Condividi tramite


Appendice L: Eventi da monitorare

Nella tabella seguente sono elencati gli eventi da monitorare nell'ambiente, in base alle raccomandazioni fornite in Monitoraggio dei segnali di compromissione di Active Directory. Tutte le organizzazioni devono testare queste raccomandazioni nei propri ambienti prima di creare avvisi che richiedono risposte obbligatorie in seguito a indagini. Ogni ambiente è diverso e alcuni degli eventi classificati con una potenziale criticità di High potrebbero verificarsi a causa di altri eventi innocui.

Note

The default logging behavior in Windows systems varies by version and edition, with many audit-related Group Policy Objects (GPO) set to Not Configured by default. Ciò significa che il sistema si basa sulle impostazioni predefinite per la registrazione degli eventi. Anche se gli eventi critici, ad esempio le modifiche ai criteri di controllo (ID evento 4719), vengono in genere registrati, altri eventi specifici (ad esempio GLI ID evento 4618 e 4649) potrebbero richiedere l'acquisizione della configurazione esplicita dei criteri di controllo.

Per una registrazione completa, inclusi gli ID evento pertinenti, gli amministratori dovrebbero configurare i criteri di audit appropriati in Configurazione computer\Impostazioni di sicurezza\Configura impostazioni di criteri di controllo avanzati e Configurazione computer\Modelli amministrativi\Componenti di Windows e altre sezioni pertinenti di Criteri di gruppo.

Data queste variabili, è essenziale per le organizzazioni esaminare e, se necessario, modificare le configurazioni dei controlli di sicurezza di Windows in modo da allinearsi agli obiettivi di sicurezza e conformità. In questo modo, gli eventi significativi vengono acquisiti nel Visualizzatore eventi di Windows, supportando in modo efficace i requisiti di sicurezza e conformità.

Tabella ID evento

Nella tabella seguente la colonna "ID evento Windows corrente" elenca l'ID evento implementato nelle versioni di Windows e Windows Server attualmente in supporto Mainstream. La colonna "ID evento Windows legacy" elenca l'ID evento corrispondente nelle versioni legacy di Windows, ad esempio i computer client che eseguono Windows XP o versioni precedenti e i server che eseguono Windows Server 2003 o versioni precedenti.

La colonna "Criticità potenziale" identifica il livello di criticità dell'evento (basso, medio o alto) per il rilevamento di attacchi e la colonna "Riepilogo evento" fornisce una breve descrizione dell'evento. Una criticità potenziale di livello alto indica che è necessario esaminare una occorrenza dell'evento. Una criticità potenziale di livello Medio o Basso indica che questi eventi devono essere esaminati solo se si verificano in modo imprevisto e con numeri che superano significativamente la base prevista in un periodo di tempo misurato.

ID evento Windows corrente ID evento Windows legacy Potential Criticality Event Summary
4618 N/A High Si è verificato un modello di evento di sicurezza monitorato.
4649 N/A High È stato rilevato un attacco di tipo replay. Può essere un falso positivo innocuo causato da un errore di configurazione errata.
4719 612 High I criteri di controllo del sistema sono stati modificati.
4765 N/A High La SID History è stata aggiunta a un account.
4766 N/A High Tentativo fallito di aggiungere la cronologia SID a un account.
4794 N/A High È stato effettuato un tentativo di impostare la modalità di ripristino dei servizi directory.
4897 801 High Separazione dei ruoli abilitata.
4964 N/A High Gruppi speciali assegnati a un nuovo login.
5124 N/A High Un'impostazione di sicurezza è stata aggiornata nel servizio risponditore OCSP.
N/A 550 Da medio ad alto Possibile attacco di negazione del servizio (DoS).
1102 517 Da medio ad alto Il log di controllo è stato cancellato.
4621 N/A Medium L'amministratore ha recuperato il sistema da CrashOnAuditFail. Gli utenti non amministratori ora potranno accedere. Alcune attività controllabili potrebbero non essere state registrate.
4675 N/A Medium I SID sono stati filtrati.
4692 N/A Medium Tentativo di backup della chiave master di protezione dei dati.
4693 N/A Medium Tentativo di recupero della chiave master di protezione dei dati.
4706 610 Medium È stata creata una nuova relazione di trust con un dominio.
4713 617 Medium I criteri Kerberos sono stati modificati.
4714 618 Medium I criteri di ripristino dei dati crittografati sono stati modificati.
4715 N/A Medium I criteri di controllo (SACL) per un oggetto sono stati modificati.
4716 620 Medium Le informazioni sui domini attendibili sono state modificate.
4724 628 Medium È stato effettuato un tentativo di reimpostare la password di un account.
4727 631 Medium È stato creato un gruppo globale abilitato alla sicurezza.
4735 639 Medium Un gruppo locale con impostazioni di sicurezza attivate è stato modificato.
4737 641 Medium Un gruppo globale con funzionalità di sicurezza è stato modificato.
4739 643 Medium I criteri di dominio sono stati modificati.
4754 658 Medium È stato creato un gruppo universale con funzionalità di sicurezza.
4755 659 Medium Un gruppo universale con abilitazione alla sicurezza è stato modificato.
4764 667 Medium È stato eliminato un gruppo disabilitato per la sicurezza.
4764 668 Medium Il tipo di un gruppo è stato modificato.
4780 684 Medium L'elenco di controllo di accesso è stato impostato su account che sono membri dei gruppi degli amministratori.
4816 N/A Medium RPC ha rilevato una violazione dell'integrità durante la decrittografia di un messaggio in arrivo.
4865 N/A Medium È stata aggiunta una voce di informazioni sulle foreste attendibili.
4866 N/A Medium È stata rimossa una voce di informazioni affidabili sulle foreste.
4867 N/A Medium È stata modificata una voce attendibile di informazioni sulle foreste.
4868 772 Medium Il gestore dei certificati ha negato una richiesta di certificati in sospeso.
4870 774 Medium Servizi certificati ha revocato un certificato.
4882 786 Medium Le autorizzazioni di sicurezza di Servizi certificati sono cambiate.
4885 789 Medium Il filtro di controllo di Servizi certificati è cambiato.
4890 794 Medium Le impostazioni del gestore di certificati per Servizi certificati sono cambiate.
4892 796 Medium Una proprietà di Servizi Certificati è cambiata.
4896 800 Medium Una o più righe sono state eliminate dal database dei certificati.
4906 N/A Medium Il valore CrashOnAuditFail è stato modificato.
4907 N/A Medium Le impostazioni di controllo sull'oggetto sono state modificate.
4908 N/A Medium La tabella di accesso dei gruppi speciali è stata modificata.
4912 807 Medium I criteri di controllo per utente sono stati modificati.
4960 N/A Medium IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec.
4961 N/A Medium IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Se il problema persiste, potrebbe indicare un attacco di tipo replay contro questo computer.
4962 N/A Medium IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per garantire che non fosse una riproduzione.
4963 N/A Medium IPsec ha eliminato un pacchetto di testo non crittografato in ingresso che avrebbe dovuto essere protetto. Questo in genere è dovuto alla modifica del criterio IPsec da parte del computer remoto senza informare questo computer. Potrebbe anche trattarsi di un tentativo di attacco di spoofing.
4965 N/A Medium IPsec ha ricevuto da un computer remoto un pacchetto con un indice dei parametri di sicurezza (SPI) non corretto. Questo è in genere causato da un malfunzionamento hardware che danneggia i pacchetti. Se questi errori persistono, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati.
4976 N/A Medium Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4977 N/A Medium Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4978 N/A Medium Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4983 N/A Medium Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata.
4984 N/A Medium Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata.
5027 N/A Medium Il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dall'archiviazione locale. Il servizio continuerà ad applicare i criteri correnti.
5028 N/A Medium Il servizio Windows Firewall non è riuscito ad analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti.
5029 N/A Medium Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti.
5030 N/A Medium L'avvio del servizio Windows Firewall non è riuscito.
5035 N/A Medium L'avvio del driver di Windows Firewall non è riuscito.
5037 N/A Medium Il driver di Windows Firewall ha rilevato un errore di runtime critico. Terminating.
5038 N/A Medium L'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco.
5120 N/A Medium Servizio risponditore OCSP avviato.
5121 N/A Medium Il servizio OCSP è stato fermato.
5122 N/A Medium Una voce di configurazione è stata modificata nel servizio OCSP.
5123 N/A Medium Una voce di configurazione è stata modificata nel servizio OCSP.
5376 N/A Medium È stato eseguito il backup delle credenziali di Gestione delle credenziali.
5377 N/A Medium Le credenziali di Gestione delle credenziali sono state ripristinate da un backup.
5453 N/A Medium Una negoziazione IPsec con un computer remoto non è riuscita perché il servizio (IKE and AuthIP IPsec Keying Modules (IKEEXT) service) non è avviato.
5480 N/A Medium I servizi IPsec non sono riusciti a ottenere l'elenco completo delle interfacce di rete nel computer. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema.
5483 N/A Medium I servizi IPsec non sono riusciti a inizializzare il server RPC. Avvio dei servizi IPsec non riuscito.
5484 N/A Medium I servizi IPsec hanno riscontrato un errore critico e sono stati arrestati. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza.
5485 N/A Medium I servizi IPsec non sono riusciti a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema.
5827 N/A Medium Il servizio Netlogon ha negato una vulnerabile connessione del canale sicuro Netlogon da un account macchina.
5828 N/A Medium Il servizio Netlogon ha negato una connessione al canale sicuro Netlogon vulnerabile utilizzando un account di trust.
6145 N/A Medium Si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo.
6273 N/A Medium Il server dei criteri di rete ha negato l'accesso a un utente.
6274 N/A Medium Il Server dei criteri di rete ha scartato la richiesta di un utente.
6275 N/A Medium Il Server dei criteri di rete ha scartato la richiesta di contabilizzazione per un utente.
6276 N/A Medium Il Server dei criteri di rete ha messo in quarantena un utente.
6277 N/A Medium Il Server dei criteri di rete ha concesso l'accesso a un utente ma lo ha sospeso in prova perché l'host non soddisfa i criteri di integrità definiti.
6278 N/A Medium Il Server dei criteri di rete ha concesso l'accesso completo a un utente perché l'host ha soddisfatto i criteri di integrità definiti.
6279 N/A Medium Il Server dei criteri di rete ha bloccato l'account utente a causa di ripetuti tentativi di autenticazione non riusciti.
6280 N/A Medium Il Server dei criteri di rete ha sbloccato l'account utente.
- 640 Medium Database del conto generale modificato.
- 619 Medium La politica di qualità del servizio è cambiata.
24586 N/A Medium Si è verificato un errore durante la conversione del volume.
24592 N/A Medium Tentativo di riavvio automatico della conversione nel volume %2 non riuscito.
24593 N/A Medium Scrittura dei metadati: il volume %2 restituisce errori quando si tenta di modificare i metadati. Se gli errori dovessero continuare, si consiglia di decrittografare il volume.
24594 N/A Medium Ricompilazione dei metadati: il tentativo di scrivere una copia dei metadati nel volume %2 non è riuscito e può apparire come danneggiamento del disco. Se gli errori dovessero continuare, si consiglia di decrittografare il volume.
4608 512 Low Avvio di Windows in corso.
4609 513 Low Windows si sta spegnendo.
4610 514 Low Un pacchetto di autenticazione è stato caricato dall'autorità di protezione locale.
4611 515 Low Un processo di accesso attendibile è stato registrato con l'autorità di protezione locale.
4612 516 Low Le risorse interne allocate per l'accodamento dei messaggi di controllo si sono esaurite, causando la perdita di alcuni controlli.
4614 518 Low Un pacchetto di notifica è stato caricato dal Security Account Manager.
4615 519 Low Uso non valido della porta LPC.
4616 520 Low L'ora di sistema è stata modificata.
4622 N/A Low Un pacchetto di sicurezza è stato caricato dall'Autorità di Sicurezza Locale.
4624 528,540 Low È stato eseguito l'accesso a un account.
4625 529-537,539 Low Un account non è riuscito ad accedere.
4634 538 Low Un account è stato disconnesso.
4646 N/A Low È stata avviata la modalità di prevenzione DoS di IKE.
4647 551 Low Disconnessione avviata dall'utente.
4648 552 Low Tentativo di accesso con credenziali esplicite.
4650 N/A Low È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. L'autenticazione del certificato non è stata usata.
4651 N/A Low È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. È stato usato un certificato per l'autenticazione.
4652 N/A Low Negoziazione in modalità principale IPsec non riuscita.
4653 N/A Low Negoziazione in modalità principale IPsec non riuscita.
4654 N/A Low Negoziazione in modalità rapida IPsec non riuscita.
4655 N/A Low Un'associazione di sicurezza in modalità principale IPsec è terminata.
4656 560 Low È stato richiesto un handle per un oggetto.
4657 567 Low Un valore del Registro di sistema è stato modificato.
4658 562 Low L'handle di un oggetto è stato chiuso.
4659 N/A Low È stato richiesto un handle per un oggetto con finalità di eliminazione.
4660 564 Low Un oggetto è stato eliminato.
4661 565 Low È stato richiesto un handle per un oggetto.
4662 566 Low Un'operazione è stata eseguita su un oggetto.
4663 567 Low è stato effettuato un tentativo di accedere a un oggetto.
4664 N/A Low È stato effettuato un tentativo di creare un collegamento reale.
4665 N/A Low È stato effettuato un tentativo di creare il contesto client di un'applicazione.
4666 N/A Low Un'applicazione ha tentato un'operazione.
4667 N/A Low Il contesto client di un'applicazione è stato eliminato.
4668 N/A Low È stata inizializzata un'applicazione.
4670 N/A Low Le autorizzazioni per un oggetto sono state modificate.
4671 N/A Low Un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS.
4672 576 Low Privilegi speciali assegnati a un nuovo account di accesso.
4673 577 Low È stato chiamato un servizio con privilegi.
4674 578 Low È stata tentata un'operazione su un oggetto con privilegi.
4688 592 Low È stato creato un nuovo processo.
4689 593 Low Un processo è stato chiuso.
4690 594 Low È stato effettuato un tentativo di duplicare un handle per un oggetto.
4691 595 Low È stato richiesto l'accesso indiretto a un oggetto.
4694 N/A Low È stato effettuato un tentativo di proteggere dati protetti controllabili.
4695 N/A Low È stato effettuato un tentativo di annullare la protezione di dati protetti controllabili.
4696 600 Low A un processo è stato assegnato un token primario.
4697 601 Low Tentare di installare un servizio.
4698 602 Low È stata creata un'attività pianificata.
4699 602 Low Un'attività pianificata è stata eliminata.
4700 602 Low Un'attività pianificata è stata abilitata.
4701 602 Low Un'attività pianificata è stata disabilitata.
4702 602 Low Un'attività pianificata è stata aggiornata.
4704 608 Low È stato assegnato un diritto utente.
4705 609 Low È stato rimosso un diritto utente.
4707 611 Low È stato rimosso un trust per un dominio.
4709 N/A Low I servizi IPsec sono stati avviati.
4710 N/A Low I servizi IPsec sono stati disabilitati.
4711 N/A Low Può contenere uno dei seguenti: il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione dell'Active Directory sul computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione del registro locale sul computer. Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec del registro di archiviazione locale sul computer. Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory sul computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec dall'archivio locale nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha verificato le modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche.
4712 N/A Low I servizi IPsec hanno riscontrato un errore potenzialmente grave.
4717 621 Low A un account è stato concesso l'accesso alla sicurezza del sistema.
4718 622 Low L'accesso alla sicurezza del sistema è stato rimosso da un account.
4720 624 Low È stato creato un account utente.
4722 626 Low Un account utente è stato abilitato.
4723 627 Low È stato effettuato un tentativo di modificare la password di un account.
4725 629 Low Un account utente è stato disabilitato.
4726 630 Low Un account utente è stato eliminato.
4728 632 Low È stato aggiunto un membro a un gruppo globale con sicurezza abilitata.
4729 633 Low È stato rimosso un membro da un gruppo globale con sicurezza abilitata.
4730 634 Low Un gruppo globale con sicurezza abilitata è stato eliminato.
4731 635 Low È stato creato un gruppo locale con sicurezza abilitata.
4732 636 Low È stato aggiunto un membro a un gruppo locale con sicurezza abilitata.
4733 637 Low È stato rimosso un membro da un gruppo locale con sicurezza abilitata.
4734 638 Low È stato eliminato un gruppo locale con sicurezza abilitata.
4738 642 Low Un account utente è stato modificato.
4740 644 Low Un account utente è stato bloccato.
4741 645 Low Un account del computer è stato modificato.
4742 646 Low Un account del computer è stato modificato.
4743 647 Low Un account del computer è stato eliminato.
4744 648 Low È stato creato un gruppo locale con sicurezza disattivata.
4745 649 Low Un gruppo locale con sicurezza disabilitata è stato modificato.
4746 650 Low È stato aggiunto un membro a un gruppo locale con sicurezza disabilitata.
4747 651 Low È stato rimosso un membro da un gruppo locale con sicurezza disabilitata.
4748 652 Low Un gruppo locale con sicurezza disabilitata è stato eliminato.
4749 653 Low È stato creato un gruppo globale con sicurezza disabilitata.
4750 654 Low Un gruppo globale con sicurezza disabilitata è stato modificato.
4751 655 Low È stato aggiunto un membro a un gruppo globale con sicurezza disabilitata.
4752 656 Low È stato rimosso un membro da un gruppo globale con sicurezza disabilitata.
4753 657 Low Un gruppo globale con sicurezza disabilitata è stato eliminato.
4756 660 Low È stato aggiunto un membro a un gruppo universale con sicurezza abilitata.
4757 661 Low È stato rimosso un membro da un gruppo universale con sicurezza abilitata.
4758 662 Low Un gruppo universale con sicurezza abilitata è stato eliminato.
4759 663 Low È stato creato un gruppo universale con funzionalità di sicurezza disabilitata.
4760 664 Low Un gruppo universale con sicurezza disabilitata è stato modificato.
4761 665 Low È stato aggiunto un membro a un gruppo universale con sicurezza disabilitata.
4762 666 Low È stato rimosso un membro da un gruppo universale con sicurezza disabilitata.
4767 671 Low Un account utente è stato sbloccato.
4768 672,676 Low È stato richiesto un ticket di autenticazione Kerberos (TGT).
4769 673 Low È stato richiesto un ticket di servizio Kerberos.
4770 674 Low È stato rinnovato un ticket di servizio Kerberos.
4771 675 Low Preautenticazione Kerberos non riuscita.
4772 672 Low Una richiesta di ticket di autenticazione Kerberos non è riuscita.
4774 678 Low È stata eseguita la mappatura di un account per l'accesso.
4775 679 Low Non è stato possibile eseguire il mapping di un account per l'accesso.
4776 680,681 Low Il controller di dominio ha tentato di convalidare le credenziali di un account.
4777 N/A Low Il controller di dominio non è riuscito a convalidare le credenziali di un account.
4778 682 Low Una sessione è stata riconnessa a una stazione Windows.
4779 683 Low Una sessione è stata disconnessa da una stazione Windows.
4781 685 Low Il nome di un account è stato modificato.
4782 N/A Low È stato eseguito l'accesso all'hash della password di un account.
4783 667 Low È stato creato un gruppo di applicazioni di base.
4784 N/A Low Un gruppo di applicazioni di base è stato modificato.
4785 689 Low È stato aggiunto un membro a un gruppo di applicazioni di base.
4786 690 Low È stato rimosso un membro da un gruppo di applicazioni di base.
4787 691 Low È stato aggiunto un non membro a un gruppo di applicazioni di base.
4788 692 Low È stato rimosso un non membro da un gruppo di applicazioni di base.
4789 693 Low Un gruppo di applicazioni di base è stato eliminato.
4790 694 Low È stato creato un gruppo di query LDAP.
4793 N/A Low È stata chiamata l'API di controllo dei criteri delle password.
4800 N/A Low La workstation è stata bloccata.
4801 N/A Low La workstation è stata sbloccata.
4802 N/A Low È stato richiamato lo screen saver.
4803 N/A Low Lo screen saver è stato disattivato.
4864 N/A Low È stato rilevato un conflitto nello spazio dei nomi.
4869 773 Low Servizi certificati ha ricevuto una richiesta di certificato inviata di nuovo.
4871 775 Low Servizi Certificati ha ricevuto una richiesta di pubblicare la lista di revoca dei certificati (CRL).
4872 776 Low Servizi di certificazione ha pubblicato l'elenco di revoca dei certificati (CRL).
4873 777 Low L'estensione di una richiesta di certificato è cambiata.
4874 778 Low Uno o più attributi della richiesta di certificato sono cambiati.
4875 779 Low Servizi di Certificazione ha ricevuto una richiesta di spegnimento.
4876 780 Low Il backup di Servizi certificati è stato avviato.
4877 781 Low È stato completato il backup di Servizi certificati.
4878 782 Low È stato avviato il ripristino di Servizi certificati.
4879 783 Low È stato completato il ripristino di Servizi certificati.
4880 784 Low I servizi di certificazione sono stati avviati.
4881 785 Low Servizi di certificazione interrotti.
4883 787 Low Servizi di certificati ha recuperato una chiave archiviata.
4884 788 Low Servizi certificati ha importato un certificato nel database.
4886 790 Low Servizi certificati ha ricevuto una richiesta di certificato.
4887 791 Low Il Servizio Certificati ha approvato una richiesta di certificato e ha emesso un certificato.
4888 792 Low Servizi di certificazione ha negato una richiesta di certificato.
4889 793 Low Il servizio di certificazione ha messo in sospeso lo stato di una richiesta di certificato.
4891 795 Low Una voce di configurazione in Servizi certificati è cambiata.
4893 797 Low I servizi di certificazione hanno archiviato una chiave.
4894 798 Low Servizi certificato ha importato e archiviato la chiave.
4895 799 Low I servizi di certificati hanno pubblicato il certificato CA su Servizi di dominio Active Directory.
4898 802 Low Modello caricato da Servizi certificati.
4902 N/A Low È stata creata la tabella dei criteri di controllo per utente.
4904 N/A Low È stato effettuato il tentativo di registrare un'origine evento di sicurezza.
4905 N/A Low È stato effettuato il tentativo di annullare la registrazione di un'origine evento di sicurezza.
4909 N/A Low Le impostazioni dei criteri locali per TBS sono state modificate.
4910 N/A Low Le impostazioni dei criteri di gruppo per TBS sono state modificate.
4928 N/A Low È stato stabilito un contesto di denominazione della sorgente replica di Active Directory.
4929 N/A Low È stato rimosso un contesto di denominazione dell'origine della replica di Active Directory.
4930 N/A Low È stato modificato un contesto di denominazione della fonte di replica di Active Directory.
4931 N/A Low È stato modificato un contesto di denominazione della destinazione della replica di Active Directory.
4932 N/A Low È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory.
4933 N/A Low La sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata.
4934 N/A Low Gli attributi di un oggetto Active Directory sono stati replicati.
4935 N/A Low L'errore di replica inizia.
4936 N/A Low Fine del fallimento della replica.
4937 N/A Low Un oggetto residuo è stato rimosso da una replica.
4944 N/A Low Il criterio seguente era attivo all'avvio di Windows Firewall.
4945 N/A Low All'avvio di Windows Firewall è stata elencata una regola.
4946 N/A Low È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola.
4947 N/A Low È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola.
4948 N/A Low È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola.
4949 N/A Low Le impostazioni di Windows Firewall sono state ripristinate ai valori predefiniti.
4950 N/A Low È stata modificata un'impostazione di Windows Firewall.
4951 N/A Low Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall.
4952 N/A Low Parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate.
4953 N/A Low Una regola è stata ignorata da Windows Firewall perché non è stato possibile analizzare la regola.
4954 N/A Low Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni.
4956 N/A Low Windows Firewall ha modificato il profilo attivo.
4957 N/A Low Windows Firewall non ha applicato la regola seguente.
4958 N/A Low Windows Firewall non ha applicato la regola seguente perché la regola fa riferimento a elementi non configurati nel computer.
4979 N/A Low Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec.
4980 N/A Low Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec.
4981 N/A Low Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec.
4982 N/A Low Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec.
4985 N/A Low Lo stato di una transazione è cambiato.
5024 N/A Low Il servizio Windows Firewall è stato avviato correttamente.
5025 N/A Low Il servizio Windows Firewall è stato arrestato.
5031 N/A Low Il servizio Windows Firewall ha impedito a un'applicazione di accettare connessioni in ingresso sulla rete.
5032 N/A Low Windows Firewall non è riuscito a notificare all'utente di aver impedito a un'applicazione di accettare connessioni in ingresso nella rete.
5033 N/A Low Il driver di Windows Firewall è stato avviato correttamente.
5034 N/A Low Il driver del firewall di Windows è stato arrestato.
5039 N/A Low Una chiave del Registro di sistema è stata virtualizzata.
5040 N/A Low È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione.
5041 N/A Low È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato.
5042 N/A Low È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato.
5043 N/A Low È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di sicurezza della connessione.
5044 N/A Low È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata modificata.
5045 N/A Low È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata eliminata.
5046 N/A Low È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia.
5047 N/A Low È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato modificato.
5048 N/A Low È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato eliminato.
5050 N/A Low Tentativo di disabilitare Windows Firewall a livello di codice usando una chiamata a InetFwProfile.FirewallEnabled(False).
5051 N/A Low Un file è stato virtualizzato.
5056 N/A Low È stata eseguita una verifica automatica della crittografia.
5057 N/A Low Operazione primitiva di crittografia non riuscita.
5058 N/A Low Operazione su file di chiave.
5059 N/A Low Operazione di migrazione delle chiavi.
5060 N/A Low Operazione di verifica non riuscita.
5061 N/A Low Cryptographic operation.
5062 N/A Low È stata eseguita una verifica automatica della crittografia in modalità kernel.
5063 N/A Low È stata tentata un'operazione del provider di crittografia.
5064 N/A Low È stata tentata un'operazione di contesto crittografico.
5065 N/A Low È stata tentata la modifica del contesto di crittografia.
5066 N/A Low È stata tentata un'operazione della funzione di crittografia.
5067 N/A Low È stata tentata una modifica della funzione di crittografia.
5068 N/A Low È stata tentata un'operazione del provider della funzione di crittografia.
5069 N/A Low È stata tentata un'operazione su una funzione crittografica.
5070 N/A Low È stata tentata una modifica delle proprietà di una funzione di crittografia.
5125 N/A Low È stata inviata una richiesta al servizio risponditore OCSP.
5126 N/A Low Il certificato di firma è stato aggiornato automaticamente dal servizio risponditore OCSP.
5127 N/A Low Il provider di revoche OCSP ha aggiornato correttamente le informazioni di revoca.
5136 566 Low Un oggetto del servizio directory è stato modificato.
5137 566 Low Un oggetto del servizio directory è stato creato.
5138 N/A Low Un oggetto del servizio directory è stato ripristinato.
5139 N/A Low Un oggetto del servizio directory è stato spostato.
5140 N/A Low È stato eseguito l'accesso a un oggetto di condivisione di rete.
5141 N/A Low Un oggetto del servizio directory è stato eliminato.
5152 N/A Low Piattaforma filtro Windows ha bloccato un pacchetto.
5153 N/A Low Un filtro più restrittivo di Piattaforma filtro Windows ha bloccato un pacchetto.
5154 N/A Low La piattaforma di filtro di Windows ha consentito a un'applicazione o a un servizio di ascoltare su una porta per le connessioni in ingresso.
5155 N/A Low La Piattaforma di filtro Windows ha impedito a un'applicazione o a un servizio di ascoltare le connessioni in ingresso su una porta.
5156 N/A Low La piattaforma di filtro di Windows ha permesso una connessione.
5157 N/A Low Piattaforma filtro Windows ha bloccato una connessione.
5158 N/A Low La Piattaforma di filtro di Windows ha permesso un collegamento a una porta locale.
5159 N/A Low La Piattaforma di Filtraggio di Windows ha bloccato un'associazione a una porta locale.
5378 N/A Low La delega delle credenziali richiesta non è stata consentita dai criteri.
5440 N/A Low Il seguente avviso era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows.
5441 N/A Low Il filtro seguente era presente quando la Piattaforma di Filtraggio di Windows ha avviato il Motore di Filtraggio Base.
5442 N/A Low Il provider seguente era presente quando è stato avviato il Motore di Filtering di Base della Piattaforma di Filtering di Windows.
5443 N/A Low Il seguente contesto del provider era presente quando il motore di filtro di base della Piattaforma di Filtraggio Windows è stato avviato.
5444 N/A Low Il seguente sottolivello era presente all'avvio del motore di filtro di base della Piattaforma di filtro di Windows.
5446 N/A Low Il callout della Piattaforma filtro di Windows è stato modificato.
5447 N/A Low Un filtro della Piattaforma di filtro di Windows è stato modificato.
5448 N/A Low Un provider della Piattaforma di filtro di Windows è stato modificato.
5449 N/A Low Il contesto di un provider della Piattaforma di filtro di Windows è stato modificato.
5450 N/A Low Un sottolivello della piattaforma di filtraggio di Windows è stato modificato.
5451 N/A Low È stata stabilita un'associazione di sicurezza in modalità rapida IPsec.
5452 N/A Low Un'associazione di sicurezza in modalità rapida IPsec è terminata.
5456 N/A Low Il motore PAStore ha applicato i criteri IPsec di archiviazione dell'Active Directory sul computer.
5457 N/A Low Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer.
5458 N/A Low Il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer.
5459 N/A Low Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer.
5460 N/A Low Il motore PAStore ha applicato i criteri IPsec di archiviazione del registro locale sul computer.
5461 N/A Low Il motore PAStore non è riuscito ad applicare i criteri IPsec del registro di archiviazione locale sul computer.
5462 N/A Low Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema.
5463 N/A Low Il motore PAStore ha controllato eventuali modifiche ai criteri IPsec attivi e non ne ha rilevate.
5464 N/A Low Il motore PAStore ha cercato eventuali modifiche alla politica IPsec attiva, ha rilevato modifiche e le ha applicate ai servizi IPsec.
5465 N/A Low Il motore PAStore ha ricevuto un comando per il ricaricamento forzato dei criteri IPsec e ha elaborato il comando con successo.
5466 N/A Low Il motore PAStore ha verificato la presenza di modifiche ai criteri IPsec di Active Directory, ha determinato che Active Directory non può essere raggiunto e userà invece la copia memorizzata nella cache dei criteri IPsec di Active Directory. Le eventuali modifiche apportate ai criteri IPsec di Active Directory dopo l'ultimo polling non sono state applicate.
5467 N/A Low Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory e non ha rilevato modifiche ai criteri. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata.
5468 N/A Low Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory, ha rilevato modifiche ai criteri e ha applicato le modifiche. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata.
5471 N/A Low Il motore PAStore ha caricato i criteri IPsec dell'archiviazione locale sul computer.
5472 N/A Low Il motore PAStore non è riuscito a caricare i criteri IPsec dall'archivio locale nel computer.
5473 N/A Low Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer.
5474 N/A Low Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory sul computer.
5477 N/A Low Il motore PAStore non è riuscito ad aggiungere un filtro in modalità rapida.
5479 N/A Low I servizi IPsec sono stati arrestati con successo. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza.
5632 N/A Low È stata effettuata una richiesta di autenticazione a una rete wireless.
5633 N/A Low È stata effettuata una richiesta di autenticazione a una rete cablata.
5712 N/A Low È stato tentato un Remote Procedure Call (RPC).
5888 N/A Low Un oggetto nel catalogo COM+ è stato modificato.
5889 N/A Low Un oggetto è stato eliminato dal catalogo COM+.
5890 N/A Low Un oggetto è stato aggiunto al catalogo COM+.
6008 N/A Low L'arresto del sistema precedente è stato imprevisto.
6144 N/A Low Le policy di sicurezza negli oggetti dei Criteri di Gruppo sono state applicate con successo.
6272 N/A Low Il Server dei criteri di rete ha concesso l'accesso a un utente.
N/A 561 Low È stato richiesto un handle per un oggetto.
N/A 563 Low Oggetto aperto per l'eliminazione.
N/A 625 Low Tipo di account utente modificato.
N/A 613 Low L'agente dei criteri IPsec è stato avviato.
N/A 614 Low Agente dei criteri IPsec disabilitato.
N/A 615 Low Agente dei criteri IPsec.
N/A 616 Low L'agente dei criteri IPsec ha rilevato un potenziale errore grave.
24577 N/A Low La crittografia del volume è stata avviata.
24578 N/A Low Il processo di crittografia del volume è stato interrotto.
24579 N/A Low Crittografia del volume completata.
24580 N/A Low Avvio della decrittografia del volume.
24581 N/A Low Decrittografia del volume interrotta.
24582 N/A Low Decrittografia del volume completata.
24583 N/A Low Il thread di lavoro per la conversione del volume è stato avviato.
24584 N/A Low Processo di lavoro di conversione per il volume arrestato temporaneamente.
24588 N/A Low L'operazione di conversione nel volume %2 ha incontrato un errore di settore danneggiato. Verificare i dati sul volume.
24595 N/A Low Il volume %2 contiene cluster danneggiati. Questi cluster verranno ignorati durante la conversione.
24621 N/A Low Controllo dello stato iniziale: transazione di conversione del volume in sequenza su %2.
5049 N/A Low Un'associazione di sicurezza IPsec è stata eliminata.
5478 N/A Low I servizi IPsec sono stati avviati.

Note

Fare riferimento agli eventi di controllo della sicurezza di Windows per un elenco degli ID evento di sicurezza e dei relativi significati.

Eseguire wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true per ottenere un elenco dettagliato di tutti gli ID evento di sicurezza.

See also

Per altre informazioni sugli ID degli eventi di sicurezza di Windows e sui relativi significati, vedere l'articolo del supporto tecnico Microsoft Impostazioni di base dei criteri di controllo della sicurezza. È anche possibile scaricare gli Eventi di controllo della sicurezza di Windows, che forniscono informazioni dettagliate sugli eventi per i sistemi operativi a cui si fa riferimento in formato foglio di calcolo.