Appendice L: Eventi da monitorare

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server

La tabella seguente elenca gli eventi che è necessario monitorare nell'ambiente, in base alle raccomandazioni fornite in Monitoraggio di Active Directory per i segni di compromissione. Nella tabella seguente la colonna "ID evento di Windows corrente" elenca l'ID evento implementato nelle versioni di Windows e Windows Server attualmente in supporto Mainstream.

La colonna "ID evento Windows legacy" elenca l'ID evento corrispondente nelle versioni legacy di Windows, ad esempio i computer client che eseguono Windows XP o versioni precedenti e i server che eseguono Windows Server 2003 o versioni precedenti. La colonna "Potenziale criticità" indica se l'evento deve essere considerato di criticità bassa, media o alta nel rilevamento degli attacchi e la colonna "Riepilogo eventi" fornisce una breve descrizione dell'evento.

Una potenziale criticità elevata indica che è necessario analizzare un'occorrenza dell'evento. La potenziale criticità media o bassa indica che questi eventi devono essere esaminati solo se si verificano in modo imprevisto o in numeri che superano significativamente la previsione prevista in un periodo di tempo misurato. Tutte le organizzazioni devono testare queste raccomandazioni nei propri ambienti prima di creare avvisi che richiedono risposte obbligatorie in seguito a indagini. Ogni ambiente è diverso e alcuni degli eventi classificati con una potenziale criticità elevata possono verificarsi a causa di altri eventi innocui.

ID evento Windows corrente ID evento windows legacy Criticità potenziale Riepilogo evento
4618 N/D Alto Si è verificato un modello di evento di sicurezza monitorato.
4649 N/D Alto È stato rilevato un attacco di riproduzione. Può essere un falso positivo innocuo a causa di un errore di configurazione errata.
4719 612 Alto I criteri di controllo del sistema sono stati modificati.
4765 N/D Alto La cronologia SID è stata aggiunta a un account.
4766 N/D Alto Tentativo di aggiunta della cronologia SID a un account non riuscito.
4794 N/D Alto È stato effettuato un tentativo di impostare la modalità di ripristino dei servizi directory.
4897 801 Alto Separazione dei ruoli abilitata:
4964 N/D Alto I gruppi speciali sono stati assegnati a un nuovo accesso.
5124 N/D Alto Un'impostazione di sicurezza è stata aggiornata nel servizio risponditore OCSP
N/D 550 Da media ad alta Possibile attacco Denial of Service (DoS)
1102 517 Da media ad alta Il log di controllo è stato cancellato
4621 N/D Livello medio L'amministratore ha ripristinato il sistema da CrashOnAuditFail. Gli utenti che non sono amministratori potranno ora accedere. Alcune attività controllabili potrebbero non essere state registrate.
4675 N/D Livello medio I SID sono stati filtrati.
4692 N/D Livello medio Tentativo di backup della chiave master di protezione dei dati.
4693 N/D Livello medio Tentativo di ripristino della chiave master di protezione dei dati.
4706 610 Medio È stato creato un nuovo trust in un dominio.
4713 617 Medio I criteri Kerberos sono stati modificati.
4714 618 Medio I criteri di ripristino dei dati crittografati sono stati modificati.
4715 N/D Medio I criteri di controllo (SACL) in un oggetto sono stati modificati.
4716 620 Medio Le informazioni di dominio attendibili sono state modificate.
4724 628 Medio È stato effettuato un tentativo di reimpostare la password di un account.
4727 631 Medio È stato creato un gruppo globale abilitato per la sicurezza.
4735 639 Medio È stato modificato un gruppo locale abilitato per la sicurezza.
4737 641 Medio È stato modificato un gruppo globale abilitato per la sicurezza.
4739 643 Medio I criteri di dominio sono stati modificati.
4754 658 Medio È stato creato un gruppo universale abilitato per la sicurezza.
4755 659 Medio È stato modificato un gruppo universale abilitato per la sicurezza.
4764 667 Medio È stato eliminato un gruppo disabilitato per la sicurezza
4764 668 Livello medio Il tipo di un gruppo è stato modificato.
4780 684 Medio L'ACL è stato impostato sugli account che sono membri dei gruppi di amministratori.
4816 N/D Medio RPC ha rilevato una violazione di integrità durante la decrittografia di un messaggio in ingresso.
4865 N/D Medio È stata aggiunta una voce di informazioni sulla foresta attendibile.
4866 N/D Medio È stata rimossa una voce di informazioni sulla foresta attendibile.
4867 N/D Livello medio È stata modificata una voce di informazioni sulla foresta attendibile.
4868 772 Livello medio Il gestore dei certificati ha negato una richiesta di certificati in sospeso.
4870 774 Livello medio Servizi certificati ha revocato un certificato.
4882 786 Livello medio Le autorizzazioni di sicurezza di Servizi certificati sono cambiate.
4885 789 Medio Il filtro di controllo di Servizi certificati è cambiato.
4890 794 Livello medio Le impostazioni del gestore di certificati per Servizi certificati sono cambiate.
4892 796 Livello medio Una proprietà di Servizi certificati è cambiata.
4896 800 Medio Una o più righe sono state eliminate dal database dei certificati.
4906 N/D Medio Il valore CrashOnAuditFail è stato modificato.
4907 N/D Medio Le impostazioni di controllo sull'oggetto sono state modificate.
4908 N/D Medio Tabella di accesso gruppi speciali modificata.
4912 807 Medio I criteri di controllo utente sono stati modificati.
4960 N/D Medio IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec.
4961 N/D Livello medio IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di riproduzione. Se questo problema persiste, potrebbe indicare un attacco di riproduzione contro questo computer.
4962 N/D Livello medio IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per assicurarsi che non fosse una riproduzione.
4963 N/D Medio IPsec ha eliminato un pacchetto di testo cancella in ingresso che dovrebbe essere stato protetto. Questo è in genere dovuto alla modifica dei criteri IPsec del computer remoto senza informare questo computer. Questo potrebbe anche essere un tentativo di attacco spoofing.
4965 N/D Medio IPsec ha ricevuto un pacchetto da un computer remoto con un indice del parametro di sicurezza non corretto (SPI). Questo è in genere causato da un malfunzionamento dell'hardware che causa il danneggiamento dei pacchetti. Se questi errori vengono mantenuti, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati.
4976 N/D Medio Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4977 N/D Livello medio Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4978 N/D Livello medio Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione.
4983 N/D Livello medio Non è riuscita una negoziazione della modalità estesa IPsec. L'associazione di sicurezza della modalità principale corrispondente è stata eliminata.
4984 N/D Livello medio Non è riuscita una negoziazione della modalità estesa IPsec. L'associazione di sicurezza della modalità principale corrispondente è stata eliminata.
5027 N/D Livello medio Il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dall'archiviazione locale. Il servizio continuerà ad applicare i criteri correnti.
5028 N/D Livello medio Il servizio Windows Firewall non è riuscito a analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti.
5029 N/D Livello medio Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti.
5030 N/D Livello medio Impossibile avviare il servizio Windows Firewall.
5035 N/D Livello medio Impossibile avviare il driver di Windows Firewall.
5037 N/D Livello medio Windows Firewall Driver ha rilevato un errore di runtime critico. Arresto in corso.
5038 N/D Livello medio L'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco.
5120 N/D Livello medio Servizio di risposta OCSP avviato
5121 N/D Livello medio Servizio di risposta OCSP arrestato
5122 N/D Medio Voce di configurazione modificata nel servizio risponditore OCSP
5123 N/D Medio Voce di configurazione modificata nel servizio risponditore OCSP
5376 N/D Livello medio È stato eseguito il backup delle credenziali di Gestione credenziali.
5377 N/D Medio Le credenziali di Gestione credenziali sono state ripristinate da un backup.
5453 N/D Livello medio Una negoziazione IPsec con un computer remoto non è riuscita perché il servizio IKE e IPsec IPsec Keying Modules (IKEEXT) non viene avviato.
5480 N/D Medio IPsec Services non è riuscito a ottenere l'elenco completo delle interfacce di rete nel computer. Ciò comporta un potenziale rischio per la sicurezza perché alcune delle interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema.
5483 N/D Medio IPsec Services non è riuscito a inizializzare il server RPC. Impossibile avviare i servizi IPsec.
5484 N/D Livello medio IPsec Services ha riscontrato un errore critico ed è stato arrestato. L'arresto dei servizi IPsec può comportare un maggiore rischio di attacco di rete al computer o esporre il computer a potenziali rischi per la sicurezza.
5485 N/D Livello medio IPsec Services non è riuscito a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Ciò comporta un potenziale rischio per la sicurezza perché alcune delle interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema.
5827 N/D Livello medio Il servizio Netlogon ha negato una connessione di canale sicura Netlogon vulnerabile da un account del computer.
5828 N/D Medio Il servizio Netlogon ha negato una connessione di canale sicura Netlogon vulnerabile usando un account di trust.
6145 N/D Livello medio Si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo.
6273 N/D Livello medio Server dei criteri di rete negato l'accesso a un utente.
6274 N/D Livello medio Server dei criteri di rete ha eliminato la richiesta per un utente.
6275 N/D Livello medio Server criteri di rete ha eliminato la richiesta di contabilità per un utente.
6276 N/D Livello medio Server dei criteri di rete ha messo in quarantena un utente.
6277 N/D Livello medio Server criteri di rete ha concesso l'accesso a un utente, ma lo ha messo in prova perché l'host non ha soddisfatto i criteri di integrità definiti.
6278 N/D Livello medio Server criteri di rete ha concesso l'accesso completo a un utente perché l'host ha soddisfatto i criteri di integrità definiti.
6279 N/D Livello medio Server dei criteri di rete ha bloccato l'account utente a causa di tentativi di autenticazione ripetuti non riusciti.
6280 N/D Livello medio Server dei criteri di rete ha sbloccato l'account utente.
- 640 Medio Database dell'account generale modificato
- 619 Medio Criteri di qualità del servizio modificati
24586 N/D Livello medio Errore durante la conversione del volume
24592 N/D Livello medio Tentativo di riavvio automatico della conversione nel volume %2 non riuscito.
24593 N/D Livello medio Scrittura metadati: volume %2 che restituisce errori durante il tentativo di modificare i metadati. Se gli errori continuano, decrittografare il volume
24594 N/D Livello medio Ricompilazione dei metadati: tentativo di scrittura di una copia dei metadati nel volume %2 non riuscito e può essere visualizzato come danneggiamento del disco. Se gli errori continuano, decrittografare il volume.
4608 512 Basso Windows è in avvio.
4609 513 Basso Windows viene arrestato.
4610 514 Basso Un pacchetto di autenticazione è stato caricato dall'autorità di sicurezza locale.
4611 515 Basso Un processo di accesso attendibile è stato registrato con l'Autorità di sicurezza locale.
4612 516 Basso Le risorse interne allocate per l'accodamento dei messaggi di controllo sono state esaurite, causando la perdita di alcuni controlli.
4614 518 Basso Un pacchetto di notifica è stato caricato da Security Account Manager.
4615 519 Basso Uso non valido della porta LPC.
4616 520 Basso L'ora di sistema è stata modificata.
4622 N/D Basso Un pacchetto di sicurezza è stato caricato dall'autorità di sicurezza locale.
4624 528,540 Basso È stato eseguito l'accesso a un account.
4625 529-537,539 Basso Impossibile accedere a un account.
4634 538 Basso Un account è stato disconnesso.
4646 N/D Basso È stata avviata la modalità di prevenzione doS IKE.
4647 551 Basso Logoff avviato dall'utente.
4648 552 Basso Si è tentato di accedere usando credenziali esplicite.
4650 N/D Basso È stata stabilita un'associazione di sicurezza della modalità principale IPsec. La modalità estesa non è stata abilitata. L'autenticazione del certificato non è stata usata.
4651 N/D Basso È stata stabilita un'associazione di sicurezza della modalità principale IPsec. La modalità estesa non è stata abilitata. È stato usato un certificato per l'autenticazione.
4652 N/D Basso Negoziazione della modalità principale IPsec non riuscita.
4653 N/D Basso Negoziazione della modalità principale IPsec non riuscita.
4654 N/D Basso La negoziazione della modalità rapida IPsec non è riuscita.
4655 N/D Basso Un'associazione di sicurezza della modalità principale IPsec è terminata.
4656 560 Basso È stato richiesto un handle a un oggetto .
4657 567 Basso È stato modificato un valore del Registro di sistema.
4658 562 Basso Handle di un oggetto chiuso.
4659 N/D Basso È stato richiesto un handle a un oggetto con finalità di eliminazione.
4660 564 Basso Un oggetto è stato eliminato.
4661 565 Basso È stato richiesto un handle a un oggetto .
4662 566 Basso Un'operazione è stata eseguita su un oggetto .
4663 567 Basso è stato effettuato un tentativo di accedere a un oggetto.
4664 N/D Basso È stato effettuato un tentativo di creare un collegamento rigido.
4665 N/D Basso È stato effettuato un tentativo di creare un contesto client dell'applicazione.
4666 N/D Basso Un'applicazione ha tentato un'operazione:
4667 N/D Basso È stato eliminato un contesto client dell'applicazione.
4668 N/D Basso Un'applicazione è stata inizializzata.
4670 N/D Basso Le autorizzazioni per un oggetto sono state modificate.
4671 N/D Basso Un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS.
4672 576 Basso Privilegi speciali assegnati al nuovo accesso.
4673 577 Basso È stato chiamato un servizio con privilegi.
4674 578 Basso Si è tentato di eseguire un'operazione su un oggetto con privilegi.
4688 592 Basso È stato creato un nuovo processo.
4689 593 Basso È stato chiuso un processo.
4690 594 Basso È stato effettuato un tentativo di duplicare un handle in un oggetto .
4691 595 Basso È stato richiesto l'accesso indiretto a un oggetto .
4694 N/D Basso È stata tentata la protezione dei dati protetti controllabili.
4695 N/D Basso È stato tentato di rimuovere la protezione dei dati protetti controllabili.
4696 600 Basso È stato assegnato un token primario per l'elaborazione.
4697 601 Basso Tentativo di installazione di un servizio
4698 602 Basso È stata creata un'attività pianificata.
4699 602 Basso Un'attività pianificata è stata eliminata.
4700 602 Basso È stata abilitata un'attività pianificata.
4701 602 Basso Un'attività pianificata è stata disabilitata.
4702 602 Basso Un'attività pianificata è stata aggiornata.
4704 608 Basso È stato assegnato un diritto utente.
4705 609 Basso È stato rimosso un diritto utente.
4707 611 Basso Un trust a un dominio è stato rimosso.
4709 N/D Basso IPsec Services è stato avviato.
4710 N/D Basso IPsec Services è stato disabilitato.
4711 N/D Basso Può contenere uno dei seguenti elementi: motore PAStore applicato copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione del Registro di sistema locale nel computer. Il motore PAStore non è riuscito ad applicare la copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione del Registro di sistema locale nel computer. Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory nel computer. Criteri IPsec di archiviazione della directory caricati dal motore PAStore nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec dell'archiviazione locale nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche.
4712 N/D Basso I servizi IPsec hanno riscontrato un errore potenzialmente grave.
4717 621 Basso L'accesso alla sicurezza del sistema è stato concesso a un account.
4718 622 Basso L'accesso alla sicurezza del sistema è stato rimosso da un account.
4720 624 Basso È stato creato un account utente.
4722 626 Basso Un account utente è stato abilitato.
4723 627 Basso È stato effettuato un tentativo di modificare la password di un account.
4725 629 Basso Un account utente è stato disabilitato.
4726 630 Basso Un account utente è stato eliminato.
4728 632 Basso Un membro è stato aggiunto a un gruppo globale abilitato per la sicurezza.
4729 633 Basso Un membro è stato rimosso da un gruppo globale abilitato per la sicurezza.
4730 634 Basso È stato eliminato un gruppo globale abilitato per la sicurezza.
4731 635 Basso È stato creato un gruppo locale abilitato per la sicurezza.
4732 636 Basso Un membro è stato aggiunto a un gruppo locale abilitato per la sicurezza.
4733 637 Basso Un membro è stato rimosso da un gruppo locale abilitato per la sicurezza.
4734 638 Basso È stato eliminato un gruppo locale abilitato per la sicurezza.
4738 642 Basso Un account utente è stato modificato.
4740 644 Basso Un account utente è stato bloccato.
4741 645 Basso Un account computer è stato modificato.
4742 646 Basso Un account computer è stato modificato.
4743 647 Basso Un account computer è stato eliminato.
4744 648 Basso È stato creato un gruppo locale disabilitato per la sicurezza.
4745 649 Basso Un gruppo locale disabilitato per la sicurezza è stato modificato.
4746 650 Basso Un membro è stato aggiunto a un gruppo locale disabilitato per la sicurezza.
4747 651 Basso Un membro è stato rimosso da un gruppo locale disabilitato per la sicurezza.
4748 652 Basso È stato eliminato un gruppo locale disabilitato per la sicurezza.
4749 653 Basso È stato creato un gruppo globale disabilitato per la sicurezza.
4750 654 Basso Un gruppo globale disabilitato per la sicurezza è stato modificato.
4751 655 Basso Un membro è stato aggiunto a un gruppo globale disabilitato per la sicurezza.
4752 656 Basso Un membro è stato rimosso da un gruppo globale disabilitato per la sicurezza.
4753 657 Basso È stato eliminato un gruppo globale disabilitato per la sicurezza.
4756 660 Basso Un membro è stato aggiunto a un gruppo universale abilitato per la sicurezza.
4757 661 Basso Un membro è stato rimosso da un gruppo universale abilitato per la sicurezza.
4758 662 Basso È stato eliminato un gruppo universale abilitato per la sicurezza.
4759 663 Basso È stato creato un gruppo universale disabilitato per la sicurezza.
4760 664 Basso È stato modificato un gruppo universale disabilitato per la sicurezza.
4761 665 Basso Un membro è stato aggiunto a un gruppo universale disabilitato per la sicurezza.
4762 666 Basso Un membro è stato rimosso da un gruppo universale disabilitato per la sicurezza.
4767 671 Basso Un account utente è stato sbloccato.
4768 672,676 Basso È stato richiesto un ticket di autenticazione Kerberos( TGT).
4769 673 Basso È stato richiesto un ticket di servizio Kerberos.
4770 674 Basso È stato rinnovato un ticket di servizio Kerberos.
4771 675 Basso Autenticazione preliminare Kerberos non riuscita.
4772 672 Basso Richiesta di ticket di autenticazione Kerberos non riuscita.
4774 678 Basso È stato eseguito il mapping di un account per l'accesso.
4775 679 Basso Non è stato possibile eseguire il mapping di un account per l'accesso.
4776 680,681 Basso Il controller di dominio ha tentato di convalidare le credenziali per un account.
4777 N/D Basso Il controller di dominio non è riuscito a convalidare le credenziali per un account.
4778 682 Basso Una sessione è stata riconnessa a una stazione finestra.
4779 683 Basso Una sessione è stata disconnessa da una stazione finestra.
4781 685 Basso Il nome di un account è stato modificato:
4782 N/D Basso È stato eseguito l'accesso all'hash della password per un account.
4783 667 Basso È stato creato un gruppo di applicazioni di base.
4784 N/D Basso È stato modificato un gruppo di applicazioni di base.
4785 689 Basso Un membro è stato aggiunto a un gruppo di applicazioni di base.
4786 690 Basso Un membro è stato rimosso da un gruppo di applicazioni di base.
4787 691 Basso Un membro non è stato aggiunto a un gruppo di applicazioni di base.
4788 692 Basso Un membro non è stato rimosso da un gruppo di applicazioni di base.
4789 693 Basso È stato eliminato un gruppo di applicazioni di base.
4790 694 Basso È stato creato un gruppo di query LDAP.
4793 N/D Basso È stata chiamata l'API Controllo criteri password.
4800 N/D Basso La workstation è stata bloccata.
4801 N/D Basso La workstation è stata sbloccata.
4802 N/D Basso Lo screen saver è stato richiamato.
4803 N/D Basso Lo screen saver è stato ignorato.
4864 N/D Basso È stato rilevato un conflitto di spazi dei nomi.
4869 773 Basso Servizi certificati ha ricevuto una richiesta di certificato inviata di nuovo.
4871 775 Basso Servizi certificati ha ricevuto una richiesta di pubblicare l'elenco di revoche di certificati (CRL).
4872 776 Basso Servizi certificati ha pubblicato l'elenco di revoche di certificati (CRL).
4873 777 Basso L'estensione di una richiesta di certificato è cambiata.
4874 778 Basso Uno o più attributi della richiesta di certificato sono cambiati.
4875 779 Basso Servizi certificati ha ricevuto una richiesta di arresto.
4876 780 Basso Il backup di Servizi certificati è stato avviato.
4877 781 Basso È stato completato il backup di Servizi certificati.
4878 782 Basso È stato avviato il ripristino di Servizi certificati.
4879 783 Basso È stato completato il ripristino di Servizi certificati.
4880 784 Basso Servizi certificati è stato avviato.
4881 785 Basso Servizi certificati è stato arrestato.
4883 787 Basso Servizi certificati ha recuperato una chiave archiviata.
4884 788 Basso Servizi certificati ha importato un certificato nel database.
4886 790 Basso Servizi certificati ha ricevuto una richiesta di certificato.
4887 791 Basso Servizi certificati ha approvato una richiesta di certificato e ha emesso un certificato.
4888 792 Basso Servizi certificati ha negato una richiesta di certificato.
4889 793 Basso Servizi certificati ha impostato in sospeso lo stato di una richiesta di certificato.
4891 795 Basso Una voce di configurazione in Servizi certificati è cambiata.
4893 797 Basso Servizi certificati ha archiviato una chiave.
4894 798 Basso Servizi certificati ha importato e archiviato una chiave.
4895 799 Basso Servizi certificati ha pubblicato il certificato della CA in Servizi di dominio Active Directory.
4898 802 Basso Modello caricato da Servizi certificati.
4902 N/D Basso È stata creata la tabella dei criteri di controllo per utente.
4904 N/D Basso È stato effettuato un tentativo di registrare un'origine evento di sicurezza.
4905 N/D Basso È stato effettuato un tentativo di annullare la registrazione di un'origine evento di sicurezza.
4909 N/D Basso Le impostazioni dei criteri locali per i TBS sono state modificate.
4910 N/D Basso Le impostazioni di Criteri di gruppo per i TBS sono state modificate.
4928 N/D Basso È stato stabilito un contesto di denominazione dell'origine della replica Active Directory.
4929 N/D Basso È stato rimosso un contesto di denominazione dell'origine della replica di Active Directory.
4930 N/D Basso È stato modificato un contesto di denominazione dell'origine della replica Active Directory.
4931 N/D Basso È stato modificato un contesto di denominazione della destinazione della replica Active Directory.
4932 N/D Basso È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory.
4933 N/D Basso La sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata.
4934 N/D Basso Gli attributi di un oggetto Active Directory sono stati replicati.
4935 N/D Basso Viene avviato l'errore di replica.
4936 N/D Basso Termina l'errore di replica.
4937 N/D Basso Un oggetto persistente è stato rimosso da una replica.
4944 N/D Basso Il criterio seguente era attivo all'avvio di Windows Firewall.
4945 N/D Basso Una regola è stata elencata all'avvio di Windows Firewall.
4946 N/D Basso È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola.
4947 N/D Basso È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola.
4948 N/D Basso È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola.
4949 N/D Basso Le impostazioni di Windows Firewall sono state ripristinate nei valori predefiniti.
4950 N/D Basso È stata modificata un'impostazione di Windows Firewall.
4951 N/D Basso Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall.
4952 N/D Basso Parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate.
4953 N/D Basso Una regola è stata ignorata da Windows Firewall perché non è riuscita ad analizzare la regola.
4954 N/D Basso Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni.
4956 N/D Basso Windows Firewall ha modificato il profilo attivo.
4957 N/D Basso Windows Firewall non ha applicato la regola seguente:
4958 N/D Basso Windows Firewall non ha applicato la regola seguente perché la regola a cui si fa riferimento a elementi non configurati nel computer:
4979 N/D Basso Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa.
4980 N/D Basso Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa.
4981 N/D Basso Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa.
4982 N/D Basso Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa.
4985 N/D Basso Lo stato di una transazione è stato modificato.
5024 N/D Basso Il servizio Windows Firewall è stato avviato correttamente.
5025 N/D Basso Il servizio Windows Firewall è stato arrestato.
5031 N/D Basso Il servizio Windows Firewall impedisce a un'applicazione di accettare connessioni in ingresso nella rete.
5032 N/D Basso Windows Firewall non è riuscito a notificare all'utente che ha impedito a un'applicazione di accettare connessioni in ingresso nella rete.
5033 N/D Basso Il driver di Windows Firewall è stato avviato correttamente.
5034 N/D Basso Il driver di Windows Firewall è stato arrestato.
5039 N/D Basso Una chiave del Registro di sistema è stata virtualizzata.
5040 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione.
5041 N/D Basso È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato.
5042 N/D Basso È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato.
5043 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di sicurezza della connessione.
5044 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stata modificata una regola di sicurezza della connessione.
5045 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stata eliminata una regola di sicurezza della connessione.
5046 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia.
5047 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stato modificato un set di crittografia.
5048 N/D Basso È stata apportata una modifica alle impostazioni IPsec. È stato eliminato un set di crittografia.
5050 N/D Basso Tentativo di disabilitare a livello di codice Windows Firewall usando una chiamata a InetFwProfile.FirewallEnabled(False)
5051 N/D Basso È stato virtualizzato un file.
5056 N/D Basso È stato eseguito un auto test crittografico.
5057 N/D Basso Operazione primitiva crittografica non riuscita.
5058 N/D Basso Operazione file chiave.
5059 N/D Basso Operazione di migrazione delle chiavi.
5060 N/D Basso Operazione di verifica non riuscita.
5061 N/D Basso Operazione crittografica.
5062 N/D Basso È stato eseguito un self test crittografico in modalità kernel.
5063 N/D Basso È stata tentata un'operazione del provider di crittografia.
5064 N/D Basso È stata tentata un'operazione di contesto crittografica.
5065 N/D Basso È stata tentata una modifica del contesto crittografico.
5066 N/D Basso È stata tentata un'operazione di funzione crittografica.
5067 N/D Basso È stata tentata una modifica della funzione crittografica.
5068 N/D Basso È stata tentata un'operazione del provider di funzioni crittografiche.
5069 N/D Basso È stata tentata un'operazione di proprietà della funzione crittografica.
5070 N/D Basso È stata tentata una modifica della proprietà della funzione crittografica.
5125 N/D Basso Una richiesta è stata inviata al servizio risponditore OCSP
5126 N/D Basso Certificato di firma aggiornato automaticamente dal servizio risponditore OCSP
5127 N/D Basso Il provider di revoche OCSP ha aggiornato correttamente le informazioni di revoca
5136 566 Basso Un oggetto servizio directory è stato modificato.
5137 566 Basso È stato creato un oggetto servizio directory.
5138 N/D Basso Un oggetto servizio directory non è stato eseguito.
5139 N/D Basso Un oggetto servizio directory è stato spostato.
5140 N/D Basso È stato eseguito l'accesso a un oggetto condivisione di rete.
5141 N/D Basso Un oggetto servizio directory è stato eliminato.
5152 N/D Basso Windows Filtering Platform ha bloccato un pacchetto.
5153 N/D Basso Un filtro windows Filtering Platform più restrittivo ha bloccato un pacchetto.
5154 N/D Basso Windows Filtering Platform ha consentito a un'applicazione o a un servizio di restare in ascolto su una porta per le connessioni in ingresso.
5155 N/D Basso Windows Filtering Platform ha bloccato l'ascolto di un'applicazione o di un servizio su una porta per le connessioni in ingresso.
5156 N/D Basso Windows Filtering Platform ha consentito una connessione.
5157 N/D Basso Windows Filtering Platform ha bloccato una connessione.
5158 N/D Basso Windows Filtering Platform ha consentito un'associazione a una porta locale.
5159 N/D Basso Windows Filtering Platform ha bloccato un'associazione a una porta locale.
5378 N/D Basso La delega delle credenziali richieste non è stata consentita dai criteri.
5440 N/D Basso Il callout seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows.
5441 N/D Basso Il filtro seguente era presente all'avvio del motore di filtro base della piattaforma di filtro di Windows.
5442 N/D Basso Il provider seguente era presente all'avvio del motore di filtro base della piattaforma di filtro di Windows.
5443 N/D Basso Il contesto del provider seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows.
5444 N/D Basso Il sottostrato seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows.
5446 N/D Basso È stato modificato un callout di Windows Filtering Platform.
5447 N/D Basso È stato modificato un filtro di Windows Filtering Platform.
5448 N/D Basso È stato modificato un provider windows Filtering Platform.
5449 N/D Basso È stato modificato un contesto del provider di Windows Filtering Platform.
5450 N/D Basso È stato modificato un sottostrato di Windows Filtering Platform.
5451 N/D Basso È stata stabilita un'associazione di sicurezza in modalità rapida IPsec.
5452 N/D Basso È terminata un'associazione di sicurezza in modalità rapida IPsec.
5456 N/D Basso Il motore PAStore ha applicato criteri IPsec di archiviazione di Active Directory nel computer.
5457 N/D Basso Il motore PAStore non è riuscito a applicare criteri IPsec di archiviazione di Active Directory nel computer.
5458 N/D Basso Il motore PAStore ha applicato la copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer.
5459 N/D Basso Il motore PAStore non è riuscito a applicare la copia memorizzata nella cache locale dei criteri IPsec di archiviazione Active Directory nel computer.
5460 N/D Basso Il motore PAStore ha applicato i criteri IPsec dell'archiviazione del Registro di sistema locale nel computer.
5461 N/D Basso Il motore PAStore non è riuscito a applicare i criteri IPsec dell'archiviazione del Registro di sistema locale nel computer.
5462 N/D Basso Il motore PAStore non è riuscito a applicare alcune regole dei criteri IPsec attivi nel computer. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema.
5463 N/D Basso Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche.
5464 N/D Basso Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi, ha rilevato modifiche e le ha applicate ai servizi IPsec.
5465 N/D Basso Il motore PAStore ha ricevuto un controllo per il ricaricamento forzato dei criteri IPsec ed è stato elaborato correttamente il controllo.
5466 N/D Basso Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che Active Directory non può essere raggiunto e userà invece la copia memorizzata nella cache dei criteri IPsec di Active Directory. Eventuali modifiche apportate ai criteri IPsec di Active Directory poiché non è stato possibile applicare l'ultimo polling.
5467 N/D Basso Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory e non sono state rilevate modifiche ai criteri. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata.
5468 N/D Basso Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory, trovare modifiche ai criteri e applicare tali modifiche. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata.
5471 N/D Basso Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer.
5472 N/D Basso Il motore PAStore non è riuscito a caricare i criteri IPsec dell'archiviazione locale nel computer.
5473 N/D Basso Criteri IPsec di archiviazione della directory caricati dal motore PAStore nel computer.
5474 N/D Basso Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione directory nel computer.
5477 N/D Basso Il motore PAStore non è riuscito a aggiungere un filtro in modalità rapida.
5479 N/D Basso IPsec Services è stato arrestato correttamente. L'arresto dei servizi IPsec può mettere il computer a rischio maggiore di attacchi di rete o esporre il computer a potenziali rischi di sicurezza.
5632 N/D Basso Una richiesta è stata effettuata per l'autenticazione a una rete wireless.
5633 N/D Basso È stata effettuata una richiesta per l'autenticazione a una rete cablata.
5712 N/D Basso È stato tentato un tentativo di chiamata alla procedura remota (RPC).
5888 N/D Basso È stato modificato un oggetto nel catalogo COM+.
5889 N/D Basso Un oggetto è stato eliminato dal catalogo COM+.
5890 N/D Basso Un oggetto è stato aggiunto al catalogo COM+.
6008 N/D Basso L'arresto del sistema precedente è stato imprevisto
6144 N/D Basso I criteri di sicurezza negli oggetti Criteri di gruppo sono stati applicati correttamente.
6272 N/D Basso Il server criteri di rete ha concesso l'accesso a un utente.
N/D 561 Basso È stato richiesto un handle a un oggetto.
N/D 563 Basso Oggetto aperto per l'eliminazione
N/D 625 Basso Tipo di account utente modificato
N/D 613 Basso Agente di criteri IPsec avviato
N/D 614 Basso Agente di criteri IPsec disabilitato
N/D 615 Basso Agente dei criteri IPsec
N/D 616 Basso L'agente dei criteri IPsec ha rilevato un potenziale errore grave
24577 N/D Basso Crittografia del volume avviato
24578 N/D Basso Crittografia del volume arrestata
24579 N/D Basso Crittografia del volume completata
24580 N/D Basso Decrittografia del volume avviato
24581 N/D Basso Decrittografia del volume arrestata
24582 N/D Basso Decrittografia del volume completata
24583 N/D Basso Thread di lavoro di conversione per volume avviato
24584 N/D Basso Thread di lavoro di conversione per il volume arrestato temporaneamente
24588 N/D Basso L'operazione di conversione nel volume %2 ha rilevato un errore del settore non valido. Convalidare i dati in questo volume
24595 N/D Basso Il volume %2 contiene cluster non valido. Questi cluster verranno ignorati durante la conversione.
24621 N/D Basso Controllo stato iniziale: transazione di conversione del volume in sequenza su %2.
5049 N/D Basso È stata eliminata un'associazione di sicurezza IPsec.
5478 N/D Basso IPsec Services è stato avviato correttamente.

Nota

Fare riferimento agli eventi di controllo della sicurezza di Windows per un elenco di molti ID evento di sicurezza e i relativi significati.

Eseguire wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true per ottenere un elenco molto dettagliato di tutti gli ID evento di sicurezza

Per altre informazioni sugli ID evento di sicurezza di Windows e sui relativi significati, vedere l'articolo Impostazioni dei criteri di controllo della sicurezza di base del supporto Tecnico Microsoft. È anche possibile scaricare gli eventi di controllo della sicurezza di Windows, che forniscono informazioni dettagliate sugli eventi per i sistemi operativi a cui si fa riferimento nel formato foglio di calcolo.