Appendice L: Eventi da monitorare
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server
Nella tabella seguente sono elencati gli eventi da monitorare nell'ambiente, in base alle raccomandazioni fornite in Monitoraggio dei segnali di compromissione di Active Directory. Nella tabella che segue, la colonna "ID evento Windows corrente" elenca l'ID evento corrente così come viene implementato nelle versioni di Windows e Windows Server attualmente coperte dal supporto Mainstream.
La colonna "ID evento Windows legacy" elenca l'ID evento corrispondente nelle versioni legacy di Windows, ad esempio i computer client che eseguono Windows XP o versioni precedenti e i server che eseguono Windows Server 2003 o versioni precedenti. La colonna "Criticità potenziale" identifica il livello di criticità dell'evento (basso, medio o alto) per il rilevamento di attacchi e la colonna "Riepilogo evento" fornisce una breve descrizione dell'evento.
Una criticità potenziale di livello Alto indica che è necessario esaminare più occorrenze dell'evento. Una criticità potenziale di livello Medio o Basso indica che questi eventi devono essere esaminati solo se si verificano in modo imprevisto e con numeri che superano significativamente la base prevista in un periodo di tempo misurato. Tutte le organizzazioni devono testare queste raccomandazioni nei propri ambienti prima di creare avvisi che richiedono risposte obbligatorie in seguito a indagini. Ogni ambiente è diverso e alcuni degli eventi classificati con una criticità potenziale di livello Alto possono verificarsi a causa di altri eventi innocui.
| ID evento Windows corrente | ID evento Windows legacy | Criticità potenziale | Riepilogo evento |
|---|---|---|---|
| 4618 | N/D | Alta | Si è verificato un modello di evento di sicurezza monitorato. |
| 4649 | N/D | Alta | È stato rilevato un attacco di tipo replay. Può essere un falso positivo innocuo causato da un errore di configurazione errata. |
| 4719 | 612 | Alta | I criteri di controllo del sistema sono stati modificati. |
| 4765 | N/D | Alta | La cronologia SID è stata aggiunta a un account. |
| 4766 | N/D | Alta | Tentativo fallito di aggiungere la cronologia SID a un account. |
| 4794 | N/D | Alta | Tentativo di impostare la modalità ripristino servizi directory. |
| 4897 | 801 | Alta | Separazione ruoli abilitata: |
| 4964 | N/D | Alta | Gruppi speciali assegnati a un nuovo account di accesso. |
| 5124 | N/D | Alta | Un'impostazione di sicurezza è stata aggiornata nel servizio risponditore OCSP |
| N/D | 550 | Da medio a alto | Possibile attacco Denial of Service (DoS) |
| 1102 | 517 | Da medio a alto | Il log di controllo è stato cancellato |
| 4621 | N/D | Medio | L'amministratore ha recuperato il sistema da CrashOnAuditFail. Gli utenti non amministratori ora potranno accedere. Alcune attività controllabili potrebbero non essere state registrate. |
| 4675 | N/D | Medio | I SID sono stati filtrati. |
| 4692 | N/D | Medio | Tentativo di backup della chiave master di protezione dei dati. |
| 4693 | N/D | Medio | Tentativo di recupero della chiave master di protezione dei dati. |
| 4706 | 610 | Medio | È stata creata una nuova relazione di trust con un dominio. |
| 4713 | 617 | Medio | I criteri Kerberos sono stati modificati. |
| 4714 | 618 | Medio | I criteri di ripristino dei dati crittografati sono stati modificati. |
| 4715 | N/D | Medio | I criteri di controllo (SACL) per un oggetto sono stati modificati. |
| 4716 | 620 | Medio | Le informazioni sui domini attendibili sono state modificate. |
| 4724 | 628 | Medio | È stato effettuato un tentativo di reimpostare la password di un account. |
| 4727 | 631 | Medio | È stato creato un gruppo globale con sicurezza abilitata. |
| 4735 | 639 | Medio | Un gruppo locale con sicurezza abilitata è stato modificato. |
| 4737 | 641 | Medio | Un gruppo globale con sicurezza abilitata è stato modificato. |
| 4739 | 643 | Medio | I criteri di dominio sono stati modificati. |
| 4754 | 658 | Medio | È stato creato un gruppo universale con sicurezza abilitata. |
| 4755 | 659 | Medio | Un gruppo universale con sicurezza abilitata è stato modificato. |
| 4764 | 667 | Medio | Un gruppo con sicurezza disabilitata è stato eliminato |
| 4764 | 668 | Medio | Il tipo di un gruppo è stato modificato. |
| 4780 | 684 | Medio | L'elenco di controllo di accesso è stato impostato su account che sono membri di gruppi Administrators. |
| 4816 | N/D | Medio | RPC ha rilevato una violazione dell'integrità durante la decrittografia di un messaggio in arrivo. |
| 4865 | N/D | Medio | È stata aggiunta una voce di informazioni sulle foreste attendibili. |
| 4866 | N/D | Medio | È stata rimossa una voce di informazioni sulle foreste attendibili. |
| 4867 | N/D | Medio | È stata modificata una voce di informazioni sulle foreste attendibili. |
| 4868 | 772 | Medio | Il gestore dei certificati ha negato una richiesta di certificati in sospeso. |
| 4870 | 774 | Medio | Servizi certificati ha revocato un certificato. |
| 4882 | 786 | Medio | Le autorizzazioni di sicurezza di Servizi certificati sono cambiate. |
| 4885 | 789 | Medio | Il filtro di controllo di Servizi certificati è cambiato. |
| 4890 | 794 | Medio | Le impostazioni del gestore di certificati per Servizi certificati sono cambiate. |
| 4892 | 796 | Medio | Una proprietà di Servizi certificati è cambiata. |
| 4896 | 800 | Medio | Una o più righe sono state eliminate dal database dei certificati. |
| 4906 | N/D | Medio | Il valore CrashOnAuditFail è stato modificato. |
| 4907 | N/D | Medio | Le impostazioni di controllo sull'oggetto sono state modificate. |
| 4908 | N/D | Medio | La tabella di accesso dei gruppi speciali è stata modificata. |
| 4912 | 807 | Medio | I criteri di controllo per utente sono stati modificati. |
| 4960 | N/D | Medio | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec. |
| 4961 | N/D | Medio | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Se il problema persiste, potrebbe indicare un attacco di tipo replay contro questo computer. |
| 4962 | N/D | Medio | IPsec ha eliminato un pacchetto in ingresso che non ha superato un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per garantire che non fosse una riproduzione. |
| 4963 | N/D | Medio | IPsec ha eliminato un pacchetto di testo non crittografato in ingresso che avrebbe dovuto essere protetto. Questo in genere è dovuto alla modifica del criterio IPsec da parte del computer remoto senza informare questo computer. Potrebbe anche trattarsi di un tentativo di attacco di spoofing. |
| 4965 | N/D | Medio | IPsec ha ricevuto da un computer remoto un pacchetto con un indice dei parametri di sicurezza (SPI) non corretto. Questo è in genere causato da un malfunzionamento hardware che danneggia i pacchetti. Se questi errori persistono, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati. |
| 4976 | N/D | Medio | Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4977 | N/D | Medio | Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4978 | N/D | Medio | Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4983 | N/D | Medio | Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata. |
| 4984 | N/D | Medio | Negoziazione in modalità IPsec estesa non riuscita. L'associazione di sicurezza in modalità principale corrispondente è stata eliminata. |
| 5027 | N/D | Medio | Il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dall'archiviazione locale. Il servizio continuerà ad applicare i criteri correnti. |
| 5028 | N/D | Medio | Il servizio Windows Firewall non è riuscito ad analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti. |
| 5029 | N/D | Medio | Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti. |
| 5030 | N/D | Medio | L'avvio del servizio Windows Firewall non è riuscito. |
| 5035 | N/D | Medio | L'avvio del driver di Windows Firewall non è riuscito. |
| 5037 | N/D | Medio | Il driver di Windows Firewall ha rilevato un errore di runtime critico. Arresto in corso. |
| 5038 | N/D | Medio | L'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco. |
| 5120 | N/D | Medio | Servizio risponditore OCSP avviato |
| 5121 | N/D | Medio | Servizio risponditore OCSP arrestato |
| 5122 | N/D | Medio | Una voce di configurazione nel servizio risponditore OCSP è cambiata |
| 5123 | N/D | Medio | Una voce di configurazione nel servizio risponditore OCSP è cambiata |
| 5376 | N/D | Medio | È stato eseguito il backup delle credenziali di Gestione credenziali. |
| 5377 | N/D | Medio | Le credenziali di Gestione credenziali sono state ripristinate da un backup. |
| 5453 | N/D | Medio | Una negoziazione IPsec con un computer remoto non è riuscita perché il servizio (IKE and AuthIP IPsec Keying Modules (IKEEXT) service) non è avviato. |
| 5480 | N/D | Medio | I servizi IPsec non sono riusciti a ottenere l'elenco completo delle interfacce di rete nel computer. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di sicurezza IP per diagnosticare il problema. |
| 5483 | N/D | Medio | I servizi IPsec non sono riusciti a inizializzare il server RPC. Avvio dei servizi IPsec non riuscito. |
| 5484 | N/D | Medio | I servizi IPsec hanno riscontrato un errore critico e sono stati arrestati. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. |
| 5485 | N/D | Medio | I servizi IPsec non sono riusciti a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Questo comporta un potenziale rischio per la sicurezza perché alcune interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitor di sicurezza IP per diagnosticare il problema. |
| 5827 | N/D | Medio | Il servizio Netlogon ha negato una connessione a canale sicuro Netlogon vulnerabile da un account del computer. |
| 5828 | N/D | Medio | Il servizio Netlogon ha negato una connessione a canale sicuro Netlogon vulnerabile da un account trust. |
| 6145 | N/D | Medio | Si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo. |
| 6273 | N/D | Medio | Il server dei criteri di rete ha negato l'accesso a un utente. |
| 6274 | N/D | Medio | Il Server dei criteri di rete ha eliminato la richiesta per un utente. |
| 6275 | N/D | Medio | Il Server dei criteri di rete ha eliminato la richiesta di accounting per un utente. |
| 6276 | N/D | Medio | Il Server dei criteri di rete ha messo in quarantena un utente. |
| 6277 | N/D | Medio | Il Server dei criteri di rete ha concesso l'accesso a un utente ma lo ha messo in prova perché l'host non soddisfa i criteri di integrità definiti. |
| 6278 | N/D | Medio | Il Server dei criteri di rete ha concesso l'accesso completo a un utente perché l'host soddisfa i criteri di integrità definiti. |
| 6279 | N/D | Medio | Il Server dei criteri di rete ha bloccato l'account utente a causa di ripetuti tentativi di autenticazione non riusciti. |
| 6280 | N/D | Medio | Il Server dei criteri di rete ha sbloccato l'account utente. |
| - | 640 | Medio | Database account generale modificato |
| - | 619 | Medio | Criteri di qualità del servizio modificati |
| 24586 | N/D | Medio | Errore durante la conversione del volume |
| 24592 | N/D | Medio | Tentativo di riavvio automatico della conversione nel volume %2 non riuscito. |
| 24593 | N/D | Medio | Scrittura dei metadati: il volume %2 restituisce errori durante il tentativo di modificare i metadati. Se gli errori continuano, decrittografare il volume |
| 24594 | N/D | Medio | Ricompilazione dei metadati: il tentativo di scrivere una copia dei metadati nel volume %2 non è riuscito e può apparire come danneggiamento del disco. Se gli errori continuano, decrittografare il volume. |
| 4608 | 512 | Bassa | Avvio di Windows in corso. |
| 4609 | 513 | Bassa | Arresto di Windows in corso. |
| 4610 | 514 | Bassa | Un pacchetto di autenticazione è stato caricato dall'autorità di protezione locale. |
| 4611 | 515 | Bassa | Un processo di accesso attendibile è stato registrato con l'autorità di protezione locale. |
| 4612 | 516 | Bassa | Le risorse interne allocate per l'accodamento dei messaggi di controllo si sono esaurite, causando la perdita di alcuni controlli. |
| 4614 | 518 | Bassa | Un pacchetto di autenticazione è stato caricato dal sistema di gestione degli account di sicurezza (SAM). |
| 4615 | 519 | Bassa | Uso non valido della porta LPC. |
| 4616 | 520 | Bassa | L'ora di sistema è stata modificata. |
| 4622 | N/D | Bassa | Un pacchetto di autenticazione è stato caricato dall'autorità di protezione locale. |
| 4624 | 528,540 | Bassa | È stato eseguito l'accesso a un account. |
| 4625 | 529-537,539 | Bassa | L'accesso a un account non è riuscito. |
| 4634 | 538 | Bassa | Un account è stato disconnesso. |
| 4646 | N/D | Bassa | È stata avviata la modalità di prevenzione DoS di IKE. |
| 4647 | 551 | Bassa | Disconnessione avviata dall'utente. |
| 4648 | 552 | Bassa | Tentativo di accesso con credenziali esplicite. |
| 4650 | N/D | Bassa | È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. L'autenticazione del certificato non è stata usata. |
| 4651 | N/D | Bassa | È stata stabilita un'associazione di sicurezza in modalità principale IPsec. La modalità estesa non è stata abilitata. È stato usato un certificato per l'autenticazione. |
| 4652 | N/D | Bassa | Negoziazione in modalità principale IPsec non riuscita. |
| 4653 | N/D | Bassa | Negoziazione in modalità principale IPsec non riuscita. |
| 4654 | N/D | Bassa | Negoziazione in modalità rapida IPsec non riuscita. |
| 4655 | N/D | Bassa | Un'associazione di sicurezza in modalità principale IPsec è terminata. |
| 4656 | 560 | Bassa | È stato richiesto un handle per un oggetto. |
| 4657 | 567 | Bassa | Un valore del Registro di sistema è stato modificato. |
| 4658 | 562 | Bassa | L'handle per un oggetto è stato chiuso. |
| 4659 | N/D | Bassa | È stato richiesto un handle per un oggetto con finalità di eliminazione. |
| 4660 | 564 | Bassa | Un oggetto è stato eliminato. |
| 4661 | 565 | Bassa | È stato richiesto un handle per un oggetto. |
| 4662 | 566 | Bassa | Un'operazione è stata eseguita su un oggetto. |
| 4663 | 567 | Bassa | è stato effettuato un tentativo di accedere a un oggetto. |
| 4664 | N/D | Bassa | È stato effettuato un tentativo di creare un collegamento reale. |
| 4665 | N/D | Bassa | È stato effettuato un tentativo di creare il contesto client di un'applicazione. |
| 4666 | N/D | Bassa | Un'applicazione ha tentato un'operazione: |
| 4667 | N/D | Bassa | Il contesto client di un'applicazione è stato eliminato. |
| 4668 | N/D | Bassa | È stata inizializzata un'applicazione. |
| 4670 | N/D | Bassa | Le autorizzazioni per un oggetto sono state modificate. |
| 4671 | N/D | Bassa | Un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS. |
| 4672 | 576 | Bassa | Privilegi speciali assegnati a un nuovo account di accesso. |
| 4673 | 577 | Bassa | È stato chiamato un servizio con privilegi. |
| 4674 | 578 | Bassa | È stata tentata un'operazione su un oggetto con privilegi. |
| 4688 | 592 | Bassa | È stato creato un nuovo processo. |
| 4689 | 593 | Bassa | Un processo è stato chiuso. |
| 4690 | 594 | Bassa | È stato effettuato un tentativo di duplicare un handle per un oggetto. |
| 4691 | 595 | Bassa | È stato richiesto l'accesso indiretto a un oggetto. |
| 4694 | N/D | Bassa | È stato effettuato un tentativo di proteggere dati protetti controllabili. |
| 4695 | N/D | Bassa | È stato effettuato un tentativo di annullare la protezione di dati protetti controllabili. |
| 4696 | 600 | Bassa | È stato assegnato un token primario a un processo. |
| 4697 | 601 | Bassa | Tentativo di installazione di un servizio |
| 4698 | 602 | Bassa | È stata creata un'attività pianificata. |
| 4699 | 602 | Bassa | Un'attività pianificata è stata eliminata. |
| 4700 | 602 | Bassa | Un'attività pianificata è stata abilitata. |
| 4701 | 602 | Bassa | Un'attività pianificata è stata disabilitata. |
| 4702 | 602 | Bassa | Un'attività pianificata è stata aggiornata. |
| 4704 | 608 | Bassa | È stato assegnato un diritto utente. |
| 4705 | 609 | Bassa | È stato rimosso un diritto utente. |
| 4707 | 611 | Bassa | È stato rimosso un trust per un dominio. |
| 4709 | N/D | Bassa | I servizi IPsec sono stati avviati. |
| 4710 | N/D | Bassa | I servizi IPsec sono stati disabilitati. |
| 4711 | N/D | Bassa | Può contenere uno dei seguenti: il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione nel registro locale nel computer. Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione nel registro locale nel computer. Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione nella directory nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche. |
| 4712 | N/D | Bassa | I servizi IPsec hanno riscontrato un errore potenzialmente grave. |
| 4717 | 621 | Bassa | A un account è stato concesso l'accesso alla sicurezza del sistema. |
| 4718 | 622 | Bassa | L'accesso alla sicurezza del sistema è stato rimosso da un account. |
| 4720 | 624 | Bassa | È stato creato un account utente. |
| 4722 | 626 | Bassa | Un account utente è stato abilitato. |
| 4723 | 627 | Bassa | È stato effettuato un tentativo di modificare la password di un account. |
| 4725 | 629 | Bassa | Un account utente è stato disabilitato. |
| 4726 | 630 | Bassa | Un account utente è stato eliminato. |
| 4728 | 632 | Bassa | È stato aggiunto un membro a un gruppo globale con sicurezza abilitata. |
| 4729 | 633 | Bassa | È stato rimosso un membro da un gruppo globale con sicurezza abilitata. |
| 4730 | 634 | Bassa | Un gruppo globale con sicurezza abilitata è stato eliminato. |
| 4731 | 635 | Bassa | È stato creato un gruppo locale con sicurezza abilitata. |
| 4732 | 636 | Bassa | È stato aggiunto un membro a un gruppo locale con sicurezza abilitata. |
| 4733 | 637 | Bassa | È stato rimosso un membro da un gruppo locale con sicurezza abilitata. |
| 4734 | 638 | Bassa | È stato eliminato un gruppo locale con sicurezza abilitata. |
| 4738 | 642 | Bassa | Un account utente è stato modificato. |
| 4740 | 644 | Bassa | Un account utente è stato bloccato. |
| 4741 | 645 | Bassa | Un account computer è stato modificato. |
| 4742 | 646 | Bassa | Un account computer è stato modificato. |
| 4743 | 647 | Bassa | Un account computer è stato eliminato. |
| 4744 | 648 | Bassa | È stato creato un gruppo locale con sicurezza disabilitata. |
| 4745 | 649 | Bassa | Un gruppo locale con sicurezza disabilitata è stato modificato. |
| 4746 | 650 | Bassa | È stato aggiunto un membro a un gruppo locale con sicurezza disabilitata. |
| 4747 | 651 | Bassa | È stato rimosso un membro da un gruppo locale con sicurezza disabilitata. |
| 4748 | 652 | Bassa | Un gruppo locale con sicurezza disabilitata è stato eliminato. |
| 4749 | 653 | Bassa | È stato creato un gruppo globale con sicurezza disabilitata. |
| 4750 | 654 | Bassa | Un gruppo globale con sicurezza disabilitata è stato modificato. |
| 4751 | 655 | Bassa | È stato aggiunto un membro a un gruppo globale con sicurezza disabilitata. |
| 4752 | 656 | Bassa | È stato rimosso un membro da un gruppo globale con sicurezza disabilitata. |
| 4753 | 657 | Bassa | Un gruppo globale con sicurezza disabilitata è stato eliminato. |
| 4756 | 660 | Bassa | È stato aggiunto un membro a un gruppo universale con sicurezza abilitata. |
| 4757 | 661 | Bassa | È stato rimosso un membro da un gruppo universale con sicurezza abilitata. |
| 4758 | 662 | Bassa | Un gruppo universale con sicurezza abilitata è stato eliminato. |
| 4759 | 663 | Bassa | È stato creato un gruppo universale con sicurezza disabilitata. |
| 4760 | 664 | Bassa | Un gruppo universale con sicurezza disabilitata è stato modificato. |
| 4761 | 665 | Bassa | È stato aggiunto un membro a un gruppo universale con sicurezza disabilitata. |
| 4762 | 666 | Bassa | È stato rimosso un membro da un gruppo universale con sicurezza disabilitata. |
| 4767 | 671 | Bassa | Un account utente è stato sbloccato. |
| 4768 | 672,676 | Bassa | È stato richiesto un ticket di autenticazione Kerberos (TGT). |
| 4769 | 673 | Bassa | È stato richiesto un ticket di servizio Kerberos. |
| 4770 | 674 | Bassa | È stato rinnovato un ticket di servizio Kerberos. |
| 4771 | 675 | Bassa | Preautenticazione Kerberos non riuscita. |
| 4772 | 672 | Bassa | Una richiesta di ticket di autenticazione Kerberos non è riuscita. |
| 4774 | 678 | Bassa | È stato eseguito il mapping di un account per l'accesso. |
| 4775 | 679 | Bassa | Non è stato possibile eseguire il mapping di un account per l'accesso. |
| 4776 | 680,681 | Bassa | Il controller di dominio ha tentato di convalidare le credenziali di un account. |
| 4777 | N/D | Bassa | Il controller di dominio non è riuscito a convalidare le credenziali di un account. |
| 4778 | 682 | Bassa | Una sessione è stata riconnessa a una stazione Windows. |
| 4779 | 683 | Bassa | Una sessione è stata disconnessa da una stazione Windows. |
| 4781 | 685 | Bassa | Il nome di un account è stato modificato: |
| 4782 | N/D | Bassa | È stato eseguito l'accesso all'hash della password di un account. |
| 4783 | 667 | Bassa | È stato creato un gruppo di applicazioni di base. |
| 4784 | N/D | Bassa | Un gruppo di applicazioni di base è stato modificato. |
| 4785 | 689 | Bassa | È stato aggiunto un membro a un gruppo di applicazioni di base. |
| 4786 | 690 | Bassa | È stato rimosso un membro da un gruppo di applicazioni di base. |
| 4787 | 691 | Bassa | È stato aggiunto un non membro a un gruppo di applicazioni di base. |
| 4788 | 692 | Bassa | È stato rimosso un non membro da un gruppo di applicazioni di base. |
| 4789 | 693 | Bassa | Un gruppo di applicazioni di base è stato eliminato. |
| 4790 | 694 | Bassa | È stato creato un gruppo di query LDAP. |
| 4793 | N/D | Bassa | È stata chiamata l'API di controllo criteri password. |
| 4800 | N/D | Bassa | La workstation è stata bloccata. |
| 4801 | N/D | Bassa | La workstation è stata sbloccata. |
| 4802 | N/D | Bassa | È stato richiamato lo screen saver. |
| 4803 | N/D | Bassa | Lo screen saver è stato chiuso. |
| 4864 | N/D | Bassa | È stato rilevato un conflitto dello spazio dei nomi. |
| 4869 | 773 | Bassa | Servizi certificati ha ricevuto una richiesta di certificato inviata di nuovo. |
| 4871 | 775 | Bassa | Servizi certificati ha ricevuto una richiesta di pubblicare l'elenco di revoche di certificati (CRL). |
| 4872 | 776 | Bassa | Servizi certificati ha pubblicato l'elenco di revoche di certificati (CRL). |
| 4873 | 777 | Bassa | L'estensione di una richiesta di certificato è cambiata. |
| 4874 | 778 | Bassa | Uno o più attributi della richiesta di certificato sono cambiati. |
| 4875 | 779 | Bassa | Servizi certificati ha ricevuto una richiesta di arresto. |
| 4876 | 780 | Bassa | Il backup di Servizi certificati è stato avviato. |
| 4877 | 781 | Bassa | È stato completato il backup di Servizi certificati. |
| 4878 | 782 | Bassa | È stato avviato il ripristino di Servizi certificati. |
| 4879 | 783 | Bassa | È stato completato il ripristino di Servizi certificati. |
| 4880 | 784 | Bassa | Servizi certificati è stato avviato. |
| 4881 | 785 | Bassa | Servizi certificati è stato arrestato. |
| 4883 | 787 | Bassa | Servizi certificati ha recuperato una chiave archiviata. |
| 4884 | 788 | Bassa | Servizi certificati ha importato un certificato nel database. |
| 4886 | 790 | Bassa | Servizi certificati ha ricevuto una richiesta di certificato. |
| 4887 | 791 | Bassa | Servizi certificati ha approvato una richiesta di certificato e ha emesso un certificato. |
| 4888 | 792 | Bassa | Servizi certificati ha negato una richiesta di certificato. |
| 4889 | 793 | Bassa | Servizi certificati ha impostato in sospeso lo stato di una richiesta di certificato. |
| 4891 | 795 | Bassa | Una voce di configurazione in Servizi certificati è cambiata. |
| 4893 | 797 | Bassa | Servizi certificati ha archiviato una chiave. |
| 4894 | 798 | Bassa | Servizi certificati ha importato e archiviato una chiave. |
| 4895 | 799 | Bassa | Servizi certificati ha pubblicato il certificato CA in Servizi di dominio Active Directory. |
| 4898 | 802 | Bassa | Modello caricato da Servizi certificati. |
| 4902 | N/D | Bassa | È stata creata la tabella dei criteri di controllo per utente. |
| 4904 | N/D | Bassa | È stato effettuato il tentativo di registrare un'origine evento di sicurezza. |
| 4905 | N/D | Bassa | È stato effettuato il tentativo di annullare la registrazione di un'origine evento di sicurezza. |
| 4909 | N/D | Bassa | Le impostazioni dei criteri locali per TBS sono state modificate. |
| 4910 | N/D | Bassa | Le impostazioni di Criteri di gruppo per TBS sono state modificate. |
| 4928 | N/D | Bassa | È stato stabilito un contesto di denominazione dell'origine della replica di Active Directory. |
| 4929 | N/D | Bassa | È stato rimosso un contesto di denominazione dell'origine della replica di Active Directory. |
| 4930 | N/D | Bassa | È stato modificato un contesto di denominazione dell'origine della replica di Active Directory. |
| 4931 | N/D | Bassa | È stato modificato un contesto di denominazione della destinazione della replica di Active Directory. |
| 4932 | N/D | Bassa | È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory. |
| 4933 | N/D | Bassa | La sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata. |
| 4934 | N/D | Bassa | Gli attributi di un oggetto Active Directory sono stati replicati. |
| 4935 | N/D | Bassa | Inizio di un errore di replica. |
| 4936 | N/D | Bassa | Fine di un errore di replica. |
| 4937 | N/D | Bassa | Un oggetto residuo è stato rimosso da una replica. |
| 4944 | N/D | Bassa | Il criterio seguente era attivo all'avvio di Windows Firewall. |
| 4945 | N/D | Bassa | All'avvio di Windows Firewall è stata elencata una regola. |
| 4946 | N/D | Bassa | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola. |
| 4947 | N/D | Bassa | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola. |
| 4948 | N/D | Bassa | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola. |
| 4949 | N/D | Bassa | Le impostazioni di Windows Firewall sono state ripristinate ai valori predefiniti. |
| 4950 | N/D | Bassa | È stata modificata un'impostazione di Windows Firewall. |
| 4951 | N/D | Bassa | Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall. |
| 4952 | N/D | Bassa | Parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate. |
| 4953 | N/D | Bassa | Una regola è stata ignorata da Windows Firewall perché non è stato possibile analizzare la regola. |
| 4954 | N/D | Bassa | Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni. |
| 4956 | N/D | Bassa | Windows Firewall ha modificato il profilo attivo. |
| 4957 | N/D | Bassa | Windows Firewall non ha applicato la regola seguente: |
| 4958 | N/D | Bassa | Windows Firewall non ha applicato la regola seguente perché la regola fa riferimento a elementi non configurati nel computer: |
| 4979 | N/D | Bassa | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4980 | N/D | Bassa | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4981 | N/D | Bassa | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4982 | N/D | Bassa | Sono state stabilite associazioni di sicurezza in modalità principale e in modalità estesa IPsec. |
| 4985 | N/D | Bassa | Lo stato di una transazione è cambiato. |
| 5024 | N/D | Bassa | Il servizio Windows Firewall è stato avviato correttamente. |
| 5025 | N/D | Bassa | Il servizio Windows Firewall è stato arrestato. |
| 5031 | N/D | Bassa | Il servizio Windows Firewall ha impedito a un'applicazione di accettare connessioni in ingresso sulla rete. |
| 5032 | N/D | Bassa | Windows Firewall non è riuscito a notificare all'utente di aver impedito a un'applicazione di accettare connessioni in ingresso nella rete. |
| 5033 | N/D | Bassa | Il driver di Windows Firewall è stato avviato correttamente. |
| 5034 | N/D | Bassa | Il driver di Windows Firewall è stato arrestato. |
| 5039 | N/D | Bassa | Una chiave del Registro di sistema è stata virtualizzata. |
| 5040 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione. |
| 5041 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato. |
| 5042 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato. |
| 5043 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di sicurezza della connessione. |
| 5044 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata modificata. |
| 5045 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Una regola di sicurezza della connessione è stata eliminata. |
| 5046 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia. |
| 5047 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato modificato. |
| 5048 | N/D | Bassa | È stata apportata una modifica alle impostazioni IPsec. Un set di crittografia è stato eliminato. |
| 5050 | N/D | Bassa | Tentativo di disabilitare Windows Firewall a livello di codice usando una chiamata a InetFwProfile.FirewallEnabled(False) |
| 5051 | N/D | Bassa | Un file è stato virtualizzato. |
| 5056 | N/D | Bassa | È stata eseguita una verifica automatica della crittografia. |
| 5057 | N/D | Bassa | Operazione primitiva di crittografia non riuscita. |
| 5058 | N/D | Bassa | Operazione su file di chiave. |
| 5059 | N/D | Bassa | Operazione di migrazione delle chiavi. |
| 5060 | N/D | Bassa | Operazione di verifica non riuscita. |
| 5061 | N/D | Bassa | Operazione di crittografia. |
| 5062 | N/D | Bassa | È stata eseguita una verifica automatica della crittografia in modalità kernel. |
| 5063 | N/D | Bassa | È stata tentata un'operazione del provider di crittografia. |
| 5064 | N/D | Bassa | È stata tentata un'operazione del contesto di crittografia. |
| 5065 | N/D | Bassa | È stata tentata la modifica del contesto di crittografia. |
| 5066 | N/D | Bassa | È stata tentata un'operazione della funzione di crittografia. |
| 5067 | N/D | Bassa | È stata tentata una modifica della funzione di crittografia. |
| 5068 | N/D | Bassa | È stata tentata un'operazione del provider della funzione di crittografia. |
| 5069 | N/D | Bassa | È stata tentata un'operazione di proprietà della funzione di crittografia. |
| 5070 | N/D | Bassa | È stata tentata una modifica delle proprietà di una funzione di crittografia. |
| 5125 | N/D | Bassa | Una richiesta è stata inviata al servizio risponditore OCSP |
| 5126 | N/D | Bassa | Il certificato di firma è stato aggiornato automaticamente dal servizio risponditore OCSP |
| 5127 | N/D | Bassa | Il provider di revoca OCSP ha aggiornato correttamente le informazioni di revoca |
| 5136 | 566 | Bassa | Un oggetto del servizio directory è stato modificato. |
| 5137 | 566 | Bassa | Un oggetto del servizio directory è stato creato. |
| 5138 | N/D | Bassa | L'eliminazione di un oggetto del servizio directory è stata annullata. |
| 5139 | N/D | Bassa | Un oggetto del servizio directory è stato spostato. |
| 5140 | N/D | Bassa | È stato eseguito l'accesso a un oggetto condivisione di rete. |
| 5141 | N/D | Bassa | Un oggetto del servizio directory è stato eliminato. |
| 5152 | N/D | Bassa | Piattaforma filtro Windows ha bloccato un pacchetto. |
| 5153 | N/D | Bassa | Un filtro più restrittivo di Piattaforma filtro Windows ha bloccato un pacchetto. |
| 5154 | N/D | Bassa | Piattaforma filtro Windows ha consentito a un'applicazione o a un servizio di rimanere in ascolto delle connessioni in ingresso su una porta. |
| 5155 | N/D | Bassa | Piattaforma filtro Windows ha impedito a un'applicazione o a un servizio di rimanere in ascolto delle connessioni in ingresso su una porta. |
| 5156 | N/D | Bassa | Piattaforma filtro Windows ha permesso una connessione. |
| 5157 | N/D | Bassa | Piattaforma filtro Windows ha bloccato una connessione. |
| 5158 | N/D | Bassa | Piattaforma filtro Windows ha consentito un'associazione a una porta locale. |
| 5159 | N/D | Bassa | Piattaforma filtro Windows ha bloccato un'associazione a una porta locale. |
| 5378 | N/D | Bassa | La delega delle credenziali richiesta non è stata consentita dai criteri. |
| 5440 | N/D | Bassa | Il callout seguente era presente all'avvio del motore di filtro di base di Piattaforma filtro Windows. |
| 5441 | N/D | Bassa | Il filtro seguente era presente all'avvio del motore di filtro di base di Piattaforma filtro Windows. |
| 5442 | N/D | Bassa | Il provider seguente era presente all'avvio del motore di filtro di base di Piattaforma filtro Windows. |
| 5443 | N/D | Bassa | Il contesto del provider seguente era presente all'avvio del motore di filtro di base di Piattaforma filtro Windows. |
| 5444 | N/D | Bassa | Il sottolivello seguente era presente all'avvio del motore di filtro di base di Piattaforma filtro Windows. |
| 5446 | N/D | Bassa | Un callout di Piattaforma filtro Windows è stato modificato. |
| 5447 | N/D | Bassa | Un filtro di Piattaforma filtro Windows è stato modificato. |
| 5448 | N/D | Bassa | Un provider di Piattaforma filtro Windows è stato modificato. |
| 5449 | N/D | Bassa | Il contesto di un provider di Piattaforma filtro Windows è stato modificato. |
| 5450 | N/D | Bassa | Un sottolivello di Piattaforma filtro Windows è stato modificato. |
| 5451 | N/D | Bassa | È stata stabilita un'associazione di sicurezza in modalità rapida IPsec. |
| 5452 | N/D | Bassa | Un'associazione di sicurezza in modalità rapida IPsec è terminata. |
| 5456 | N/D | Bassa | Il motore PAStore ha applicato i criteri IPsec di archiviazione di Active Directory nel computer. |
| 5457 | N/D | Bassa | Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. |
| 5458 | N/D | Bassa | Il motore PAStore ha applicato una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. |
| 5459 | N/D | Bassa | Il motore PAStore non è riuscito ad applicare una copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. |
| 5460 | N/D | Bassa | Il motore PAStore ha applicato i criteri IPsec di archiviazione nel registro locale nel computer. |
| 5461 | N/D | Bassa | Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione nel registro locale nel computer. |
| 5462 | N/D | Bassa | Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Usare lo snap-in Monitor di sicurezza IP per diagnosticare il problema. |
| 5463 | N/D | Bassa | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche. |
| 5464 | N/D | Bassa | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi, ha rilevato modifiche e le ha applicate ai servizi IPsec. |
| 5465 | N/D | Bassa | Il motore PAStore ha ricevuto un controllo per il ricaricamento forzato dei criteri IPsec ed ha elaborato correttamente il controllo. |
| 5466 | N/D | Bassa | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che non è possibile raggiungere Active Directory e userà invece la copia memorizzata nella cache dei criteri IPsec di Active Directory. Le eventuali modifiche apportate ai criteri IPsec di Active Directory dopo l'ultimo polling non sono state applicate. |
| 5467 | N/D | Bassa | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory e non ha rilevato modifiche ai criteri. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5468 | N/D | Bassa | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory, ha rilevato modifiche ai criteri e ha applicato le modifiche. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5471 | N/D | Bassa | Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. |
| 5472 | N/D | Bassa | Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione locale nel computer. |
| 5473 | N/D | Bassa | Il motore PAStore ha caricato i criteri IPsec di archiviazione nella directory nel computer. |
| 5474 | N/D | Bassa | Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione nella directory nel computer. |
| 5477 | N/D | Bassa | Il motore PAStore non è riuscito ad aggiungere un filtro in modalità rapida. |
| 5479 | N/D | Bassa | I servizi IPsec sono stati arrestati. L'arresto dei servizi IPsec può esporre il computer a un rischio maggiore di attacco alla rete o esporlo a potenziali rischi per la sicurezza. |
| 5632 | N/D | Bassa | È stata effettuata una richiesta di autenticazione a una rete wireless. |
| 5633 | N/D | Bassa | È stata effettuata una richiesta di autenticazione a una rete cablata. |
| 5712 | N/D | Bassa | È stato effettuato un tentativo RPC (Remote Procedure Call). |
| 5888 | N/D | Bassa | Un oggetto nel catalogo COM+ è stato modificato. |
| 5889 | N/D | Bassa | Un oggetto è stato eliminato dal catalogo COM+. |
| 5890 | N/D | Bassa | Un oggetto è stato aggiunto al catalogo COM+. |
| 6008 | N/D | Bassa | L'arresto precedente del sistema è stato imprevisto |
| 6144 | N/D | Bassa | I criteri di sicurezza negli oggetti Criteri di gruppo sono stati applicati correttamente. |
| 6272 | N/D | Bassa | Il Server dei criteri di rete ha concesso l'accesso a un utente. |
| N/D | 561 | Bassa | È stato richiesto un handle per un oggetto. |
| N/D | 563 | Bassa | Oggetto aperto per l'eliminazione |
| N/D | 625 | Bassa | Tipo di account utente modificato |
| N/D | 613 | Bassa | Agente criteri IPsec avviato |
| N/D | 614 | Bassa | Agente criteri IPsec disabilitato |
| N/D | 615 | Bassa | Agente criteri IPsec |
| N/D | 616 | Bassa | L'agente criteri IPsec ha rilevato un potenziale errore grave |
| 24577 | N/D | Bassa | Crittografia del volume avviata |
| 24578 | N/D | Bassa | Crittografia del volume arrestata |
| 24579 | N/D | Bassa | Crittografia del volume completata |
| 24580 | N/D | Bassa | Decrittografia del volume avviata |
| 24581 | N/D | Bassa | Decrittografia del volume arrestata |
| 24582 | N/D | Bassa | Decrittografia del volume completata |
| 24583 | N/D | Bassa | Thread di lavoro di conversione per volume avviato |
| 24584 | N/D | Bassa | Thread di lavoro di conversione per volume temporaneamente arrestato |
| 24588 | N/D | Bassa | L'operazione di conversione nel volume %2 ha rilevato un errore di settore danneggiato. Convalidare i dati in questo volume |
| 24595 | N/D | Bassa | Il volume %2 contiene cluster danneggiati. Questi cluster verranno ignorati durante la conversione. |
| 24621 | N/D | Bassa | Controllo dello stato iniziale: transazione di conversione del volume in sequenza su %2. |
| 5049 | N/D | Bassa | Un'associazione di sicurezza IPsec è stata eliminata. |
| 5478 | N/D | Bassa | I servizi IPsec sono stati avviati. |
Nota
Fare riferimento a Eventi di controllo della sicurezza di Windows per un elenco di molti ID di eventi di sicurezza e i relativi significati.
Eseguire wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true per ottenere un elenco molto dettagliato di tutti gli ID degli eventi di sicurezza
Per altre informazioni sugli ID degli eventi di sicurezza di Windows e sui relativi significati, vedere l'articolo del supporto tecnico Microsoft Impostazioni di base dei criteri di controllo della sicurezza. È anche possibile scaricare gli Eventi di controllo della sicurezza di Windows, che forniscono informazioni dettagliate sugli eventi per i sistemi operativi a cui si fa riferimento in formato foglio di calcolo.