下表列出了应在环境中监视的事件,具体取决于“监控Active Directory中的妥协迹象”中提供的建议。在下表中,“当前Windows事件ID”列列出了在当前主流支持的Windows和Windows Server版本中实现的事件ID,以下表格以“2008”代称。
“旧版Windows事件ID”列列出了旧版Windows中的相应事件ID,例如运行Windows XP或更早版本的客户端计算机以及运行Windows Server 2003或更早版本的服务器,以下表格以“2003”代称。“潜在关键性”列标识在检测攻击时是否应将该事件视为低,中或高关键性。以下表格以“级别”代称,“事件摘要”列提供事件的简要说明以下表格以“概述”代称。
高可能的临界值意味着应该调查一次事件。中等或低的潜在临界值意味着只有在出现意外情况或在测量的时间段内显着超过预期基线的数量时才应调查这些事件。在创建需要强制性调查响应的警报之前,所有组织都应在其环境中测试这些建议。每个环境都是不同的,并且由于其他无害事件,可能会发生一些潜在危险度高的事件。
| 2008 | 2003 | 级别 | 概述 |
|---|---|---|---|
| 4618 | N / A | 高 | 已发生受监视的安全事件模式。 |
| 4649 | N / A | 高 | 检测到重播攻击。由于错误配置错误,可能是无害的误报。 |
| 4719 | 612 | 高 | 系统审核策略已更改。 |
| 4765 | N / A | 高 | SID历史记录已添加到帐户中。 |
| 4766 | N / A | 高 | 尝试将SID历史记录添加到帐户失败。 |
| 4794 | N / A | 高 | 尝试设置目录服务还原模式。 |
| 4897 | 801 | 高 | 启用角色分离: |
| 4964 | N / A | 高 | 特殊组已分配给新登录。 |
| 5124 | N / A | 高 | 在OCSP Responder Service上更新了安全设置 |
| N / A | 550 | 中到高 | 可能的拒绝服务(DoS)攻击 |
| 1102 | 517 | 中到高 | 审核日志已清除 |
| 4621 | N / A | 介质 | 管理员从CrashOnAuditFail恢复了系统。现在,将允许非管理员的用户登录。可能未记录某些可审核活动。 |
| 4675 | N / A | 介质 | SID被过滤掉了。 |
| 4692 | N / A | 介质 | 尝试备份数据保护主密钥。 |
| 4693 | N / A | 介质 | 尝试恢复数据保护主密钥。 |
| 4706 | 610 | 介质 | 为域创建了新的信任。 |
| 4713 | 617 | 介质 | Kerberos策略已更改。 |
| 4714 | 618 | 介质 | 加密数据恢复策略已更改。 |
| 4715 | N / A | 介质 | 对象的审核策略(SACL)已更改。 |
| 4716 | 620 | 介质 | 可信域信息已被修改。 |
| 4724 | 628 | 介质 | 尝试重置帐户的密码。 |
| 4727 | 631 | 介质 | 已创建启用安全性的全局组。 |
| 4735 | 639 | 介质 | 已启用安全性的本地组已更改。 |
| 4737 | 641 | 介质 | 启用安全性的全局组已更改。 |
| 4739 | 643 | 介质 | 域策略已更改。 |
| 4754 | 658 | 介质 | 已创建启用安全性的通用组。 |
| 4755 | 659 | 介质 | 启用安全性的通用组已更改。 |
| 4764 | 667 | 介质 | 已删除安全性已禁用的组 |
| 4764 | 668 | 介质 | 组的类型已更改。 |
| 4780 | 684 | 介质 | ACL是在作为管理员组成员的帐户上设置的。 |
| 4816 | N / A | 介质 | RPC在解密传入消息时检测到完整性违规。 |
| 4865 | N / A | 介质 | 添加了受信任的林信息条目。 |
| 4866 | N / A | 介质 | 已删除受信任的林信息条目。 |
| 4867 | N / A | 介质 | 已修改受信任的林信息条目。 |
| 4868 | 772 | 介质 | 证书管理器拒绝了挂起的证书请求。 |
| 4870 | 774 | 介质 | 证书服务撤销了证书。 |
| 4882 | 786 | 介质 | 证书服务的安全权限已更改。 |
| 4885 | 789 | 介质 | 证书服务的审核筛选器已更改。 |
| 4890 | 794 | 介质 | 证书服务的证书管理器设置已更改。 |
| 4892 | 796 | 介质 | 证书服务的属性已更改。 |
| 4896 | 800 | 介质 | 已从证书数据库中删除一行或多行。 |
| 4906 | N / A | 介质 | CrashOnAuditFail值已更改。 |
| 4907 | N / A | 介质 | 对象的审核设置已更改。 |
| 4908 | N / A | 介质 | 特殊组登录表已修改。 |
| 4912 | 807 | 介质 | 每用户审核策略已更改。 |
| 4960 | N / A | 介质 | IPsec丢弃了未通过完整性检查的入站数据包。如果此问题仍然存在,则可能表示网络问题或正在修改数据包传输到此计算机。验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。此错误还可能表示与其他IPsec实现的互操作性问题。 |
| 4961 | N / A | 介质 | IPsec丢弃了重放检查失败的入站数据包。如果此问题仍然存在,则可能表示对此计算机进行了重播攻击。 |
| 4962 | N / A | 介质 | IPsec丢弃了重放检查失败的入站数据包。入站数据包的序列号太低,以确保它不是重播。 |
| 4963 | N / A | 介质 | IPsec丢弃了应该受到保护的入站明文数据包。这通常是由于远程计算机在不通知此计算机的情况下更改其IPsec策略。这也可能是欺骗性攻击企图。 |
| 4965 | N / A | 介质 | IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。这通常是由损坏数据包的硬件故障引起的。如果这些错误仍然存在,请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。此错误还可能表示与其他IPsec实现的互操作性问题。在这种情况下,如果不阻止连接,则可以忽略这些事件。 |
| 4976 | N / A | 介质 | 在主模式协商期间,IPsec收到无效的协商数据包。如果此问题仍然存在,则可能表示存在网络问题或尝试修改或重播此协商。 |
| 4977 | N / A | 介质 | 在快速模式协商期间,IPsec收到无效的协商数据包。如果此问题仍然存在,则可能表示存在网络问题或尝试修改或重播此协商。 |
| 4978 | N / A | 介质 | 在扩展模式协商期间,IPsec收到无效的协商数据包。如果此问题仍然存在,则可能表示存在网络问题或尝试修改或重播此协商。 |
| 4983 | N / A | 介质 | IPsec扩展模式协商失败。相应的主模式安全关联已被删除。 |
| 4984 | N / A | 介质 | IPsec扩展模式协商失败。相应的主模式安全关联已被删除。 |
| 5027 | N / A | 介质 | Windows防火墙服务无法从本地存储中检索安全策略。该服务将继续执行当前政策。 |
| 5028 | N / A | 介质 | Windows防火墙服务无法解析新的安全策略。该服务将继续使用当前强制执行的策略。 |
| 5029 | N / A | 介质 | Windows防火墙服务无法初始化驱动程序。该服务将继续执行当前政策。 |
| 5030 | N / A | 介质 | Windows防火墙服务无法启动。 |
| 5035 | N / A | 介质 | Windows防火墙驱动程序无法启动。 |
| 5037 | N / A | 介质 | Windows防火墙驱动程序检测到严重的运行时错 终止。 |
| 5038 | N / A | 介质 | 代码完整性确定文件的图像哈希无效。由于未经授权的修改,文件可能已损坏,或者无效的哈希可能表示潜在的磁盘设备错误。 |
| 5120 | N / A | 介质 | OCSP响应程序服务已启动 |
| 5121 | N / A | 介质 | OCSP响应程序服务已停止 |
| 5122 | N / A | 介质 | OCSP Responder Service中的配置条目已更改 |
| 5123 | N / A | 介质 | OCSP Responder Service中的配置条目已更改 |
| 5376 | N / A | 介质 | 已备份凭据管理器凭据。 |
| 5377 | N / A | 介质 | Credential Manager凭据已从备份还原。 |
| 5453 | N / A | 介质 | 与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务。 |
| 5480 | N / A | 介质 | IPsec服务无法获取计算机上的完整网络接口列表。这会带来潜在的安全风险,因为某些网络接口可能无法获得应用的IPsec过滤器提供的保护。使用IP安全监视器管理单元诊断问题。 |
| 5483 | N / A | 介质 | IPsec服务无法初始化RPC服务器。无法启动IPsec服务。 |
| 5484 | N / A | 介质 | IPsec服务遇到严重故障并已关闭。关闭IPsec服务可能会使计算机面临更大的网络攻击风险或使计算机面临潜在的安全风险。 |
| 5485 | N / A | 介质 | IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器。这会带来潜在的安全风险,因为某些网络接口可能无法获得应用的IPsec过滤器提供的保护。使用IP安全监视器管理单元诊断问题。 |
| 6145 | N / A | 介质 | 处理组策略对象中的安全策略时发生一个或多个错误。 |
| 6273 | N / A | 介质 | 网络策略服务器拒绝访问用户。 |
| 6274 | N / A | 介质 | 网络策略服务器放弃了对用户的请求。 |
| 6275 | N / A | 介质 | 网络策略服务器放弃了用户的记帐请求。 |
| 6276 | N / A | 介质 | 网络策略服务器隔离了用户。 |
| 6277 | N / A | 介质 | 网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期。 |
| 6278 | N / A | 介质 | 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略。 |
| 6279 | N / A | 介质 | 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户 |
| 6280 | N / A | 介质 | 网络策略服务器解锁了用户帐户。 |
| - | 640 | 介质 | 一般帐户数据库已更改 |
| - | 619 | 介质 | 服务质量政策发生了变化 |
| 24586 | N / A | 介质 | 转换音量时遇到错误 |
| 24592 | N / A | 介质 | 尝试在卷%2上自动重新启动转换失败。 |
| 24593 | N / A | 介质 | 元数据写入:卷%2在尝试修改元数据时返回错误。如果故障仍然存在,请解密卷 |
| 24594 | N / A | 介质 | 元数据重建:尝试在卷%2上写入元数据副本失败,并且可能显示为磁盘损坏。如果故障仍然存在,请解密卷。 |
| 4608 | 512 | 低 | Windows正在启动。 |
| 4609 | 513 | 低 | Windows正在关闭。 |
| 4610 | 514 | 低 | 本地安全机构已加载身份验证包。 |
| 4611 | 515 | 低 | 已向本地安全机构注册了受信任的登录进程。 |
| 4612 | 516 | 低 | 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。 |
| 4614 | 518 | 低 | 安全帐户管理器已加载通知包。 |
| 4615 | 519 | 低 | LPC端口使用无效。 |
| 4616 | 520 | 低 | 系统时间已更改。 |
| 4622 | N / A | 低 | 本地安全机构已加载安全包。 |
| 4624 | 528540 | 低 | 帐户已成功登录。 |
| 4625 | 529-537,539 | 低 | 帐户无法登录。 |
| 4634 | 538 | 低 | 帐户已注销。 |
| 4646 | N / A | 低 | IKE DoS防护模式已启动。 |
| 4647 | 551 | 低 | 用户启动了注销。 |
| 4648 | 552 | 低 | 使用显式凭据尝试登录。 |
| 4650 | N / A | 低 | 建立了IPsec主模式安全关联。未启用扩展模式。未使用证书身份验证。 |
| 4651 | N / A | 低 | 建立了IPsec主模式安全关联。未启用扩展模式。证书用于身份验证。 |
| 4652 | N / A | 低 | IPsec主模式协商失败。 |
| 4653 | N / A | 低 | IPsec主模式协商失败。 |
| 4654 | N / A | 低 | IPsec快速模式协商失败。 |
| 4655 | N / A | 低 | IPsec主模式安全关联已结束。 |
| 4656 | 560 | 低 | 请求了对象的句柄。 |
| 4657 | 567 | 低 | 注册表值已修改。 |
| 4658 | 562 | 低 | 对象的句柄已关闭。 |
| 4659 | N / A | 低 | 请求删除对象的句柄。 |
| 4660 | 564 | 低 | 对象已删除。 |
| 4661 | 565 | 低 | 请求了对象的句柄。 |
| 4662 | 566 | 低 | 对对象执行了操作。 |
| 4663 | 567 | 低 | 尝试访问对象。 |
| 4664 | N / A | 低 | 试图创建一个硬链接。 |
| 4665 | N / A | 低 | 尝试创建应用程序客户端上下文。 |
| 4666 | N / A | 低 | 应用程序尝试了一个操作: |
| 4667 | N / A | 低 | 应用程序客户端上下文已删除。 |
| 4668 | N / A | 低 | 应用程序已初始化。 |
| 4670 | N / A | 低 | 对象的权限已更改。 |
| 4671 | N / A | 低 | 应用程序试图通过TBS访问被阻止的序号。 |
| 4672 | 576 | 低 | 分配给新登录的特权。 |
| 4673 | 577 | 低 | 特权服务被召唤。 |
| 4674 | 578 | 低 | 尝试对特权对象执行操作。 |
| 4688 | 592 | 低 | 已经创建了一个新流程。 |
| 4689 | 593 | 低 | 一个过程已经退出。 |
| 4690 | 594 | 低 | 尝试复制对象的句柄。 |
| 4691 | 595 | 低 | 请求间接访问对象。 |
| 4694 | N / A | 低 | 试图保护可审计的受保护数据。 |
| 4695 | N / A | 低 | 尝试不受保护的可审计受保护数据。 |
| 4696 | 600 | 低 | 主要令牌已分配给进程。 |
| 4697 | 601 | 低 | 尝试安装服务 |
| 4698 | 602 | 低 | 已创建计划任务。 |
| 4699 | 602 | 低 | 计划任务已删除。 |
| 4700 | 602 | 低 | 已启用计划任务。 |
| 4701 | 602 | 低 | 计划任务已禁用。 |
| 4702 | 602 | 低 | 计划任务已更新。 |
| 4704 | 608 | 低 | 已分配用户权限。 |
| 4705 | 609 | 低 | 用户权限已被删除。 |
| 4707 | 611 | 低 | 已删除对域的信任。 |
| 4709 | N / A | 低 | IPsec服务已启动。 |
| 4710 | N / A | 低 | IPsec服务已禁用。 |
| 4711 | N / A | 低 | 可能包含以下任何一项:PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本.PAStore Engine在计算机上应用了Active Directory存储IPsec策略.PAStore Engine在计算机上应用了本地注册表存储IPsec策略.PAStore Engine无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本.PAStore引擎无法在计算机上应用Active Directory存储IPsec策略.PAStore引擎无法在计算机上应用本地注册表存储IPsec策略.PAStore引擎无法应用某些计算机上活动IPsec策略的规则.PAStore引擎无法在计算机上加载目录存储IPsec策略.PAStore Engine在计算机上加载了目录存储IPsec策略。PAStore引擎无法在计算机上加载本地存储IPsec策略.PAStore Engine在计算机上加载了本地存储IPsec策略.PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改。 |
| 4712 | N / A | 低 | IPsec服务遇到了潜在的严重故障。 |
| 4717 | 621 | 低 | 系统安全访问权限已授予帐户。 |
| 4718 | 622 | 低 | 系统安全访问已从帐户中删除。 |
| 4720 | 624 | 低 | 已创建用户帐户。 |
| 4722 | 626 | 低 | 用户帐户已启用。 |
| 4723 | 627 | 低 | 尝试更改帐户的密码。 |
| 4725 | 629 | 低 | 用户帐户已被禁用。 |
| 4726 | 630 | 低 | 用户帐户已删除。 |
| 4728 | 632 | 低 | 已将成员添加到启用安全性的全局组中。 |
| 4729 | 633 | 低 | 成员已从启用安全性的全局组中删除。 |
| 4730 | 634 | 低 | 已删除启用安全性的全局组。 |
| 4731 | 635 | 低 | 已创建启用安全性的本地组。 |
| 4732 | 636 | 低 | 已将成员添加到启用安全性的本地组。 |
| 4733 | 637 | 低 | 成员已从启用安全性的本地组中删除。 |
| 4734 | 638 | 低 | 已删除已启用安全性的本地组。 |
| 4738 | 642 | 低 | 用户帐户已更改。 |
| 4740 | 644 | 低 | 用户帐户已被锁定。 |
| 4741 | 645 | 低 | 计算机帐户已更改。 |
| 4742 | 646 | 低 | 计算机帐户已更改。 |
| 4743 | 647 | 低 | 计算机帐户已删除。 |
| 4744 | 648 | 低 | 已创建禁用安全性的本地组。 |
| 4745 | 649 | 低 | 已禁用安全性的本地组已更改。 |
| 4746 | 650 | 低 | 已将成员添加到已禁用安全性的本地组。 |
| 4747 | 651 | 低 | 已从安全性已禁用的本地组中删除成员。 |
| 4748 | 652 | 低 | 已删除安全性已禁用的本地组。 |
| 4749 | 653 | 低 | 已创建一个禁用安全性的全局组。 |
| 4750 | 654 | 低 | 已禁用安全性的全局组已更改。 |
| 4751 | 655 | 低 | 已将成员添加到已禁用安全性的全局组中。 |
| 4752 | 656 | 低 | 成员已从禁用安全性的全局组中删除。 |
| 4753 | 657 | 低 | 已删除安全性已禁用的全局组。 |
| 4756 | 660 | 低 | 已将成员添加到启用安全性的通用组中。 |
| 4757 | 661 | 低 | 成员已从启用安全性的通用组中删除。 |
| 4758 | 662 | 低 | 已删除启用安全性的通用组。 |
| 4759 | 663 | 低 | 创建了一个安全禁用的通用组。 |
| 4760 | 664 | 低 | 安全性已禁用的通用组已更改。 |
| 4761 | 665 | 低 | 已将成员添加到已禁用安全性的通用组中。 |
| 4762 | 666 | 低 | 成员已从禁用安全性的通用组中删除。 |
| 4767 | 671 | 低 | 用户帐户已解锁。 |
| 4768 | 672676 | 低 | 请求了Kerberos身份验证票证(TGT)。 |
| 4769 | 673 | 低 | 请求了Kerberos服务票证。 |
| 4770 | 674 | 低 | 更新了Kerberos服务票证。 |
| 4771 | 675 | 低 | Kerberos预身份验证失败。 |
| 4772 | 672 | 低 | Kerberos身份验证票证请求失败。 |
| 4774 | 678 | 低 | 已映射帐户以进行登录。 |
| 4775 | 679 | 低 | 无法映射帐户以进行登录。 |
| 4776 | 680681 | 低 | 域控制器尝试验证帐户的凭据。 |
| 4777 | N / A | 低 | 域控制器无法验证帐户的凭据。 |
| 4778 | 682 | 低 | 会话重新连接到Window Station。 |
| 4779 | 683 | 低 | 会话已与Window Station断开连接。 |
| 4781 | 685 | 低 | 帐户名称已更改: |
| 4782 | N / A | 低 | 密码哈希帐户被访问。 |
| 4783 | 667 | 低 | 创建了一个基本应用程序组。 |
| 4784 | N / A | 低 | 基本应用程序组已更改。 |
| 4785 | 689 | 低 | 成员已添加到基本应用程序组。 |
| 4786 | 690 | 低 | 成员已从基本应用程序组中删除。 |
| 4787 | 691 | 低 | 非成员已添加到基本应用程序组。 |
| 4788 | 692 | 低 | 从基本应用程序组中删除了非成员。 |
| 4789 | 693 | 低 | 基本应用程序组已删除。 |
| 4790 | 694 | 低 | 已创建LDAP查询组。 |
| 4793 | N / A | 低 | 密码策略检查API已被调用。 |
| 4800 | N / A | 低 | 工作站已锁定。 |
| 4801 | N / A | 低 | 工作站已解锁。 |
| 4802 | N / A | 低 | 屏幕保护程序被调用。 |
| 4803 | N / A | 低 | 屏幕保护程序被解雇了。 |
| 4864 | N / A | 低 | 检测到名称空间冲突。 |
| 4869 | 773 | 低 | 证书服务收到重新提交的证书请求。 |
| 4871 | 775 | 低 | 证书服务收到了发布证书吊销列表(CRL)的请求。 |
| 4872 | 776 | 低 | 证书服务发布了证书吊销列表(CRL)。 |
| 4873 | 777 | 低 | 证书申请延期已更改。 |
| 4874 | 778 | 低 | 一个或多个证书请求属性已更改。 |
| 4875 | 779 | 低 | 证书服务收到关闭请求。 |
| 4876 | 780 | 低 | 证书服务备份已启动。 |
| 4877 | 781 | 低 | 证书服务备份已完成。 |
| 4878 | 782 | 低 | 证书服务还原已开始。 |
| 4879 | 783 | 低 | 证书服务恢复已完成。 |
| 4880 | 784 | 低 | 证书服务已启动。 |
| 4881 | 785 | 低 | 证书服务已停止。 |
| 4883 | 787 | 低 | 证书服务检索到存档密钥。 |
| 4884 | 788 | 低 | 证书服务将证书导入其数据库。 |
| 4886 | 790 | 低 | 证书服务收到证书请求。 |
| 4887 | 791 | 低 | 证书服务批准了证书请求并颁发了证书。 |
| 4888 | 792 | 低 | 证书服务拒绝了证书请求。 |
| 4889 | 793 | 低 | 证书服务将证书请求的状态设置为挂起。 |
| 4891 | 795 | 低 | 证书服务中的配置条目已更改。 |
| 4893 | 797 | 低 | 证书服务存档密钥。 |
| 4894 | 798 | 低 | 证书服务导入并存档了一个密钥。 |
| 4895 | 799 | 低 | 证书服务将CA证书发布到Active Directory域服务。 |
| 4898 | 802 | 低 | 证书服务加载了一个模板。 |
| 4902 | N / A | 低 | 已创建每用户审核策略表。 |
| 4904 | N / A | 低 | 尝试注册安全事件源。 |
| 4905 | N / A | 低 | 尝试取消注册安全事件源。 |
| 4909 | N / A | 低 | TBS的本地策略设置已更改。 |
| 4910 | N / A | 低 | TBS的组策略设置已更改。 |
| 4928 | N / A | 低 | 建立了Active Directory副本源命名上下文。 |
| 4929 | N / A | 低 | 已删除Active Directory副本源命名上下文。 |
| 4930 | N / A | 低 | 已修改Active Directory副本源命名上下文。 |
| 4931 | N / A | 低 | 已修改Active Directory副本目标命名上下文。 |
| 4932 | N / A | 低 | 已开始同步Active Directory命名上下文的副本。 |
| 4933 | N / A | 低 | Active Directory命名上下文的副本的同步已结束。 |
| 4934 | N / A | 低 | 已复制Active Directory对象的属性。 |
| 4935 | N / A | 低 | 复制失败开始。 |
| 4936 | N / A | 低 | 复制失败结束。 |
| 4937 | N / A | 低 | 从副本中删除了一个延迟对象。 |
| 4944 | N / A | 低 | Windows防火墙启动时,以下策略处于活动状态。 |
| 4945 | N / A | 低 | Windows防火墙启动时列出了规则。 |
| 4946 | N / A | 低 | 已对Windows防火墙例外列表进行了更改。增加了一条规则。 |
| 4947 | N / A | 低 | 已对Windows防火墙例外列表进行了更改。规则被修改了。 |
| 4948 | N / A | 低 | 已对Windows防火墙例外列表进行了更改。规则已删除。 |
| 4949 | N / A | 低 | Windows防火墙设置已恢复为默认值。 |
| 4950 | N / A | 低 | Windows防火墙设置已更改。 |
| 4951 | N / A | 低 | 规则已被忽略,因为Windows防火墙无法识别其主要版本号。 |
| 4952 | N / A | 低 | 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号。该规则的其他部分将被强制执行。 |
| 4953 | N / A | 低 | Windows防火墙已忽略规则,因为它无法解析规则。 |
| 4954 | N / A | 低 | Windows防火墙组策略设置已更改。已应用新设置。 |
| 4956 | N / A | 低 | Windows防火墙已更改活动配置文件。 |
| 4957 | N / A | 低 | Windows防火墙未应用以下规则: |
| 4958 | N / A | 低 | Windows防火墙未应用以下规则,因为规则引用了此计算机上未配置的项目: |
| 4979 | N / A | 低 | 建立了IPsec主模式和扩展模式安全关联。 |
| 4980 | N / A | 低 | 建立了IPsec主模式和扩展模式安全关联。 |
| 4981 | N / A | 低 | 建立了IPsec主模式和扩展模式安全关联。 |
| 4982 | N / A | 低 | 建立了IPsec主模式和扩展模式安全关联。 |
| 4985 | N / A | 低 | 交易状态已发生变化。 |
| 5024 | N / A | 低 | Windows防火墙服务已成功启动。 |
| 5025 | N / A | 低 | Windows防火墙服务已停止。 |
| 5031 | N / A | 低 | Windows防火墙服务阻止应用程序接受网络上的传入连接。 |
| 5032 | N / A | 低 | Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接。 |
| 5033 | N / A | 低 | Windows防火墙驱动程序已成功启动。 |
| 5034 | N / A | 低 | Windows防火墙驱动程序已停止。 |
| 5039 | N / A | 低 | 注册表项已虚拟化。 |
| 5040 | N / A | 低 | 已对IPsec设置进行了更改。添加了身份验证集。 |
| 5041 | N / A | 低 | 已对IPsec设置进行了更改。身份验证集已修改。 |
| 5042 | N / A | 低 | 已对IPsec设置进行了更改。身份验证集已删除。 |
| 5043 | N / A | 低 | 已对IPsec设置进行了更改。添加了连接安全规则。 |
| 5044 | N / A | 低 | 已对IPsec设置进行了更改。连接安全规则已修改。 |
| 5045 | N / A | 低 | 已对IPsec设置进行了更改。连接安全规则已删除。 |
| 5046 | N / A | 低 | 已对IPsec设置进行了更改。添加了加密集。 |
| 5047 | N / A | 低 | 已对IPsec设置进行了更改。加密集已被修改。 |
| 5048 | N / A | 低 | 已对IPsec设置进行了更改。加密集已删除。 |
| 5050 | N / A | 低 | 尝试使用对InetFwProfile.FirewallEnabled(False)的调用以编程方式禁用Windows防火墙 |
| 5051 | N / A | 低 | 文件已虚拟化。 |
| 5056 | N / A | 低 | 进行了密码自检。 |
| 5057 | N / A | 低 | 加密原语操作失败。 |
| 5058 | N / A | 低 | 密钥文件操作。 |
| 5059 | N / A | 低 | 密钥迁移操作。 |
| 5060 | N / A | 低 | 验证操作失败。 |
| 5061 | N / A | 低 | 加密操作。 |
| 5062 | N / A | 低 | 进行了内核模式加密自检。 |
| 5063 | N / A | 低 | 尝试了加密提供程序操作。 |
| 5064 | N / A | 低 | 尝试了加密上下文操作。 |
| 5065 | N / A | 低 | 尝试了加密上下文修改。 |
| 5066 | N / A | 低 | 尝试了加密功能操作。 |
| 5067 | N / A | 低 | 尝试了加密功能修改。 |
| 5068 | N / A | 低 | 尝试了加密函数提供程序操作。 |
| 5069 | N / A | 低 | 尝试了加密函数属性操作。 |
| 5070 | N / A | 低 | 尝试了加密函数属性修改。 |
| 5125 | N / A | 低 | 请求已提交给OCSP Responder Service |
| 5126 | N / A | 低 | 签名证书由OCSP Responder Service自动更新 |
| 5127 | N / A | 低 | OCSP吊销提供商成功更新了吊销信息 |
| 5136 | 566 | 低 | 目录服务对象已修改。 |
| 5137 | 566 | 低 | 已创建目录服务对象。 |
| 5138 | N / A | 低 | 目录服务对象已取消删除。 |
| 5139 | N / A | 低 | 已移动目录服务对象。 |
| 5140 | N / A | 低 | 访问了网络共享对象。 |
| 5141 | N / A | 低 | 目录服务对象已删除。 |
| 5152 | N / A | 低 | Windows筛选平台阻止了数据包。 |
| 5153 | N / A | 低 | 限制性更强的Windows筛选平台筛选器阻止了数据包。 |
| 5154 | N / A | 低 | Windows过滤平台允许应用程序或服务在端口上侦听传入连接。 |
| 5155 | N / A | 低 | Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接。 |
| 5156 | N / A | 低 | Windows筛选平台允许连接。 |
| 5157 | N / A | 低 | Windows筛选平台已阻止连接。 |
| 5158 | N / A | 低 | Windows筛选平台允许绑定到本地端口。 |
| 5159 | N / A | 低 | Windows筛选平台已阻止绑定到本地端口。 |
| 5378 | N / A | 低 | 策略不允许请求的凭据委派。 |
| 5440 | N / A | 低 | Windows筛选平台基本筛选引擎启动时出现以下callout。 |
| 5441 | N / A | 低 | Windows筛选平台基本筛选引擎启动时存在以下筛选器。 |
| 5442 | N / A | 低 | Windows筛选平台基本筛选引擎启动时,存在以下提供程序。 |
| 5443 | N / A | 低 | Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文。 |
| 5444 | N / A | 低 | Windows筛选平台基本筛选引擎启动时,存在以下子层。 |
| 5446 | N / A | 低 | Windows筛选平台标注已更改。 |
| 5447 | N / A | 低 | Windows筛选平台筛选器已更改。 |
| 5448 | N / A | 低 | Windows筛选平台提供程序已更改。 |
| 5449 | N / A | 低 | Windows筛选平台提供程序上下文已更改。 |
| 5450 | N / A | 低 | Windows筛选平台子层已更改。 |
| 5451 | N / A | 低 | 建立了IPsec快速模式安全关联。 |
| 5452 | N / A | 低 | IPsec快速模式安全关联已结束。 |
| 5456 | N / A | 低 | PAStore引擎在计算机上应用了Active Directory存储IPsec策略。 |
| 5457 | N / A | 低 | PAStore引擎无法在计算机上应用Active Directory存储IPsec策略。 |
| 5458 | N / A | 低 | PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本。 |
| 5459 | N / A | 低 | PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本。 |
| 5460 | N / A | 低 | PAStore引擎在计算机上应用了本地注册表存储IPsec策略。 |
| 5461 | N / A | 低 | PAStore引擎无法在计算机上应用本地注册表存储IPsec策略。 |
| 5462 | N / A | 低 | PAStore引擎无法在计算机上应用某些活动IPsec策略规则。使用IP安全监视器管理单元诊断问题。 |
| 5463 | N / A | 低 | PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改。 |
| 5464 | N / A | 低 | PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。 |
| 5465 | N / A | 低 | PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件。 |
| 5466 | N / A | 低 | PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory IPsec策略的缓存副本。自上次轮询以来对Active Directory IPsec策略所做的任何更改都无法应用。 |
| 5467 | N / A | 低 | PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。不再使用Active Directory IPsec策略的缓存副本。 |
| 5468 | N / A | 低 | PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改。不再使用Active Directory IPsec策略的缓存副本。 |
| 5471 | N / A | 低 | PAStore引擎在计算机上加载了本地存储IPsec策略。 |
| 5472 | N / A | 低 | PAStore引擎无法在计算机上加载本地存储IPsec策略。 |
| 5473 | N / A | 低 | PAStore引擎在计算机上加载了目录存储IPsec策略。 |
| 5474 | N / A | 低 | PAStore引擎无法在计算机上加载目录存储IPsec策略。 |
| 5477 | N / A | 低 | PAStore引擎无法添加快速模式过滤器。 |
| 5479 | N / A | 低 | IPsec服务已成功关闭。关闭IPsec服务可能会使计算机面临更大的网络攻击风险或使计算机面临潜在的安全风险。 |
| 5632 | N / A | 低 | 已请求对无线网络进行身份验证。 |
| 5633 | N / A | 低 | 已请求对有线网络进行身份验证。 |
| 5712 | N / A | 低 | 尝试了远程过程调用(RPC)。 |
| 5888 | N / A | 低 | COM +目录中的对象已被修改。 |
| 5889 | N / A | 低 | 从COM +目录中删除了一个对象。 |
| 5890 | N / A | 低 | 一个对象已添加到COM +目录中。 |
| 6008 | N / A | 低 | 以前的系统关闭是意外的 |
| 6144 | N / A | 低 | 组策略对象中的安全策略已成功应用。 |
| 6272 | N / A | 低 | 网络策略服务器授予用户访问权限。 |
| N / A | 561 | 低 | 请求了对象的句柄。 |
| N / A | 563 | 低 | 对象打开以进行删除 |
| N / A | 625 | 低 | 用户帐户类型已更改 |
| N / A | 613 | 低 | IPsec策略代理已启动 |
| N / A | 614 | 低 | 已禁用IPsec策略代理 |
| N / A | 615 | 低 | IPsec策略代理 |
| N / A | 616 | 低 | IPsec策略代理遇到潜在的严重故障 |
| 24577 | N / A | 低 | 开始加密卷 |
| 24578 | N / A | 低 | 卷的加密已停止 |
| 24579 | N / A | 低 | 已完成卷的加密 |
| 24580 | N / A | 低 | 开始解密量 |
| 24581 | N / A | 低 | 卷的解密停止了 |
| 24582 | N / A | 低 | 卷的解密完成 |
| 24583 | N / A | 低 | 卷的转换工作线程已启动 |
| 24584 | N / A | 低 | 卷的转换工作线程暂时停止 |
| 24588 | N / A | 低 | 卷%2上的转换操作遇到错误的扇区错误。请验证此卷上的数据 |
| 24595 | N / A | 低 | 卷%2包含错误的群集。转换期间将跳过这些群集。 |
| 24621 | N / A | 低 | 初始状态检查:在%2上滚动卷转换事务。 |
| 5049 | N / A | 低 | IPsec安全关联已删除。 |
| 5478 | N / A | 低 | IPsec服务已成功启动。 |