Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nella tabella seguente sono elencati gli eventi da monitorare nell'ambiente, in base alle raccomandazioni fornite in Monitoraggio dei segnali di compromissione di Active Directory. Tutte le organizzazioni devono testare queste raccomandazioni nei propri ambienti prima di creare avvisi che richiedono risposte obbligatorie in seguito a indagini. Ogni ambiente è diverso e alcuni degli eventi classificati con una potenziale criticità di High potrebbero verificarsi a causa di altri eventi innocui.
Note
The default logging behavior in Windows systems varies by version and edition, with many audit-related Group Policy Objects (GPO) set to Not Configured by default. Ciò significa che il sistema si basa sulle impostazioni predefinite per la registrazione degli eventi. Anche se gli eventi critici, ad esempio le modifiche ai criteri di controllo (ID evento 4719), vengono in genere registrati, altri eventi specifici (ad esempio GLI ID evento 4618 e 4649) potrebbero richiedere l'acquisizione della configurazione esplicita dei criteri di controllo.
Per una registrazione completa, inclusi gli ID evento pertinenti, gli amministratori dovrebbero configurare i criteri di audit appropriati in Configurazione computer\Impostazioni di sicurezza\Configura impostazioni di criteri di controllo avanzati e Configurazione computer\Modelli amministrativi\Componenti di Windows e altre sezioni pertinenti di Criteri di gruppo.
Data queste variabili, è essenziale per le organizzazioni esaminare e, se necessario, modificare le configurazioni dei controlli di sicurezza di Windows in modo da allinearsi agli obiettivi di sicurezza e conformità. In questo modo, gli eventi significativi vengono acquisiti nel Visualizzatore eventi di Windows, supportando in modo efficace i requisiti di sicurezza e conformità.
Tabella ID evento
Nella tabella seguente la colonna "ID evento Windows corrente" elenca l'ID evento implementato nelle versioni di Windows e Windows Server attualmente in supporto Mainstream. La colonna "ID evento Windows legacy" elenca l'ID evento corrispondente nelle versioni legacy di Windows, ad esempio i computer client che eseguono Windows XP o versioni precedenti e i server che eseguono Windows Server 2003 o versioni precedenti.
La colonna "Criticità potenziale" identifica il livello di criticità dell'evento (basso, medio o alto) per il rilevamento di attacchi e la colonna "Riepilogo evento" fornisce una breve descrizione dell'evento. Una criticità potenziale di livello alto indica che è necessario esaminare una occorrenza dell'evento. Una criticità potenziale di livello Medio o Basso indica che questi eventi devono essere esaminati solo se si verificano in modo imprevisto e con numeri che superano significativamente la base prevista in un periodo di tempo misurato.
| ID evento Windows corrente | ID evento Windows legacy | Potential Criticality | Event Summary |
|---|---|---|---|
| 4618 | N/A | High | Si è verificato un modello di evento di sicurezza monitorato. |
| 4649 | N/A | High | È stato rilevato un attacco di tipo replay. Può essere un falso positivo innocuo causato da un errore di configurazione errata. |
| 4719 | 612 | High | I criteri di controllo del sistema sono stati modificati. |
| 4765 | N/A | High | La SID History è stata aggiunta a un account. |
| 4766 | N/A | High | Tentativo fallito di aggiungere la cronologia SID a un account. |
| 4794 | N/A | High | È stato effettuato un tentativo di impostare la modalità di ripristino dei servizi directory. |
| 4897 | 801 | High | Separazione dei ruoli abilitata. |
| 4964 | N/A | High | Gruppi speciali assegnati a un nuovo login. |
| 5124 | N/A | High | Un'impostazione di sicurezza è stata aggiornata nel servizio risponditore OCSP. |
| N/A | 550 | Da medio ad alto | Possibile attacco di negazione del servizio (DoS). |
| 1102 | 517 | Da medio ad alto | Il log di controllo è stato cancellato. |
| 4621 | N/A | Medium | L'amministratore ha recuperato il sistema da CrashOnAuditFail. Gli utenti non amministratori ora potranno accedere. Alcune attività controllabili potrebbero non essere state registrate. |
| 4675 | N/A | Medium | I SID sono stati filtrati. |
| 4692 | N/A | Medium | Tentativo di backup della chiave master di protezione dei dati. |
| 4693 | N/A | Medium | Tentativo di recupero della chiave master di protezione dei dati. |
| 4706 | 610 | Medium | È stata creata una nuova relazione di trust con un dominio. |
| 4713 | 617 | Medium | I criteri Kerberos sono stati modificati. |
| 4714 | 618 | Medium | I criteri di ripristino dei dati crittografati sono stati modificati. |
| 4715 | N/A | Medium | I criteri di controllo (SACL) per un oggetto sono stati modificati. |
| 4716 | 620 | Medium | Le informazioni sui domini attendibili sono state modificate. |
| 4724 | 628 | Medium | È stato effettuato un tentativo di reimpostare la password di un account. |
| 4727 | 631 | Medium | È stato creato un gruppo globale abilitato alla sicurezza. |
| 4735 | 639 | Medium | Un gruppo locale con impostazioni di sicurezza attivate è stato modificato. |
| 4737 | 641 | Medium | Un gruppo globale con funzionalità di sicurezza è stato modificato. |
| 4739 | 643 | Medium | I criteri di dominio sono stati modificati. |
| 4754 | 658 | Medium | È stato creato un gruppo universale con funzionalità di sicurezza. |
| 4755 | 659 | Medium | Un gruppo universale con abilitazione alla sicurezza è stato modificato. |
| 4764 | 667 | Medium | È stato eliminato un gruppo disabilitato per la sicurezza. |
| 4764 | 668 | Medium | Il tipo di un gruppo è stato modificato. |
| 4780 | 684 | Medium | L'elenco di controllo di accesso è stato impostato su account che sono membri dei gruppi degli amministratori. |
| 4816 | N/A | Medium | RPC ha rilevato una violazione dell'integrità durante la decrittografia di un messaggio in arrivo. |
| 4865 | N/A | Medium | È stata aggiunta una voce di informazioni sulle foreste attendibili. |
| 4866 | N/A | Medium | È stata rimossa una voce di informazioni affidabili sulle foreste. |
| 4867 | N/A | Medium | È stata modificata una voce attendibile di informazioni sulle foreste. |
| 4868 | 772 | Medium | Il gestore dei certificati ha negato una richiesta di certificati in sospeso. |
| 4870 | 774 | Medium | Servizi certificati ha revocato un certificato. |
| 4882 | 786 | Medium | Le autorizzazioni di sicurezza di Servizi certificati sono cambiate. |
| 4885 | 789 | Medium | Il filtro di controllo di Servizi certificati è cambiato. |
| 4890 | 794 | Medium | Le impostazioni del gestore di certificati per Servizi certificati sono cambiate. |
| 4892 | 796 | Medium | Una proprietà di Servizi Certificati è cambiata. |
| 4896 | 800 | Medium | Una o più righe sono state eliminate dal database dei certificati. |
| 4906 | N/A | Medium | Il valore CrashOnAuditFail è stato modificato. |
| 4907 | N/A | Medium | Le impostazioni di controllo sull'oggetto sono state modificate. |
| 4908 | N/A | Medium | La tabella di accesso dei gruppi speciali è stata modificata. |
| 4912 | 807 | Medium | I criteri di controllo per utente sono stati modificati. |
| 4960 | N/A | Medium | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec. |
| 4961 | N/A | Medium | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Se il problema persiste, potrebbe indicare un attacco di tipo replay contro questo computer. |
| 4962 | N/A | Medium | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per garantire che non fosse una riproduzione. |
| 4963 | N/A | Medium | IPsec ha eliminato un pacchetto di testo non crittografato in ingresso che avrebbe dovuto essere protetto. Questo in genere è dovuto alla modifica del criterio IPsec da parte del computer remoto senza informare questo computer. Potrebbe anche trattarsi di un tentativo di attacco di spoofing. |
| 4965 | N/A | Medium | IPsec ha ricevuto da un computer remoto un pacchetto con un indice dei parametri di sicurezza (SPI) non corretto. Questo è in genere causato da un malfunzionamento hardware che danneggia i pacchetti. Se questi errori persistono, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati. |
| 4976 | N/A | Medium | Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4977 | N/A | Medium | Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4978 | N/A | Medium | Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4983 | N/A | Medium | Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata. |
| 4984 | N/A | Medium | Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata. |
| 5027 | N/A | Medium | Il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dall'archiviazione locale. Il servizio continuerà ad applicare i criteri correnti. |
| 5028 | N/A | Medium | Il servizio Windows Firewall non è riuscito ad analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti. |
| 5029 | N/A | Medium | Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti. |
| 5030 | N/A | Medium | L'avvio del servizio Windows Firewall non è riuscito. |
| 5035 | N/A | Medium | L'avvio del driver di Windows Firewall non è riuscito. |
| 5037 | N/A | Medium | Il driver di Windows Firewall ha rilevato un errore di runtime critico. Terminating. |
| 5038 | N/A | Medium | L'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco. |
| 5120 | N/A | Medium | Servizio risponditore OCSP avviato. |
| 5121 | N/A | Medium | Il servizio OCSP è stato fermato. |
| 5122 | N/A | Medium | Una voce di configurazione è stata modificata nel servizio OCSP. |
| 5123 | N/A | Medium | Una voce di configurazione è stata modificata nel servizio OCSP. |
| 5376 | N/A | Medium | È stato eseguito il backup delle credenziali di Gestione delle credenziali. |
| 5377 | N/A | Medium | Le credenziali di Gestione delle credenziali sono state ripristinate da un backup. |
| 5453 | N/A | Medium | Una negoziazione IPsec con un computer remoto non è riuscita perché il servizio (IKE and AuthIP IPsec Keying Modules (IKEEXT) service) non è avviato. |
| 5480 | N/A | Medium | I servizi IPsec non sono riusciti a ottenere l'elenco completo delle interfacce di rete nel computer. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema. |
| 5483 | N/A | Medium | I servizi IPsec non sono riusciti a inizializzare il server RPC. Avvio dei servizi IPsec non riuscito. |
| 5484 | N/A | Medium | I servizi IPsec hanno riscontrato un errore critico e sono stati arrestati. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. |
| 5485 | N/A | Medium | I servizi IPsec non sono riusciti a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema. |
| 5827 | N/A | Medium | Il servizio Netlogon ha negato una vulnerabile connessione del canale sicuro Netlogon da un account macchina. |
| 5828 | N/A | Medium | Il servizio Netlogon ha negato una connessione al canale sicuro Netlogon vulnerabile utilizzando un account di trust. |
| 6145 | N/A | Medium | Si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo. |
| 6273 | N/A | Medium | Il server dei criteri di rete ha negato l'accesso a un utente. |
| 6274 | N/A | Medium | Il Server dei criteri di rete ha scartato la richiesta di un utente. |
| 6275 | N/A | Medium | Il Server dei criteri di rete ha scartato la richiesta di contabilizzazione per un utente. |
| 6276 | N/A | Medium | Il Server dei criteri di rete ha messo in quarantena un utente. |
| 6277 | N/A | Medium | Il Server dei criteri di rete ha concesso l'accesso a un utente ma lo ha sospeso in prova perché l'host non soddisfa i criteri di integrità definiti. |
| 6278 | N/A | Medium | Il Server dei criteri di rete ha concesso l'accesso completo a un utente perché l'host ha soddisfatto i criteri di integrità definiti. |
| 6279 | N/A | Medium | Il Server dei criteri di rete ha bloccato l'account utente a causa di ripetuti tentativi di autenticazione non riusciti. |
| 6280 | N/A | Medium | Il Server dei criteri di rete ha sbloccato l'account utente. |
| - | 640 | Medium | Database del conto generale modificato. |
| - | 619 | Medium | La politica di qualità del servizio è cambiata. |
| 24586 | N/A | Medium | Si è verificato un errore durante la conversione del volume. |
| 24592 | N/A | Medium | Tentativo di riavvio automatico della conversione nel volume %2 non riuscito. |
| 24593 | N/A | Medium | Scrittura dei metadati: il volume %2 restituisce errori quando si tenta di modificare i metadati. Se gli errori dovessero continuare, si consiglia di decrittografare il volume. |
| 24594 | N/A | Medium | Ricompilazione dei metadati: il tentativo di scrivere una copia dei metadati nel volume %2 non è riuscito e può apparire come danneggiamento del disco. Se gli errori dovessero continuare, si consiglia di decrittografare il volume. |
| 4608 | 512 | Low | Avvio di Windows in corso. |
| 4609 | 513 | Low | Windows si sta spegnendo. |
| 4610 | 514 | Low | Un pacchetto di autenticazione è stato caricato dall'autorità di protezione locale. |
| 4611 | 515 | Low | Un processo di accesso attendibile è stato registrato con l'autorità di protezione locale. |
| 4612 | 516 | Low | Le risorse interne allocate per l'accodamento dei messaggi di controllo si sono esaurite, causando la perdita di alcuni controlli. |
| 4614 | 518 | Low | Un pacchetto di notifica è stato caricato dal Security Account Manager. |
| 4615 | 519 | Low | Uso non valido della porta LPC. |
| 4616 | 520 | Low | L'ora di sistema è stata modificata. |
| 4622 | N/A | Low | Un pacchetto di sicurezza è stato caricato dall'Autorità di Sicurezza Locale. |
| 4624 | 528,540 | Low | È stato eseguito l'accesso a un account. |
| 4625 | 529-537,539 | Low | Un account non è riuscito ad accedere. |
| 4634 | 538 | Low | Un account è stato disconnesso. |
| 4646 | N/A | Low | È stata avviata la modalità di prevenzione DoS di IKE. |
| 4647 | 551 | Low | Disconnessione avviata dall'utente. |
| 4648 | 552 | Low | Tentativo di accesso con credenziali esplicite. |
| 4650 | N/A | Low | È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. L'autenticazione del certificato non è stata usata. |
| 4651 | N/A | Low | È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. È stato usato un certificato per l'autenticazione. |
| 4652 | N/A | Low | Negoziazione in modalità principale IPsec non riuscita. |
| 4653 | N/A | Low | Negoziazione in modalità principale IPsec non riuscita. |
| 4654 | N/A | Low | Negoziazione in modalità rapida IPsec non riuscita. |
| 4655 | N/A | Low | Un'associazione di sicurezza in modalità principale IPsec è terminata. |
| 4656 | 560 | Low | È stato richiesto un handle per un oggetto. |
| 4657 | 567 | Low | Un valore del Registro di sistema è stato modificato. |
| 4658 | 562 | Low | L'handle di un oggetto è stato chiuso. |
| 4659 | N/A | Low | È stato richiesto un handle per un oggetto con finalità di eliminazione. |
| 4660 | 564 | Low | Un oggetto è stato eliminato. |
| 4661 | 565 | Low | È stato richiesto un handle per un oggetto. |
| 4662 | 566 | Low | Un'operazione è stata eseguita su un oggetto. |
| 4663 | 567 | Low | è stato effettuato un tentativo di accedere a un oggetto. |
| 4664 | N/A | Low | È stato effettuato un tentativo di creare un collegamento reale. |
| 4665 | N/A | Low | È stato effettuato un tentativo di creare il contesto client di un'applicazione. |
| 4666 | N/A | Low | Un'applicazione ha tentato un'operazione. |
| 4667 | N/A | Low | Il contesto client di un'applicazione è stato eliminato. |
| 4668 | N/A | Low | È stata inizializzata un'applicazione. |
| 4670 | N/A | Low | Le autorizzazioni per un oggetto sono state modificate. |
| 4671 | N/A | Low | Un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS. |
| 4672 | 576 | Low | Privilegi speciali assegnati a un nuovo account di accesso. |
| 4673 | 577 | Low | È stato chiamato un servizio con privilegi. |
| 4674 | 578 | Low | È stata tentata un'operazione su un oggetto con privilegi. |
| 4688 | 592 | Low | È stato creato un nuovo processo. |
| 4689 | 593 | Low | Un processo è stato chiuso. |
| 4690 | 594 | Low | È stato effettuato un tentativo di duplicare un handle per un oggetto. |
| 4691 | 595 | Low | È stato richiesto l'accesso indiretto a un oggetto. |
| 4694 | N/A | Low | È stato effettuato un tentativo di proteggere dati protetti controllabili. |
| 4695 | N/A | Low | È stato effettuato un tentativo di annullare la protezione di dati protetti controllabili. |
| 4696 | 600 | Low | A un processo è stato assegnato un token primario. |
| 4697 | 601 | Low | Tentare di installare un servizio. |
| 4698 | 602 | Low | È stata creata un'attività pianificata. |
| 4699 | 602 | Low | Un'attività pianificata è stata eliminata. |
| 4700 | 602 | Low | Un'attività pianificata è stata abilitata. |
| 4701 | 602 | Low | Un'attività pianificata è stata disabilitata. |
| 4702 | 602 | Low | Un'attività pianificata è stata aggiornata. |
| 4704 | 608 | Low | È stato assegnato un diritto utente. |
| 4705 | 609 | Low | È stato rimosso un diritto utente. |
| 4707 | 611 | Low | È stato rimosso un trust per un dominio. |
| 4709 | N/A | Low | I servizi IPsec sono stati avviati. |
| 4710 | N/A | Low | I servizi IPsec sono stati disabilitati. |
| 4711 | N/A | Low | Può contenere uno dei seguenti: il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione dell'Active Directory sul computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione del registro locale sul computer. Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec del registro di archiviazione locale sul computer. Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory sul computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec dall'archivio locale nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha verificato le modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche. |
| 4712 | N/A | Low | I servizi IPsec hanno riscontrato un errore potenzialmente grave. |
| 4717 | 621 | Low | A un account è stato concesso l'accesso alla sicurezza del sistema. |
| 4718 | 622 | Low | L'accesso alla sicurezza del sistema è stato rimosso da un account. |
| 4720 | 624 | Low | È stato creato un account utente. |
| 4722 | 626 | Low | Un account utente è stato abilitato. |
| 4723 | 627 | Low | È stato effettuato un tentativo di modificare la password di un account. |
| 4725 | 629 | Low | Un account utente è stato disabilitato. |
| 4726 | 630 | Low | Un account utente è stato eliminato. |
| 4728 | 632 | Low | È stato aggiunto un membro a un gruppo globale con sicurezza abilitata. |
| 4729 | 633 | Low | È stato rimosso un membro da un gruppo globale con sicurezza abilitata. |
| 4730 | 634 | Low | Un gruppo globale con sicurezza abilitata è stato eliminato. |
| 4731 | 635 | Low | È stato creato un gruppo locale con sicurezza abilitata. |
| 4732 | 636 | Low | È stato aggiunto un membro a un gruppo locale con sicurezza abilitata. |
| 4733 | 637 | Low | È stato rimosso un membro da un gruppo locale con sicurezza abilitata. |
| 4734 | 638 | Low | È stato eliminato un gruppo locale con sicurezza abilitata. |
| 4738 | 642 | Low | Un account utente è stato modificato. |
| 4740 | 644 | Low | Un account utente è stato bloccato. |
| 4741 | 645 | Low | Un account del computer è stato modificato. |
| 4742 | 646 | Low | Un account del computer è stato modificato. |
| 4743 | 647 | Low | Un account del computer è stato eliminato. |
| 4744 | 648 | Low | È stato creato un gruppo locale con sicurezza disattivata. |
| 4745 | 649 | Low | Un gruppo locale con sicurezza disabilitata è stato modificato. |
| 4746 | 650 | Low | È stato aggiunto un membro a un gruppo locale con sicurezza disabilitata. |
| 4747 | 651 | Low | È stato rimosso un membro da un gruppo locale con sicurezza disabilitata. |
| 4748 | 652 | Low | Un gruppo locale con sicurezza disabilitata è stato eliminato. |
| 4749 | 653 | Low | È stato creato un gruppo globale con sicurezza disabilitata. |
| 4750 | 654 | Low | Un gruppo globale con sicurezza disabilitata è stato modificato. |
| 4751 | 655 | Low | È stato aggiunto un membro a un gruppo globale con sicurezza disabilitata. |
| 4752 | 656 | Low | È stato rimosso un membro da un gruppo globale con sicurezza disabilitata. |
| 4753 | 657 | Low | Un gruppo globale con sicurezza disabilitata è stato eliminato. |
| 4756 | 660 | Low | È stato aggiunto un membro a un gruppo universale con sicurezza abilitata. |
| 4757 | 661 | Low | È stato rimosso un membro da un gruppo universale con sicurezza abilitata. |
| 4758 | 662 | Low | Un gruppo universale con sicurezza abilitata è stato eliminato. |
| 4759 | 663 | Low | È stato creato un gruppo universale con funzionalità di sicurezza disabilitata. |
| 4760 | 664 | Low | Un gruppo universale con sicurezza disabilitata è stato modificato. |
| 4761 | 665 | Low | È stato aggiunto un membro a un gruppo universale con sicurezza disabilitata. |
| 4762 | 666 | Low | È stato rimosso un membro da un gruppo universale con sicurezza disabilitata. |
| 4767 | 671 | Low | Un account utente è stato sbloccato. |
| 4768 | 672,676 | Low | È stato richiesto un ticket di autenticazione Kerberos (TGT). |
| 4769 | 673 | Low | È stato richiesto un ticket di servizio Kerberos. |
| 4770 | 674 | Low | È stato rinnovato un ticket di servizio Kerberos. |
| 4771 | 675 | Low | Preautenticazione Kerberos non riuscita. |
| 4772 | 672 | Low | Una richiesta di ticket di autenticazione Kerberos non è riuscita. |
| 4774 | 678 | Low | È stata eseguita la mappatura di un account per l'accesso. |
| 4775 | 679 | Low | Non è stato possibile eseguire il mapping di un account per l'accesso. |
| 4776 | 680,681 | Low | Il controller di dominio ha tentato di convalidare le credenziali di un account. |
| 4777 | N/A | Low | Il controller di dominio non è riuscito a convalidare le credenziali di un account. |
| 4778 | 682 | Low | Una sessione è stata riconnessa a una stazione Windows. |
| 4779 | 683 | Low | Una sessione è stata disconnessa da una stazione Windows. |
| 4781 | 685 | Low | Il nome di un account è stato modificato. |
| 4782 | N/A | Low | È stato eseguito l'accesso all'hash della password di un account. |
| 4783 | 667 | Low | È stato creato un gruppo di applicazioni di base. |
| 4784 | N/A | Low | Un gruppo di applicazioni di base è stato modificato. |
| 4785 | 689 | Low | È stato aggiunto un membro a un gruppo di applicazioni di base. |
| 4786 | 690 | Low | È stato rimosso un membro da un gruppo di applicazioni di base. |
| 4787 | 691 | Low | È stato aggiunto un non membro a un gruppo di applicazioni di base. |
| 4788 | 692 | Low | È stato rimosso un non membro da un gruppo di applicazioni di base. |
| 4789 | 693 | Low | Un gruppo di applicazioni di base è stato eliminato. |
| 4790 | 694 | Low | È stato creato un gruppo di query LDAP. |
| 4793 | N/A | Low | È stata chiamata l'API di controllo dei criteri delle password. |
| 4800 | N/A | Low | La workstation è stata bloccata. |
| 4801 | N/A | Low | La workstation è stata sbloccata. |
| 4802 | N/A | Low | È stato richiamato lo screen saver. |
| 4803 | N/A | Low | Lo screen saver è stato disattivato. |
| 4864 | N/A | Low | È stato rilevato un conflitto nello spazio dei nomi. |
| 4869 | 773 | Low | Servizi certificati ha ricevuto una richiesta di certificato inviata di nuovo. |
| 4871 | 775 | Low | Servizi Certificati ha ricevuto una richiesta di pubblicare la lista di revoca dei certificati (CRL). |
| 4872 | 776 | Low | Servizi di certificazione ha pubblicato l'elenco di revoca dei certificati (CRL). |
| 4873 | 777 | Low | L'estensione di una richiesta di certificato è cambiata. |
| 4874 | 778 | Low | Uno o più attributi della richiesta di certificato sono cambiati. |
| 4875 | 779 | Low | Servizi di Certificazione ha ricevuto una richiesta di spegnimento. |
| 4876 | 780 | Low | Il backup di Servizi certificati è stato avviato. |
| 4877 | 781 | Low | È stato completato il backup di Servizi certificati. |
| 4878 | 782 | Low | È stato avviato il ripristino di Servizi certificati. |
| 4879 | 783 | Low | È stato completato il ripristino di Servizi certificati. |
| 4880 | 784 | Low | I servizi di certificazione sono stati avviati. |
| 4881 | 785 | Low | Servizi di certificazione interrotti. |
| 4883 | 787 | Low | Servizi di certificati ha recuperato una chiave archiviata. |
| 4884 | 788 | Low | Servizi certificati ha importato un certificato nel database. |
| 4886 | 790 | Low | Servizi certificati ha ricevuto una richiesta di certificato. |
| 4887 | 791 | Low | Il Servizio Certificati ha approvato una richiesta di certificato e ha emesso un certificato. |
| 4888 | 792 | Low | Servizi di certificazione ha negato una richiesta di certificato. |
| 4889 | 793 | Low | Il servizio di certificazione ha messo in sospeso lo stato di una richiesta di certificato. |
| 4891 | 795 | Low | Una voce di configurazione in Servizi certificati è cambiata. |
| 4893 | 797 | Low | I servizi di certificazione hanno archiviato una chiave. |
| 4894 | 798 | Low | Servizi certificato ha importato e archiviato la chiave. |
| 4895 | 799 | Low | I servizi di certificati hanno pubblicato il certificato CA su Servizi di dominio Active Directory. |
| 4898 | 802 | Low | Modello caricato da Servizi certificati. |
| 4902 | N/A | Low | È stata creata la tabella dei criteri di controllo per utente. |
| 4904 | N/A | Low | È stato effettuato il tentativo di registrare un'origine evento di sicurezza. |
| 4905 | N/A | Low | È stato effettuato il tentativo di annullare la registrazione di un'origine evento di sicurezza. |
| 4909 | N/A | Low | Le impostazioni dei criteri locali per TBS sono state modificate. |
| 4910 | N/A | Low | Le impostazioni dei criteri di gruppo per TBS sono state modificate. |
| 4928 | N/A | Low | È stato stabilito un contesto di denominazione della sorgente replica di Active Directory. |
| 4929 | N/A | Low | È stato rimosso un contesto di denominazione dell'origine della replica di Active Directory. |
| 4930 | N/A | Low | È stato modificato un contesto di denominazione della fonte di replica di Active Directory. |
| 4931 | N/A | Low | È stato modificato un contesto di denominazione della destinazione della replica di Active Directory. |
| 4932 | N/A | Low | È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory. |
| 4933 | N/A | Low | La sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata. |
| 4934 | N/A | Low | Gli attributi di un oggetto Active Directory sono stati replicati. |
| 4935 | N/A | Low | L'errore di replica inizia. |
| 4936 | N/A | Low | Fine del fallimento della replica. |
| 4937 | N/A | Low | Un oggetto residuo è stato rimosso da una replica. |
| 4944 | N/A | Low | Il criterio seguente era attivo all'avvio di Windows Firewall. |
| 4945 | N/A | Low | All'avvio di Windows Firewall è stata elencata una regola. |
| 4946 | N/A | Low | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola. |
| 4947 | N/A | Low | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola. |
| 4948 | N/A | Low | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola. |
| 4949 | N/A | Low | Le impostazioni di Windows Firewall sono state ripristinate ai valori predefiniti. |
| 4950 | N/A | Low | È stata modificata un'impostazione di Windows Firewall. |
| 4951 | N/A | Low | Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall. |
| 4952 | N/A | Low | Parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate. |
| 4953 | N/A | Low | Una regola è stata ignorata da Windows Firewall perché non è stato possibile analizzare la regola. |
| 4954 | N/A | Low | Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni. |
| 4956 | N/A | Low | Windows Firewall ha modificato il profilo attivo. |
| 4957 | N/A | Low | Windows Firewall non ha applicato la regola seguente. |
| 4958 | N/A | Low | Windows Firewall non ha applicato la regola seguente perché la regola fa riferimento a elementi non configurati nel computer. |
| 4979 | N/A | Low | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4980 | N/A | Low | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4981 | N/A | Low | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4982 | N/A | Low | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4985 | N/A | Low | Lo stato di una transazione è cambiato. |
| 5024 | N/A | Low | Il servizio Windows Firewall è stato avviato correttamente. |
| 5025 | N/A | Low | Il servizio Windows Firewall è stato arrestato. |
| 5031 | N/A | Low | Il servizio Windows Firewall ha impedito a un'applicazione di accettare connessioni in ingresso sulla rete. |
| 5032 | N/A | Low | Windows Firewall non è riuscito a notificare all'utente di aver impedito a un'applicazione di accettare connessioni in ingresso nella rete. |
| 5033 | N/A | Low | Il driver di Windows Firewall è stato avviato correttamente. |
| 5034 | N/A | Low | Il driver del firewall di Windows è stato arrestato. |
| 5039 | N/A | Low | Una chiave del Registro di sistema è stata virtualizzata. |
| 5040 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione. |
| 5041 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato. |
| 5042 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato. |
| 5043 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di sicurezza della connessione. |
| 5044 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata modificata. |
| 5045 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata eliminata. |
| 5046 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia. |
| 5047 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato modificato. |
| 5048 | N/A | Low | È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato eliminato. |
| 5050 | N/A | Low | Tentativo di disabilitare Windows Firewall a livello di codice usando una chiamata a InetFwProfile.FirewallEnabled(False). |
| 5051 | N/A | Low | Un file è stato virtualizzato. |
| 5056 | N/A | Low | È stata eseguita una verifica automatica della crittografia. |
| 5057 | N/A | Low | Operazione primitiva di crittografia non riuscita. |
| 5058 | N/A | Low | Operazione su file di chiave. |
| 5059 | N/A | Low | Operazione di migrazione delle chiavi. |
| 5060 | N/A | Low | Operazione di verifica non riuscita. |
| 5061 | N/A | Low | Cryptographic operation. |
| 5062 | N/A | Low | È stata eseguita una verifica automatica della crittografia in modalità kernel. |
| 5063 | N/A | Low | È stata tentata un'operazione del provider di crittografia. |
| 5064 | N/A | Low | È stata tentata un'operazione di contesto crittografico. |
| 5065 | N/A | Low | È stata tentata la modifica del contesto di crittografia. |
| 5066 | N/A | Low | È stata tentata un'operazione della funzione di crittografia. |
| 5067 | N/A | Low | È stata tentata una modifica della funzione di crittografia. |
| 5068 | N/A | Low | È stata tentata un'operazione del provider della funzione di crittografia. |
| 5069 | N/A | Low | È stata tentata un'operazione su una funzione crittografica. |
| 5070 | N/A | Low | È stata tentata una modifica delle proprietà di una funzione di crittografia. |
| 5125 | N/A | Low | È stata inviata una richiesta al servizio risponditore OCSP. |
| 5126 | N/A | Low | Il certificato di firma è stato aggiornato automaticamente dal servizio risponditore OCSP. |
| 5127 | N/A | Low | Il provider di revoche OCSP ha aggiornato correttamente le informazioni di revoca. |
| 5136 | 566 | Low | Un oggetto del servizio directory è stato modificato. |
| 5137 | 566 | Low | Un oggetto del servizio directory è stato creato. |
| 5138 | N/A | Low | Un oggetto del servizio directory è stato ripristinato. |
| 5139 | N/A | Low | Un oggetto del servizio directory è stato spostato. |
| 5140 | N/A | Low | È stato eseguito l'accesso a un oggetto di condivisione di rete. |
| 5141 | N/A | Low | Un oggetto del servizio directory è stato eliminato. |
| 5152 | N/A | Low | Piattaforma filtro Windows ha bloccato un pacchetto. |
| 5153 | N/A | Low | Un filtro più restrittivo di Piattaforma filtro Windows ha bloccato un pacchetto. |
| 5154 | N/A | Low | La piattaforma di filtro di Windows ha consentito a un'applicazione o a un servizio di ascoltare su una porta per le connessioni in ingresso. |
| 5155 | N/A | Low | La Piattaforma di filtro Windows ha impedito a un'applicazione o a un servizio di ascoltare le connessioni in ingresso su una porta. |
| 5156 | N/A | Low | La piattaforma di filtro di Windows ha permesso una connessione. |
| 5157 | N/A | Low | Piattaforma filtro Windows ha bloccato una connessione. |
| 5158 | N/A | Low | La Piattaforma di filtro di Windows ha permesso un collegamento a una porta locale. |
| 5159 | N/A | Low | La Piattaforma di Filtraggio di Windows ha bloccato un'associazione a una porta locale. |
| 5378 | N/A | Low | La delega delle credenziali richiesta non è stata consentita dai criteri. |
| 5440 | N/A | Low | Il seguente avviso era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows. |
| 5441 | N/A | Low | Il filtro seguente era presente quando la Piattaforma di Filtraggio di Windows ha avviato il Motore di Filtraggio Base. |
| 5442 | N/A | Low | Il provider seguente era presente quando è stato avviato il Motore di Filtering di Base della Piattaforma di Filtering di Windows. |
| 5443 | N/A | Low | Il seguente contesto del provider era presente quando il motore di filtro di base della Piattaforma di Filtraggio Windows è stato avviato. |
| 5444 | N/A | Low | Il seguente sottolivello era presente all'avvio del motore di filtro di base della Piattaforma di filtro di Windows. |
| 5446 | N/A | Low | Il callout della Piattaforma filtro di Windows è stato modificato. |
| 5447 | N/A | Low | Un filtro della Piattaforma di filtro di Windows è stato modificato. |
| 5448 | N/A | Low | Un provider della Piattaforma di filtro di Windows è stato modificato. |
| 5449 | N/A | Low | Il contesto di un provider della Piattaforma di filtro di Windows è stato modificato. |
| 5450 | N/A | Low | Un sottolivello della piattaforma di filtraggio di Windows è stato modificato. |
| 5451 | N/A | Low | È stata stabilita un'associazione di sicurezza in modalità rapida IPsec. |
| 5452 | N/A | Low | Un'associazione di sicurezza in modalità rapida IPsec è terminata. |
| 5456 | N/A | Low | Il motore PAStore ha applicato i criteri IPsec di archiviazione dell'Active Directory sul computer. |
| 5457 | N/A | Low | Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. |
| 5458 | N/A | Low | Il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. |
| 5459 | N/A | Low | Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. |
| 5460 | N/A | Low | Il motore PAStore ha applicato i criteri IPsec di archiviazione del registro locale sul computer. |
| 5461 | N/A | Low | Il motore PAStore non è riuscito ad applicare i criteri IPsec del registro di archiviazione locale sul computer. |
| 5462 | N/A | Low | Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Usare lo snap-in Monitor di Protezione IP per diagnosticare il problema. |
| 5463 | N/A | Low | Il motore PAStore ha controllato eventuali modifiche ai criteri IPsec attivi e non ne ha rilevate. |
| 5464 | N/A | Low | Il motore PAStore ha cercato eventuali modifiche alla politica IPsec attiva, ha rilevato modifiche e le ha applicate ai servizi IPsec. |
| 5465 | N/A | Low | Il motore PAStore ha ricevuto un comando per il ricaricamento forzato dei criteri IPsec e ha elaborato il comando con successo. |
| 5466 | N/A | Low | Il motore PAStore ha verificato la presenza di modifiche ai criteri IPsec di Active Directory, ha determinato che Active Directory non può essere raggiunto e userà invece la copia memorizzata nella cache dei criteri IPsec di Active Directory. Le eventuali modifiche apportate ai criteri IPsec di Active Directory dopo l'ultimo polling non sono state applicate. |
| 5467 | N/A | Low | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory e non ha rilevato modifiche ai criteri. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5468 | N/A | Low | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory, ha rilevato modifiche ai criteri e ha applicato le modifiche. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5471 | N/A | Low | Il motore PAStore ha caricato i criteri IPsec dell'archiviazione locale sul computer. |
| 5472 | N/A | Low | Il motore PAStore non è riuscito a caricare i criteri IPsec dall'archivio locale nel computer. |
| 5473 | N/A | Low | Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer. |
| 5474 | N/A | Low | Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory sul computer. |
| 5477 | N/A | Low | Il motore PAStore non è riuscito ad aggiungere un filtro in modalità rapida. |
| 5479 | N/A | Low | I servizi IPsec sono stati arrestati con successo. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. |
| 5632 | N/A | Low | È stata effettuata una richiesta di autenticazione a una rete wireless. |
| 5633 | N/A | Low | È stata effettuata una richiesta di autenticazione a una rete cablata. |
| 5712 | N/A | Low | È stato tentato un Remote Procedure Call (RPC). |
| 5888 | N/A | Low | Un oggetto nel catalogo COM+ è stato modificato. |
| 5889 | N/A | Low | Un oggetto è stato eliminato dal catalogo COM+. |
| 5890 | N/A | Low | Un oggetto è stato aggiunto al catalogo COM+. |
| 6008 | N/A | Low | L'arresto del sistema precedente è stato imprevisto. |
| 6144 | N/A | Low | Le policy di sicurezza negli oggetti dei Criteri di Gruppo sono state applicate con successo. |
| 6272 | N/A | Low | Il Server dei criteri di rete ha concesso l'accesso a un utente. |
| N/A | 561 | Low | È stato richiesto un handle per un oggetto. |
| N/A | 563 | Low | Oggetto aperto per l'eliminazione. |
| N/A | 625 | Low | Tipo di account utente modificato. |
| N/A | 613 | Low | L'agente dei criteri IPsec è stato avviato. |
| N/A | 614 | Low | Agente dei criteri IPsec disabilitato. |
| N/A | 615 | Low | Agente dei criteri IPsec. |
| N/A | 616 | Low | L'agente dei criteri IPsec ha rilevato un potenziale errore grave. |
| 24577 | N/A | Low | La crittografia del volume è stata avviata. |
| 24578 | N/A | Low | Il processo di crittografia del volume è stato interrotto. |
| 24579 | N/A | Low | Crittografia del volume completata. |
| 24580 | N/A | Low | Avvio della decrittografia del volume. |
| 24581 | N/A | Low | Decrittografia del volume interrotta. |
| 24582 | N/A | Low | Decrittografia del volume completata. |
| 24583 | N/A | Low | Il thread di lavoro per la conversione del volume è stato avviato. |
| 24584 | N/A | Low | Processo di lavoro di conversione per il volume arrestato temporaneamente. |
| 24588 | N/A | Low | L'operazione di conversione nel volume %2 ha incontrato un errore di settore danneggiato. Verificare i dati sul volume. |
| 24595 | N/A | Low | Il volume %2 contiene cluster danneggiati. Questi cluster verranno ignorati durante la conversione. |
| 24621 | N/A | Low | Controllo dello stato iniziale: transazione di conversione del volume in sequenza su %2. |
| 5049 | N/A | Low | Un'associazione di sicurezza IPsec è stata eliminata. |
| 5478 | N/A | Low | I servizi IPsec sono stati avviati. |
Note
Fare riferimento agli eventi di controllo della sicurezza di Windows per un elenco degli ID evento di sicurezza e dei relativi significati.
Eseguire wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true per ottenere un elenco dettagliato di tutti gli ID evento di sicurezza.
See also
Per altre informazioni sugli ID degli eventi di sicurezza di Windows e sui relativi significati, vedere l'articolo del supporto tecnico Microsoft Impostazioni di base dei criteri di controllo della sicurezza. È anche possibile scaricare gli Eventi di controllo della sicurezza di Windows, che forniscono informazioni dettagliate sugli eventi per i sistemi operativi a cui si fa riferimento in formato foglio di calcolo.