windows7本地组策略.docx
《windows7本地组策略.docx》由会员分享,可在线阅读,更多相关《windows7本地组策略.docx(34页珍藏版)》请在冰豆网上搜索。
windows7本地组策略
审核策略
审核策略更改
策略更改
审核登录事件
登录/注销
审核对象访问
对象访问
审核进程跟踪
进程跟踪
审核目录服务访问
审核特权使用
敏感权限使用/非敏感权限使用
审核系统事件
系统
审核帐户登录事件
帐户登录
审核帐户管理
帐户管理
类别
子类别
事件ID
描述
策略更改
审核策略更改
4715
已更改对象上的审核策略(SACL)。
4719
系统审核策略已更改。
4817
已更改对象上的审核设置。
4902
每用户审核策略表已创建。
4904
尝试注册安全事件源。
4905
尝试取消安全事件源注册。
4906
禁用组值已更改。
4907
已更改对象上的审核设置。
4908
修改特殊组登录表格。
4912
每个用户审核策略已更改。
身份验证策略更改
4706
到域创建新的信任。
4707
已删除对一个域的信任。
4713
Kerberos策略已更改。
4716
已修改受信任的域的信息。
4717
系统安全访问权限授予帐户权限。
4718
已删除帐户的系统安全访问权限。
4739
域策略已更改。
4864
检测到的命名空间冲突。
4865
已添加受信任的林信息项。
4866
已删除受信任的林信息项。
4867
已修改受信任的林信息项。
授权策略的更改
4704
已分配用户权限。
4705
已删除了用户权限。
4714
已更改的数据恢复代理组策略的加密文件系统(EFS)。
新的更改尚未应用。
筛选平台策略更改
4709
IPsec策略代理服务已启动。
4710
已禁用IPsec策略代理服务。
4711
可能包含下列之一:
4712
IPsec策略代理遇到潜在的严重问题。
5040
IPsec设置已更改。
已添加身份验证集。
5041
IPsec设置已更改。
身份验证设置已被修改。
5042
IPsec设置已更改。
身份验证设置已被删除。
5043
IPsec设置已更改。
已添加的连接安全规则。
5044
IPsec设置已更改。
连接安全规则已被修改。
5045
IPsec设置已更改。
已删除的连接安全规则。
5046
IPsec设置已更改。
添加加密设置。
5047
IPsec设置已更改。
加密设置已被修改。
5048
IPsec设置已更改。
加密设置已被删除。
5440
下面标注时Windows筛选平台基本筛选引擎启动时出现。
5441
下面的筛选器是Windows筛选平台基本筛选引擎启动时出现。
5442
下列提供程序是Windows筛选平台基本筛选引擎启动时出现。
5443
Windows筛选平台基本筛选引擎启动时存在下列提供程序上下文。
5444
以下子图层是Windows筛选平台基本筛选引擎启动时出现。
5446
已更改Windows筛选平台标注。
5448
已更改Windows筛选平台提供商。
5449
Windows筛选平台提供程序上下文已被更改。
5450
已更改Windows筛选平台的子图层。
5456
PAStore引擎的计算机上应用IPsec策略的ActiveDirectory存储。
5457
IPsec策略代理在计算机上应用IPsec策略的ActiveDirectory存储失败。
5458
本地应用的IPsec策略代理缓存中的活动目录存储在计算机上的IPsec策略的副本。
5459
IPsec策略代理无法在计算机上应用IPsec策略的ActiveDirectory存储的本地缓存的副本。
5460
IPsec策略代理在计算机上应用IPsec策略的本地注册表存储。
5461
IPsec策略代理在计算机上应用IPsec策略的本地注册表存储失败。
5462
IPsec策略代理无法应用在计算机上的活动IPsec策略的某些规则。
IP安全监视器管理单元中使用,用来诊断问题。
5463
IPsec策略代理轮询的活动IPsec策略的更改,并且检测到任何更改。
5464
IPsec策略代理轮询的活动IPsec策略的更改,检测到更改,应用它们。
5465
IPsec策略代理接收用于IPsec策略的强制重新加载的控件,并成功处理该控件。
5466
IPsec策略代理轮询到活动目录IPsec策略中,已确定ActiveDirectory无法访问,并将改为使用活动目录IPsec策略缓存的副本的更改。
由于上次轮询不能应用到活动目录IPsec策略中做的任何更改。
5467
IPsec策略代理轮询到活动目录IPsec策略中,已确定ActiveDirectory可以达到,并且找到没有更改策略的更改。
活动目录IPsec策略缓存的副本不再被使用。
5468
IPsec策略代理轮询更改到活动目录IPsec策略中,已确定ActiveDirectory可以达到,找到到策略中,更改并应用这些更改。
活动目录IPsec策略缓存的副本不再被使用。
5471
IPsec策略代理加载本地存储在计算机上的IPsec策略。
5472
IPsec策略代理无法加载本地存储在计算机上的IPsec策略。
5473
IPsec策略代理加载目录存储在计算机上的IPsec策略。
5474
IPsec策略代理无法加载目录存储在计算机上的IPsec策略。
5477
IPsec策略代理无法添加快速模式筛选器。
mpssvc规则级别策略更改
4944
当启动Windows防火墙时,以下策略处于活动状态。
4945
当启动Windows防火墙已列出规则。
4946
Windows防火墙例外列表已更改。
添加的规则。
4947
Windows防火墙例外列表已更改。
规则已被修改。
4948
Windows防火墙例外列表已更改。
规则已被删除。
4949
Windows防火墙设置都恢复为默认值。
4950
已更改Windows防火墙设置。
4951
Windows防火墙忽略规则,因为无法识别的主要版本号。
4952
Windows防火墙忽略规则的部分,因为无法识别它的次要版本号。
将执行该规则的其他部分。
4953
由于无法分析,Windows防火墙将忽略规则。
4954
Windows防火墙组策略设置已更改,并且未应用新设置。
4956
Windows防火墙更改活动配置文件。
4957
Windows防火墙未应用以下规则:
4958
因为规则引用的项目未在此计算机上配置Windows防火墙未应用下面的规则:
5050
尝试以编程方式禁用Windows防火墙使用INetFwProfile.FirewallEnabled(FALSE)接口的调用被拒绝
其他策略更改事件
4909
TBS的本地策略设置已更改。
4910
TBS的组策略设置已更改。
5063
试图加密提供程序操作。
5064
试图加密上下文操作。
5065
试图执行加密上下文修改。
5066
试图加密函数操作。
5067
试图执行的加密函数修改。
5068
试图进行加密的功能提供程序操作。
5069
试图加密函数属性操作。
5070
试图执行的加密函数属性修改。
5447
Windows筛选平台筛选器已更改。
6144
已成功地应用组策略对象中的安全策略。
6145
处理组策略对象中的安全策略时出现一个或多个错误。
特殊的多用途子类别的子类别:
4670
已更改对象上的权限。
登录/注销
IPsec扩展模式
4978
在扩展模式下协商IPsec收到无效的协商数据包。
如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
4979
建立IPsec主模式与扩展的模式安全关联。
4980
建立IPsec主模式与扩展的模式安全关联。
4981
建立IPsec主模式与扩展的模式安全关联。
4982
建立IPsec主模式与扩展的模式安全关联。
4983
IPsec的扩展模式协商失败。
相应的主模式安全关联已被删除。
4984
IPsec的扩展模式协商失败。
相应的主模式安全关联已被删除。
IPsec主模式
4646
启动IKEDoS保护模式。
4650
建立IPsec主模式安全关联。
未启用扩展的模式。
不使用证书身份验证。
4651
建立IPsec主模式安全关联。
未启用扩展的模式。
证书用于身份验证。
4652
主模式协商失败,IPsec。
4653
主模式协商失败,IPsec。
4655
IPsec主模式安全关联的结束。
4976
在主模式协商期间IPsec接收到无效的协商数据包。
如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5049
IPsec安全关联已被删除。
5453
IPsec策略代理在计算机上应用了ActiveDirectoryIPsec策略存储。
IPsec快速模式
4654
快速模式协商失败,IPsec。
4977
在快速模式协商过程中IPsec接收到无效的协商数据包。
如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5451
建立IPsec快速模式安全关联。
5452
IPsec快速模式安全关联的结束。
注销
4634
帐户被注销。
4647
用户启动注销过程。
登录
4624
帐户已成功登录。
4625
帐户登录失败。
4648
试图使用显式凭据登录。
4675
Sid被筛选。
网络策略服务器
6272
网络策略服务器向用户授予访问权限。
6273
网络策略服务器拒绝的用户访问。
6274
网络策略服务器放弃用户的请求。
6275
网络策略服务器丢弃用户记帐请求。
6276
网络策略服务器隔离用户。
6277
网络策略服务器授予访问权限的用户,但将其放在试用,因为主机不符合该定义的健康策略。
6278
网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。
6279
网络策略服务器锁定由于重复的失败的验证尝试的用户帐户。
6280
网络策略服务器已解锁用户帐户。
其他登录/注销事件
4649
检测到的重播攻击。
4778
到窗口站重新连接会话。
4779
从窗口站,会话已断开连接。
4800
锁定工作站。
4801
交互式地使用计算机。
4802
屏幕保护程序被调用。
4803
已关闭屏幕保护程序。
5378
请求的凭据委派被策略禁用。
5632
请求对无线网络进行身份验证。
5633
请求进行身份验证的有线网络。
特殊的登录
4964
特殊组已分配到一个新的登录帐户。
对象访问
生成的应用程序
4665
尝试创建应用程序客户端上下文。
4666
应用程序试图执行的操作:
4667
应用程序客户端上下文已被删除。
4668
应用程序已初始化。
证书服务
4868
证书管理器拒绝了挂起的证书申请。
4869
证书服务收到重新提交的证书申请。
4870
证书服务吊销了证书。
4871
证书服务收到发行证书吊销列表(CRL)的请求。
4872
证书服务发行了证书吊销列表(CRL)。
4873
更改了证书申请扩展。
4874
更改一个或多个证书申请属性。
4875
证书服务收到关闭请求。
4876
证书服务备份已启动。
4877
证书服务备份已完成。
4878
已开始证书服务还原。
4879
证书服务还原已完成。
4880
证书服务已启动。
4881
证书服务已停止。
4882
证书服务的安全权限已更改。
4883
证书服务检索到存档的密钥。
4884
证书服务将证书导入它的数据库。
4885
证书服务的审核筛选已更改。
4886
证书服务收到了一个证书申请。
4887
证书服务批准了证书申请并颁发了证书。
4888
证书服务拒绝证书请求。
4889
证书服务将证书请求状态设置为挂起。
4890
证书服务的证书管理器设置已更改。
4891
更改证书服务中的配置项。
4892
证书服务的属性已更改。
4893
证书服务存档了密钥。
4894
证书服务导入和存档了密钥。
4895
证书服务发布到ActiveDirectory域服务的CA证书。
4896
已从证书数据库删除一行或多行。
4897
启用角色分离:
4898
证书服务加载模板。
4899
已更新的证书服务模板。
4900
更新证书模板安全服务。
5120
OCSP响应程序服务已启动。
5121
OCSP响应程序服务已停止。
5122
更改在OCSP响应程序服务的配置项。
5123
更改在OCSP响应程序服务的配置项。
5124
OCSP响应程序服务已更新安全设置。
5125
请求已提交到OCSP响应程序服务。
5126
OCSP响应程序服务已自动更新签名证书。
5127
OCSP吊销提供程序已成功更新的吊销信息。
详细的文件共享
5145
网络共享对象已检查以查看是否可以所需访问授予客户机。
文件共享
5140
访问网络共享对象。
5142
已添加网络共享对象。
5143
网络共享对象被修改。
5144
网络共享对象已被删除。
5168
SMB/SMB2的Spn检查失败。
文件系统
4664
尝试创建硬链接。
4985
交易记录的状态已更改。
5051
文件的虚拟化。
筛选平台连接
5031
Windows防火墙服务阻止接受传入连接在网络上的应用程序。
5148
Windows筛选平台已检测到DoS攻击并进入防御模式;与此攻击的数据包将被丢弃。
5149
DoS攻击减少,正在继续正常处理。
5150
Windows筛选平台已阻止的数据包。
5151
限制性更强的Windows筛选平台过滤器已阻止数据包。
5154
要在端口上侦听传入连接的应用程序或服务,已允许Windows筛选平台。
5155
Windows筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。
5156
Windows筛选平台允许一个连接。
5157
Windows筛选平台已阻止连接。
5158
Windows筛选平台允许绑定到本地端口。
5159
Windows筛选平台已阻止绑定到本地端口。
筛选平台数据包丢弃
5152
Windows筛选平台已阻止的数据包。
5153
限制性更强的Windows筛选平台过滤器已阻止数据包。
句柄操作
4656
请求的对象的句柄。
4658
已关闭的对象句柄。
4690
尝试复制一个对象的句柄。
其他对象访问事件
4671
应用程序尝试访问已阻止的序号通过进行tbs。
4691
请求的对象的间接访问。
4698
创建计划的任务。
4699
计划的任务已被删除。
4700
计划的任务已启用。
4701
已禁用计划的任务。
4702
已更新计划的任务。
4702
已更新计划的任务。
5888
在COM+目录中的对象已被修改。
5889
从COM+目录中删除对象。
5890
对象已添加到COM+目录中。
其他对象访问事件
4671
应用程序尝试访问已阻止的序号通过进行tbs。
4691
请求的对象的间接访问。
4698
创建计划的任务。
4699
计划的任务已被删除。
4700
计划的任务已启用。
4701
已禁用计划的任务。
4702
已更新计划的任务。
4702
已更新计划的任务。
5888
在COM+目录中的对象已被修改。
5889
从COM+目录中删除对象。
5890
对象已添加到COM+目录中。
注册表
4657
已修改的注册表值。
5039
注册表项被虚拟化。
特殊的多用途子类别
4659
旨在通过来删除请求的对象的句柄。
4660
对象已被删除。
4661
请求的对象的句柄。
4663
试图访问的对象。
进程跟踪
DPAPI活动
4692
尝试进行备份的数据保护主密钥。
4693
试图恢复数据保护主密钥。
4694
试图执行的可审核的受保护数据的保护。
4695
试图执行的可审核的受保护数据的unprotection。
过程创建
4688
已创建一个新的进程。
4696
一个主令牌被分配来处理。
终止的进程
4689
进程已退出。
RPC事件
5712
试图远程过程调用(RPC)。
详细的目录服务复制
4928
已建立一个ActiveDirectory复制副本源的命名上下文。
4929
已删除ActiveDirectory复制副本源的命名上下文。
4930
ActiveDirectory复制副本源命名上下文已被修改。
4931
ActiveDirectory复制副本目标命名上下文已被修改。
4934
ActiveDirectory对象的属性被复制。
4935
开始复制失败。
4936
结束复制失败。
4937
从副本中删除延迟对象。
目录服务访问
4662
在对象上执行操作。
目录服务更改
5136
目录服务对象已被修改。
5137
创建目录服务对象。
5138
未删除目录服务对象。
5139
目录服务对象已移动。
5141
目录服务对象已被删除。
目录服务复制
4932
ActiveDirectory命名上下文的副本的同步已开始。
4933
ActiveDirectory命名上下文的副本的同步已结束。
特权使用
敏感权限使用/非敏感权限使用
4672
分配给新的登录特权。
4673
特权的服务被调用。
4674
试图在特权对象上执行操作。
系统
IPsec驱动程序
4960
IPsec丢弃入站的数据包的完整性检查失败
。
如果此问题仍然存在,它可能表明存在网络问题或该数据包正在修改传输到这台计算机中。
验证来自远程计算机所发送的数据包接收到这台计算机的相同。
此错误也可能表示与其他IPsec。
4961
IPsec丢弃无法重播检查入站的数据包。
如果此问题仍然存在,它可能表明针对此计算机的重播攻击。
4962
IPsec丢弃无法重播检查入站的数据包。
入站的数据包所太低的序列号,以确保它不是重播。
4963
IPsec丢弃应该保护的入站的明文数据包。
如果远程计算机的请求出站IPsec策略配置,这可能是良性和预期。
这也可以致更改而不通知该计算机的IPsec策略的远程计算机。
这也可能是欺骗的攻击企图。
4965
IPsec将数据包来自远程计算机具有不正确的安全参数索引(SPI)。
这通常是由有故障正在损坏数据包的硬件引起的。
如果这些错误仍然存在,验证来自远程计算机所发送的数据包是否接收到这台计算机的相同。
此错误也可能表示与其他IPsec
5478
IPsec策略代理服务已启动。
5479
IPsec服务已成功关闭。
IPsec服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5480
IPsec策略代理无法获取该计算机上的网络接口的完整列表。
这会造成潜在的安全风险,因为某些网络接口可能不会得到应用的IPsec筛选器提供的保护。
IP安全监视器管理单元中使用,用来诊断问题。
5483
IPsec策略代理服务未能初始化其RPC服务器。
无法启动该服务。
5484
IPsec策略代理服务遇到严重故障,并且已关闭。
关闭此服务,可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5485
IPsec策略代理无法处理网络接口上的即插即用播放事
其他系统事件
5024
Windows防火墙服务已成功启动。
5025
Windows防火墙服务已停止。
5027
Windows防火墙服务无法从本地存储区中检索的安全策略。
Windows防火墙将继续执行当前的策略。
5028
Windows防火墙无法分析新的安全策略。
Windows防火墙将继续执行当前的策略。
5029
Windows防火墙服务无法初始化该驱动程序。
Windows防火墙将继续执行当前的策略。
5030
Windows防火墙服务无法启动。
5032
Windows防火墙不能以通知用户它阻止接受传入连接在网络上的应用程序。
5033
Windows防火墙驱动程序已成功启动。
5034
Windows防火墙驱动程序已停止。
5035
Windows防火墙驱动程序启动失败。
5037
Windows防火墙驱动程序检测到严重的运行时错误,正在终止。
5058
密钥文件操作。
5059
键迁移操作。
6400
发现内容的可用性时,分支缓存:
收到格式不正确的响应。
6401
分支缓存:
来自对等方接收到无效的数据。
数据丢失。
6403
分支缓存:
托管的缓存发送格式不正确的响应客户端。
6404
分支缓存:
托管的缓存无法验证使用资源调配的SSL证书。
6405
分支缓存:
%2实例id为%1的事件的发生。
6406
到Windows防火墙注册为以下用于筛选的控件的%1:
%2
6407
0.01
安全状态更改
4608
Windows正在启动。
4616
更改系统时间。
4621
管理员已禁用组从恢复系统。
现在将允许非管理员用户登录。
可能尚未记录一些可审核的活动。
安全状态更改
4608
Windows正在启动。
4616
更改系统时间。
4621
管理员已禁用组从恢复系统。
现在将允许非管理员用户登录。
可能尚未记录一些可审核的活动。
安全系统扩展
4610
已由本地安全机构加载身份验证程序包。
4611
受信任的登录进程已具有本地安全机构注册。
4614
安全帐户管理器已加载通知程序包。
4622
安全程序包已由本地安全机构加载。
4697
在系统中已安装的服务。
系统完整性
4612
进行的审核消息进行排队而分配的内部资源已用尽,从而导致丢失的一些审计。
4615
使用LPC端口无效。
4618
监视的安全事件模式出现。
4816
RPC检测解密传入消息时存在完整性冲突。
5038
代码完整性取决于文件的图像哈希是无效。
该文件可能会损坏原因是XX的修改或无效的哈希可能表明存在潜在的磁盘设备错误。
5056
执行加密的自我测试。
5057
加密基元操作失败。
5060
验证操作失败。
5061
加密操作。
5062
执行内核模式加密自检。
6281
代码完整性确定图像文件的网页哈希值无效。
该文件可能