una operación de primitiva criptográfica.
5060 Error en la operación de verificación.
5061 Operación criptográfica.
5062 Se realizó un cifrado que Self test en modo de núcleo.
6281 Integridad de código determinó que los valores de hash de la página de un archivo de imagen no son válidos. El archivo podría ser incorrectamente firmado sin valores hash de la página o está dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible error de dispositivo de disco
