Appendice L: Eventi da monitorare
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server
La tabella seguente elenca gli eventi che è necessario monitorare nell'ambiente, in base alle raccomandazioni fornite in Monitoraggio di Active Directory per i segni di compromissione. Nella tabella seguente la colonna "ID evento di Windows corrente" elenca l'ID evento implementato nelle versioni di Windows e Windows Server attualmente in supporto Mainstream.
La colonna "ID evento Windows legacy" elenca l'ID evento corrispondente nelle versioni legacy di Windows, ad esempio i computer client che eseguono Windows XP o versioni precedenti e i server che eseguono Windows Server 2003 o versioni precedenti. La colonna "Potenziale criticità" indica se l'evento deve essere considerato di criticità bassa, media o alta nel rilevamento degli attacchi e la colonna "Riepilogo eventi" fornisce una breve descrizione dell'evento.
Una potenziale criticità elevata indica che è necessario analizzare un'occorrenza dell'evento. La potenziale criticità media o bassa indica che questi eventi devono essere esaminati solo se si verificano in modo imprevisto o in numeri che superano significativamente la previsione prevista in un periodo di tempo misurato. Tutte le organizzazioni devono testare queste raccomandazioni nei propri ambienti prima di creare avvisi che richiedono risposte obbligatorie in seguito a indagini. Ogni ambiente è diverso e alcuni degli eventi classificati con una potenziale criticità elevata possono verificarsi a causa di altri eventi innocui.
| ID evento Windows corrente | ID evento windows legacy | Criticità potenziale | Riepilogo evento |
|---|---|---|---|
| 4618 | N/D | Alto | Si è verificato un modello di evento di sicurezza monitorato. |
| 4649 | N/D | Alto | È stato rilevato un attacco di riproduzione. Può essere un falso positivo innocuo a causa di un errore di configurazione errata. |
| 4719 | 612 | Alto | I criteri di controllo del sistema sono stati modificati. |
| 4765 | N/D | Alto | La cronologia SID è stata aggiunta a un account. |
| 4766 | N/D | Alto | Tentativo di aggiunta della cronologia SID a un account non riuscito. |
| 4794 | N/D | Alto | È stato effettuato un tentativo di impostare la modalità di ripristino dei servizi directory. |
| 4897 | 801 | Alto | Separazione dei ruoli abilitata: |
| 4964 | N/D | Alto | I gruppi speciali sono stati assegnati a un nuovo accesso. |
| 5124 | N/D | Alto | Un'impostazione di sicurezza è stata aggiornata nel servizio risponditore OCSP |
| N/D | 550 | Da media ad alta | Possibile attacco Denial of Service (DoS) |
| 1102 | 517 | Da media ad alta | Il log di controllo è stato cancellato |
| 4621 | N/D | Livello medio | L'amministratore ha ripristinato il sistema da CrashOnAuditFail. Gli utenti che non sono amministratori potranno ora accedere. Alcune attività controllabili potrebbero non essere state registrate. |
| 4675 | N/D | Livello medio | I SID sono stati filtrati. |
| 4692 | N/D | Livello medio | Tentativo di backup della chiave master di protezione dei dati. |
| 4693 | N/D | Livello medio | Tentativo di ripristino della chiave master di protezione dei dati. |
| 4706 | 610 | Medio | È stato creato un nuovo trust in un dominio. |
| 4713 | 617 | Medio | I criteri Kerberos sono stati modificati. |
| 4714 | 618 | Medio | I criteri di ripristino dei dati crittografati sono stati modificati. |
| 4715 | N/D | Medio | I criteri di controllo (SACL) in un oggetto sono stati modificati. |
| 4716 | 620 | Medio | Le informazioni di dominio attendibili sono state modificate. |
| 4724 | 628 | Medio | È stato effettuato un tentativo di reimpostare la password di un account. |
| 4727 | 631 | Medio | È stato creato un gruppo globale abilitato per la sicurezza. |
| 4735 | 639 | Medio | È stato modificato un gruppo locale abilitato per la sicurezza. |
| 4737 | 641 | Medio | È stato modificato un gruppo globale abilitato per la sicurezza. |
| 4739 | 643 | Medio | I criteri di dominio sono stati modificati. |
| 4754 | 658 | Medio | È stato creato un gruppo universale abilitato per la sicurezza. |
| 4755 | 659 | Medio | È stato modificato un gruppo universale abilitato per la sicurezza. |
| 4764 | 667 | Medio | È stato eliminato un gruppo disabilitato per la sicurezza |
| 4764 | 668 | Livello medio | Il tipo di un gruppo è stato modificato. |
| 4780 | 684 | Medio | L'ACL è stato impostato sugli account che sono membri dei gruppi di amministratori. |
| 4816 | N/D | Medio | RPC ha rilevato una violazione di integrità durante la decrittografia di un messaggio in ingresso. |
| 4865 | N/D | Medio | È stata aggiunta una voce di informazioni sulla foresta attendibile. |
| 4866 | N/D | Medio | È stata rimossa una voce di informazioni sulla foresta attendibile. |
| 4867 | N/D | Livello medio | È stata modificata una voce di informazioni sulla foresta attendibile. |
| 4868 | 772 | Livello medio | Il gestore dei certificati ha negato una richiesta di certificati in sospeso. |
| 4870 | 774 | Livello medio | Servizi certificati ha revocato un certificato. |
| 4882 | 786 | Livello medio | Le autorizzazioni di sicurezza di Servizi certificati sono cambiate. |
| 4885 | 789 | Medio | Il filtro di controllo di Servizi certificati è cambiato. |
| 4890 | 794 | Livello medio | Le impostazioni del gestore di certificati per Servizi certificati sono cambiate. |
| 4892 | 796 | Livello medio | Una proprietà di Servizi certificati è cambiata. |
| 4896 | 800 | Medio | Una o più righe sono state eliminate dal database dei certificati. |
| 4906 | N/D | Medio | Il valore CrashOnAuditFail è stato modificato. |
| 4907 | N/D | Medio | Le impostazioni di controllo sull'oggetto sono state modificate. |
| 4908 | N/D | Medio | Tabella di accesso gruppi speciali modificata. |
| 4912 | 807 | Medio | I criteri di controllo utente sono stati modificati. |
| 4960 | N/D | Medio | IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di integrità. Se questo problema persiste, potrebbe indicare un problema di rete o che i pacchetti vengono modificati in transito nel computer. Verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore potrebbe anche indicare problemi di interoperabilità con altre implementazioni IPsec. |
| 4961 | N/D | Livello medio | IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di riproduzione. Se questo problema persiste, potrebbe indicare un attacco di riproduzione contro questo computer. |
| 4962 | N/D | Livello medio | IPsec ha eliminato un pacchetto in ingresso che ha avuto esito negativo in un controllo di riproduzione. Il pacchetto in ingresso aveva un numero di sequenza troppo basso per assicurarsi che non fosse una riproduzione. |
| 4963 | N/D | Medio | IPsec ha eliminato un pacchetto di testo cancella in ingresso che dovrebbe essere stato protetto. Questo è in genere dovuto alla modifica dei criteri IPsec del computer remoto senza informare questo computer. Questo potrebbe anche essere un tentativo di attacco spoofing. |
| 4965 | N/D | Medio | IPsec ha ricevuto un pacchetto da un computer remoto con un indice del parametro di sicurezza non corretto (SPI). Questo è in genere causato da un malfunzionamento dell'hardware che causa il danneggiamento dei pacchetti. Se questi errori vengono mantenuti, verificare che i pacchetti inviati dal computer remoto siano uguali a quelli ricevuti da questo computer. Questo errore può anche indicare problemi di interoperabilità con altre implementazioni IPsec. In questo caso, se la connettività non è impedita, questi eventi possono essere ignorati. |
| 4976 | N/D | Medio | Durante la negoziazione in modalità principale, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4977 | N/D | Livello medio | Durante la negoziazione in modalità rapida, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4978 | N/D | Livello medio | Durante la negoziazione in modalità estesa, IPsec ha ricevuto un pacchetto di negoziazione non valido. Se questo problema persiste, potrebbe indicare un problema di rete o un tentativo di modifica o riproduzione di questa negoziazione. |
| 4983 | N/D | Livello medio | Non è riuscita una negoziazione della modalità estesa IPsec. L'associazione di sicurezza della modalità principale corrispondente è stata eliminata. |
| 4984 | N/D | Livello medio | Non è riuscita una negoziazione della modalità estesa IPsec. L'associazione di sicurezza della modalità principale corrispondente è stata eliminata. |
| 5027 | N/D | Livello medio | Il servizio Windows Firewall non è riuscito a recuperare i criteri di sicurezza dall'archiviazione locale. Il servizio continuerà ad applicare i criteri correnti. |
| 5028 | N/D | Livello medio | Il servizio Windows Firewall non è riuscito a analizzare i nuovi criteri di sicurezza. Il servizio continuerà con i criteri applicati correnti. |
| 5029 | N/D | Livello medio | Il servizio Windows Firewall non è riuscito a inizializzare il driver. Il servizio continuerà ad applicare i criteri correnti. |
| 5030 | N/D | Livello medio | Impossibile avviare il servizio Windows Firewall. |
| 5035 | N/D | Livello medio | Impossibile avviare il driver di Windows Firewall. |
| 5037 | N/D | Livello medio | Windows Firewall Driver ha rilevato un errore di runtime critico. Arresto in corso. |
| 5038 | N/D | Livello medio | L'integrità del codice ha determinato che l'hash dell'immagine di un file non è valido. Il file potrebbe essere danneggiato a causa di modifiche non autorizzate o l'hash non valido potrebbe indicare un potenziale errore del dispositivo del disco. |
| 5120 | N/D | Livello medio | Servizio di risposta OCSP avviato |
| 5121 | N/D | Livello medio | Servizio di risposta OCSP arrestato |
| 5122 | N/D | Medio | Voce di configurazione modificata nel servizio risponditore OCSP |
| 5123 | N/D | Medio | Voce di configurazione modificata nel servizio risponditore OCSP |
| 5376 | N/D | Livello medio | È stato eseguito il backup delle credenziali di Gestione credenziali. |
| 5377 | N/D | Medio | Le credenziali di Gestione credenziali sono state ripristinate da un backup. |
| 5453 | N/D | Livello medio | Una negoziazione IPsec con un computer remoto non è riuscita perché il servizio IKE e IPsec IPsec Keying Modules (IKEEXT) non viene avviato. |
| 5480 | N/D | Medio | IPsec Services non è riuscito a ottenere l'elenco completo delle interfacce di rete nel computer. Ciò comporta un potenziale rischio per la sicurezza perché alcune delle interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema. |
| 5483 | N/D | Medio | IPsec Services non è riuscito a inizializzare il server RPC. Impossibile avviare i servizi IPsec. |
| 5484 | N/D | Livello medio | IPsec Services ha riscontrato un errore critico ed è stato arrestato. L'arresto dei servizi IPsec può comportare un maggiore rischio di attacco di rete al computer o esporre il computer a potenziali rischi per la sicurezza. |
| 5485 | N/D | Livello medio | IPsec Services non è riuscito a elaborare alcuni filtri IPsec in un evento plug-and-play per le interfacce di rete. Ciò comporta un potenziale rischio per la sicurezza perché alcune delle interfacce di rete potrebbero non ottenere la protezione fornita dai filtri IPsec applicati. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema. |
| 5827 | N/D | Livello medio | Il servizio Netlogon ha negato una connessione di canale sicura Netlogon vulnerabile da un account del computer. |
| 5828 | N/D | Medio | Il servizio Netlogon ha negato una connessione di canale sicura Netlogon vulnerabile usando un account di trust. |
| 6145 | N/D | Livello medio | Si sono verificati uno o più errori durante l'elaborazione dei criteri di sicurezza negli oggetti Criteri di gruppo. |
| 6273 | N/D | Livello medio | Server dei criteri di rete negato l'accesso a un utente. |
| 6274 | N/D | Livello medio | Server dei criteri di rete ha eliminato la richiesta per un utente. |
| 6275 | N/D | Livello medio | Server criteri di rete ha eliminato la richiesta di contabilità per un utente. |
| 6276 | N/D | Livello medio | Server dei criteri di rete ha messo in quarantena un utente. |
| 6277 | N/D | Livello medio | Server criteri di rete ha concesso l'accesso a un utente, ma lo ha messo in prova perché l'host non ha soddisfatto i criteri di integrità definiti. |
| 6278 | N/D | Livello medio | Server criteri di rete ha concesso l'accesso completo a un utente perché l'host ha soddisfatto i criteri di integrità definiti. |
| 6279 | N/D | Livello medio | Server dei criteri di rete ha bloccato l'account utente a causa di tentativi di autenticazione ripetuti non riusciti. |
| 6280 | N/D | Livello medio | Server dei criteri di rete ha sbloccato l'account utente. |
| - | 640 | Medio | Database dell'account generale modificato |
| - | 619 | Medio | Criteri di qualità del servizio modificati |
| 24586 | N/D | Livello medio | Errore durante la conversione del volume |
| 24592 | N/D | Livello medio | Tentativo di riavvio automatico della conversione nel volume %2 non riuscito. |
| 24593 | N/D | Livello medio | Scrittura metadati: volume %2 che restituisce errori durante il tentativo di modificare i metadati. Se gli errori continuano, decrittografare il volume |
| 24594 | N/D | Livello medio | Ricompilazione dei metadati: tentativo di scrittura di una copia dei metadati nel volume %2 non riuscito e può essere visualizzato come danneggiamento del disco. Se gli errori continuano, decrittografare il volume. |
| 4608 | 512 | Basso | Windows è in avvio. |
| 4609 | 513 | Basso | Windows viene arrestato. |
| 4610 | 514 | Basso | Un pacchetto di autenticazione è stato caricato dall'autorità di sicurezza locale. |
| 4611 | 515 | Basso | Un processo di accesso attendibile è stato registrato con l'Autorità di sicurezza locale. |
| 4612 | 516 | Basso | Le risorse interne allocate per l'accodamento dei messaggi di controllo sono state esaurite, causando la perdita di alcuni controlli. |
| 4614 | 518 | Basso | Un pacchetto di notifica è stato caricato da Security Account Manager. |
| 4615 | 519 | Basso | Uso non valido della porta LPC. |
| 4616 | 520 | Basso | L'ora di sistema è stata modificata. |
| 4622 | N/D | Basso | Un pacchetto di sicurezza è stato caricato dall'autorità di sicurezza locale. |
| 4624 | 528,540 | Basso | È stato eseguito l'accesso a un account. |
| 4625 | 529-537,539 | Basso | Impossibile accedere a un account. |
| 4634 | 538 | Basso | Un account è stato disconnesso. |
| 4646 | N/D | Basso | È stata avviata la modalità di prevenzione doS IKE. |
| 4647 | 551 | Basso | Logoff avviato dall'utente. |
| 4648 | 552 | Basso | Si è tentato di accedere usando credenziali esplicite. |
| 4650 | N/D | Basso | È stata stabilita un'associazione di sicurezza della modalità principale IPsec. La modalità estesa non è stata abilitata. L'autenticazione del certificato non è stata usata. |
| 4651 | N/D | Basso | È stata stabilita un'associazione di sicurezza della modalità principale IPsec. La modalità estesa non è stata abilitata. È stato usato un certificato per l'autenticazione. |
| 4652 | N/D | Basso | Negoziazione della modalità principale IPsec non riuscita. |
| 4653 | N/D | Basso | Negoziazione della modalità principale IPsec non riuscita. |
| 4654 | N/D | Basso | La negoziazione della modalità rapida IPsec non è riuscita. |
| 4655 | N/D | Basso | Un'associazione di sicurezza della modalità principale IPsec è terminata. |
| 4656 | 560 | Basso | È stato richiesto un handle a un oggetto . |
| 4657 | 567 | Basso | È stato modificato un valore del Registro di sistema. |
| 4658 | 562 | Basso | Handle di un oggetto chiuso. |
| 4659 | N/D | Basso | È stato richiesto un handle a un oggetto con finalità di eliminazione. |
| 4660 | 564 | Basso | Un oggetto è stato eliminato. |
| 4661 | 565 | Basso | È stato richiesto un handle a un oggetto . |
| 4662 | 566 | Basso | Un'operazione è stata eseguita su un oggetto . |
| 4663 | 567 | Basso | è stato effettuato un tentativo di accedere a un oggetto. |
| 4664 | N/D | Basso | È stato effettuato un tentativo di creare un collegamento rigido. |
| 4665 | N/D | Basso | È stato effettuato un tentativo di creare un contesto client dell'applicazione. |
| 4666 | N/D | Basso | Un'applicazione ha tentato un'operazione: |
| 4667 | N/D | Basso | È stato eliminato un contesto client dell'applicazione. |
| 4668 | N/D | Basso | Un'applicazione è stata inizializzata. |
| 4670 | N/D | Basso | Le autorizzazioni per un oggetto sono state modificate. |
| 4671 | N/D | Basso | Un'applicazione ha tentato di accedere a un ordinale bloccato tramite TBS. |
| 4672 | 576 | Basso | Privilegi speciali assegnati al nuovo accesso. |
| 4673 | 577 | Basso | È stato chiamato un servizio con privilegi. |
| 4674 | 578 | Basso | Si è tentato di eseguire un'operazione su un oggetto con privilegi. |
| 4688 | 592 | Basso | È stato creato un nuovo processo. |
| 4689 | 593 | Basso | È stato chiuso un processo. |
| 4690 | 594 | Basso | È stato effettuato un tentativo di duplicare un handle in un oggetto . |
| 4691 | 595 | Basso | È stato richiesto l'accesso indiretto a un oggetto . |
| 4694 | N/D | Basso | È stata tentata la protezione dei dati protetti controllabili. |
| 4695 | N/D | Basso | È stato tentato di rimuovere la protezione dei dati protetti controllabili. |
| 4696 | 600 | Basso | È stato assegnato un token primario per l'elaborazione. |
| 4697 | 601 | Basso | Tentativo di installazione di un servizio |
| 4698 | 602 | Basso | È stata creata un'attività pianificata. |
| 4699 | 602 | Basso | Un'attività pianificata è stata eliminata. |
| 4700 | 602 | Basso | È stata abilitata un'attività pianificata. |
| 4701 | 602 | Basso | Un'attività pianificata è stata disabilitata. |
| 4702 | 602 | Basso | Un'attività pianificata è stata aggiornata. |
| 4704 | 608 | Basso | È stato assegnato un diritto utente. |
| 4705 | 609 | Basso | È stato rimosso un diritto utente. |
| 4707 | 611 | Basso | Un trust a un dominio è stato rimosso. |
| 4709 | N/D | Basso | IPsec Services è stato avviato. |
| 4710 | N/D | Basso | IPsec Services è stato disabilitato. |
| 4711 | N/D | Basso | Può contenere uno dei seguenti elementi: motore PAStore applicato copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore ha applicato i criteri IPsec di archiviazione del Registro di sistema locale nel computer. Il motore PAStore non è riuscito ad applicare la copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione di Active Directory nel computer. Il motore PAStore non è riuscito ad applicare i criteri IPsec di archiviazione del Registro di sistema locale nel computer. Il motore PAStore non è riuscito ad applicare alcune regole dei criteri IPsec attivi nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione della directory nel computer. Criteri IPsec di archiviazione della directory caricati dal motore PAStore nel computer. Il motore PAStore non è riuscito a caricare i criteri IPsec dell'archiviazione locale nel computer. Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche. |
| 4712 | N/D | Basso | I servizi IPsec hanno riscontrato un errore potenzialmente grave. |
| 4717 | 621 | Basso | L'accesso alla sicurezza del sistema è stato concesso a un account. |
| 4718 | 622 | Basso | L'accesso alla sicurezza del sistema è stato rimosso da un account. |
| 4720 | 624 | Basso | È stato creato un account utente. |
| 4722 | 626 | Basso | Un account utente è stato abilitato. |
| 4723 | 627 | Basso | È stato effettuato un tentativo di modificare la password di un account. |
| 4725 | 629 | Basso | Un account utente è stato disabilitato. |
| 4726 | 630 | Basso | Un account utente è stato eliminato. |
| 4728 | 632 | Basso | Un membro è stato aggiunto a un gruppo globale abilitato per la sicurezza. |
| 4729 | 633 | Basso | Un membro è stato rimosso da un gruppo globale abilitato per la sicurezza. |
| 4730 | 634 | Basso | È stato eliminato un gruppo globale abilitato per la sicurezza. |
| 4731 | 635 | Basso | È stato creato un gruppo locale abilitato per la sicurezza. |
| 4732 | 636 | Basso | Un membro è stato aggiunto a un gruppo locale abilitato per la sicurezza. |
| 4733 | 637 | Basso | Un membro è stato rimosso da un gruppo locale abilitato per la sicurezza. |
| 4734 | 638 | Basso | È stato eliminato un gruppo locale abilitato per la sicurezza. |
| 4738 | 642 | Basso | Un account utente è stato modificato. |
| 4740 | 644 | Basso | Un account utente è stato bloccato. |
| 4741 | 645 | Basso | Un account computer è stato modificato. |
| 4742 | 646 | Basso | Un account computer è stato modificato. |
| 4743 | 647 | Basso | Un account computer è stato eliminato. |
| 4744 | 648 | Basso | È stato creato un gruppo locale disabilitato per la sicurezza. |
| 4745 | 649 | Basso | Un gruppo locale disabilitato per la sicurezza è stato modificato. |
| 4746 | 650 | Basso | Un membro è stato aggiunto a un gruppo locale disabilitato per la sicurezza. |
| 4747 | 651 | Basso | Un membro è stato rimosso da un gruppo locale disabilitato per la sicurezza. |
| 4748 | 652 | Basso | È stato eliminato un gruppo locale disabilitato per la sicurezza. |
| 4749 | 653 | Basso | È stato creato un gruppo globale disabilitato per la sicurezza. |
| 4750 | 654 | Basso | Un gruppo globale disabilitato per la sicurezza è stato modificato. |
| 4751 | 655 | Basso | Un membro è stato aggiunto a un gruppo globale disabilitato per la sicurezza. |
| 4752 | 656 | Basso | Un membro è stato rimosso da un gruppo globale disabilitato per la sicurezza. |
| 4753 | 657 | Basso | È stato eliminato un gruppo globale disabilitato per la sicurezza. |
| 4756 | 660 | Basso | Un membro è stato aggiunto a un gruppo universale abilitato per la sicurezza. |
| 4757 | 661 | Basso | Un membro è stato rimosso da un gruppo universale abilitato per la sicurezza. |
| 4758 | 662 | Basso | È stato eliminato un gruppo universale abilitato per la sicurezza. |
| 4759 | 663 | Basso | È stato creato un gruppo universale disabilitato per la sicurezza. |
| 4760 | 664 | Basso | È stato modificato un gruppo universale disabilitato per la sicurezza. |
| 4761 | 665 | Basso | Un membro è stato aggiunto a un gruppo universale disabilitato per la sicurezza. |
| 4762 | 666 | Basso | Un membro è stato rimosso da un gruppo universale disabilitato per la sicurezza. |
| 4767 | 671 | Basso | Un account utente è stato sbloccato. |
| 4768 | 672,676 | Basso | È stato richiesto un ticket di autenticazione Kerberos( TGT). |
| 4769 | 673 | Basso | È stato richiesto un ticket di servizio Kerberos. |
| 4770 | 674 | Basso | È stato rinnovato un ticket di servizio Kerberos. |
| 4771 | 675 | Basso | Autenticazione preliminare Kerberos non riuscita. |
| 4772 | 672 | Basso | Richiesta di ticket di autenticazione Kerberos non riuscita. |
| 4774 | 678 | Basso | È stato eseguito il mapping di un account per l'accesso. |
| 4775 | 679 | Basso | Non è stato possibile eseguire il mapping di un account per l'accesso. |
| 4776 | 680,681 | Basso | Il controller di dominio ha tentato di convalidare le credenziali per un account. |
| 4777 | N/D | Basso | Il controller di dominio non è riuscito a convalidare le credenziali per un account. |
| 4778 | 682 | Basso | Una sessione è stata riconnessa a una stazione finestra. |
| 4779 | 683 | Basso | Una sessione è stata disconnessa da una stazione finestra. |
| 4781 | 685 | Basso | Il nome di un account è stato modificato: |
| 4782 | N/D | Basso | È stato eseguito l'accesso all'hash della password per un account. |
| 4783 | 667 | Basso | È stato creato un gruppo di applicazioni di base. |
| 4784 | N/D | Basso | È stato modificato un gruppo di applicazioni di base. |
| 4785 | 689 | Basso | Un membro è stato aggiunto a un gruppo di applicazioni di base. |
| 4786 | 690 | Basso | Un membro è stato rimosso da un gruppo di applicazioni di base. |
| 4787 | 691 | Basso | Un membro non è stato aggiunto a un gruppo di applicazioni di base. |
| 4788 | 692 | Basso | Un membro non è stato rimosso da un gruppo di applicazioni di base. |
| 4789 | 693 | Basso | È stato eliminato un gruppo di applicazioni di base. |
| 4790 | 694 | Basso | È stato creato un gruppo di query LDAP. |
| 4793 | N/D | Basso | È stata chiamata l'API Controllo criteri password. |
| 4800 | N/D | Basso | La workstation è stata bloccata. |
| 4801 | N/D | Basso | La workstation è stata sbloccata. |
| 4802 | N/D | Basso | Lo screen saver è stato richiamato. |
| 4803 | N/D | Basso | Lo screen saver è stato ignorato. |
| 4864 | N/D | Basso | È stato rilevato un conflitto di spazi dei nomi. |
| 4869 | 773 | Basso | Servizi certificati ha ricevuto una richiesta di certificato inviata di nuovo. |
| 4871 | 775 | Basso | Servizi certificati ha ricevuto una richiesta di pubblicare l'elenco di revoche di certificati (CRL). |
| 4872 | 776 | Basso | Servizi certificati ha pubblicato l'elenco di revoche di certificati (CRL). |
| 4873 | 777 | Basso | L'estensione di una richiesta di certificato è cambiata. |
| 4874 | 778 | Basso | Uno o più attributi della richiesta di certificato sono cambiati. |
| 4875 | 779 | Basso | Servizi certificati ha ricevuto una richiesta di arresto. |
| 4876 | 780 | Basso | Il backup di Servizi certificati è stato avviato. |
| 4877 | 781 | Basso | È stato completato il backup di Servizi certificati. |
| 4878 | 782 | Basso | È stato avviato il ripristino di Servizi certificati. |
| 4879 | 783 | Basso | È stato completato il ripristino di Servizi certificati. |
| 4880 | 784 | Basso | Servizi certificati è stato avviato. |
| 4881 | 785 | Basso | Servizi certificati è stato arrestato. |
| 4883 | 787 | Basso | Servizi certificati ha recuperato una chiave archiviata. |
| 4884 | 788 | Basso | Servizi certificati ha importato un certificato nel database. |
| 4886 | 790 | Basso | Servizi certificati ha ricevuto una richiesta di certificato. |
| 4887 | 791 | Basso | Servizi certificati ha approvato una richiesta di certificato e ha emesso un certificato. |
| 4888 | 792 | Basso | Servizi certificati ha negato una richiesta di certificato. |
| 4889 | 793 | Basso | Servizi certificati ha impostato in sospeso lo stato di una richiesta di certificato. |
| 4891 | 795 | Basso | Una voce di configurazione in Servizi certificati è cambiata. |
| 4893 | 797 | Basso | Servizi certificati ha archiviato una chiave. |
| 4894 | 798 | Basso | Servizi certificati ha importato e archiviato una chiave. |
| 4895 | 799 | Basso | Servizi certificati ha pubblicato il certificato della CA in Servizi di dominio Active Directory. |
| 4898 | 802 | Basso | Modello caricato da Servizi certificati. |
| 4902 | N/D | Basso | È stata creata la tabella dei criteri di controllo per utente. |
| 4904 | N/D | Basso | È stato effettuato un tentativo di registrare un'origine evento di sicurezza. |
| 4905 | N/D | Basso | È stato effettuato un tentativo di annullare la registrazione di un'origine evento di sicurezza. |
| 4909 | N/D | Basso | Le impostazioni dei criteri locali per i TBS sono state modificate. |
| 4910 | N/D | Basso | Le impostazioni di Criteri di gruppo per i TBS sono state modificate. |
| 4928 | N/D | Basso | È stato stabilito un contesto di denominazione dell'origine della replica Active Directory. |
| 4929 | N/D | Basso | È stato rimosso un contesto di denominazione dell'origine della replica di Active Directory. |
| 4930 | N/D | Basso | È stato modificato un contesto di denominazione dell'origine della replica Active Directory. |
| 4931 | N/D | Basso | È stato modificato un contesto di denominazione della destinazione della replica Active Directory. |
| 4932 | N/D | Basso | È iniziata la sincronizzazione di una replica di un contesto di denominazione di Active Directory. |
| 4933 | N/D | Basso | La sincronizzazione di una replica di un contesto di denominazione di Active Directory è terminata. |
| 4934 | N/D | Basso | Gli attributi di un oggetto Active Directory sono stati replicati. |
| 4935 | N/D | Basso | Viene avviato l'errore di replica. |
| 4936 | N/D | Basso | Termina l'errore di replica. |
| 4937 | N/D | Basso | Un oggetto persistente è stato rimosso da una replica. |
| 4944 | N/D | Basso | Il criterio seguente era attivo all'avvio di Windows Firewall. |
| 4945 | N/D | Basso | Una regola è stata elencata all'avvio di Windows Firewall. |
| 4946 | N/D | Basso | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata aggiunta una regola. |
| 4947 | N/D | Basso | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata modificata una regola. |
| 4948 | N/D | Basso | È stata apportata una modifica all'elenco delle eccezioni di Windows Firewall. È stata eliminata una regola. |
| 4949 | N/D | Basso | Le impostazioni di Windows Firewall sono state ripristinate nei valori predefiniti. |
| 4950 | N/D | Basso | È stata modificata un'impostazione di Windows Firewall. |
| 4951 | N/D | Basso | Una regola è stata ignorata perché il numero di versione principale non è stato riconosciuto da Windows Firewall. |
| 4952 | N/D | Basso | Parti di una regola sono state ignorate perché il numero di versione secondaria non è stato riconosciuto da Windows Firewall. Le altre parti della regola verranno applicate. |
| 4953 | N/D | Basso | Una regola è stata ignorata da Windows Firewall perché non è riuscita ad analizzare la regola. |
| 4954 | N/D | Basso | Le impostazioni di Criteri di gruppo di Windows Firewall sono state modificate. Sono state applicate le nuove impostazioni. |
| 4956 | N/D | Basso | Windows Firewall ha modificato il profilo attivo. |
| 4957 | N/D | Basso | Windows Firewall non ha applicato la regola seguente: |
| 4958 | N/D | Basso | Windows Firewall non ha applicato la regola seguente perché la regola a cui si fa riferimento a elementi non configurati nel computer: |
| 4979 | N/D | Basso | Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa. |
| 4980 | N/D | Basso | Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa. |
| 4981 | N/D | Basso | Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa. |
| 4982 | N/D | Basso | Sono state stabilite le associazioni di sicurezza modalità principale IPsec e Modalità estesa. |
| 4985 | N/D | Basso | Lo stato di una transazione è stato modificato. |
| 5024 | N/D | Basso | Il servizio Windows Firewall è stato avviato correttamente. |
| 5025 | N/D | Basso | Il servizio Windows Firewall è stato arrestato. |
| 5031 | N/D | Basso | Il servizio Windows Firewall impedisce a un'applicazione di accettare connessioni in ingresso nella rete. |
| 5032 | N/D | Basso | Windows Firewall non è riuscito a notificare all'utente che ha impedito a un'applicazione di accettare connessioni in ingresso nella rete. |
| 5033 | N/D | Basso | Il driver di Windows Firewall è stato avviato correttamente. |
| 5034 | N/D | Basso | Il driver di Windows Firewall è stato arrestato. |
| 5039 | N/D | Basso | Una chiave del Registro di sistema è stata virtualizzata. |
| 5040 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di autenticazione. |
| 5041 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato modificato. |
| 5042 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. Un set di autenticazione è stato eliminato. |
| 5043 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stata aggiunta una regola di sicurezza della connessione. |
| 5044 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stata modificata una regola di sicurezza della connessione. |
| 5045 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stata eliminata una regola di sicurezza della connessione. |
| 5046 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stato aggiunto un set di crittografia. |
| 5047 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stato modificato un set di crittografia. |
| 5048 | N/D | Basso | È stata apportata una modifica alle impostazioni IPsec. È stato eliminato un set di crittografia. |
| 5050 | N/D | Basso | Tentativo di disabilitare a livello di codice Windows Firewall usando una chiamata a InetFwProfile.FirewallEnabled(False) |
| 5051 | N/D | Basso | È stato virtualizzato un file. |
| 5056 | N/D | Basso | È stato eseguito un auto test crittografico. |
| 5057 | N/D | Basso | Operazione primitiva crittografica non riuscita. |
| 5058 | N/D | Basso | Operazione file chiave. |
| 5059 | N/D | Basso | Operazione di migrazione delle chiavi. |
| 5060 | N/D | Basso | Operazione di verifica non riuscita. |
| 5061 | N/D | Basso | Operazione crittografica. |
| 5062 | N/D | Basso | È stato eseguito un self test crittografico in modalità kernel. |
| 5063 | N/D | Basso | È stata tentata un'operazione del provider di crittografia. |
| 5064 | N/D | Basso | È stata tentata un'operazione di contesto crittografica. |
| 5065 | N/D | Basso | È stata tentata una modifica del contesto crittografico. |
| 5066 | N/D | Basso | È stata tentata un'operazione di funzione crittografica. |
| 5067 | N/D | Basso | È stata tentata una modifica della funzione crittografica. |
| 5068 | N/D | Basso | È stata tentata un'operazione del provider di funzioni crittografiche. |
| 5069 | N/D | Basso | È stata tentata un'operazione di proprietà della funzione crittografica. |
| 5070 | N/D | Basso | È stata tentata una modifica della proprietà della funzione crittografica. |
| 5125 | N/D | Basso | Una richiesta è stata inviata al servizio risponditore OCSP |
| 5126 | N/D | Basso | Certificato di firma aggiornato automaticamente dal servizio risponditore OCSP |
| 5127 | N/D | Basso | Il provider di revoche OCSP ha aggiornato correttamente le informazioni di revoca |
| 5136 | 566 | Basso | Un oggetto servizio directory è stato modificato. |
| 5137 | 566 | Basso | È stato creato un oggetto servizio directory. |
| 5138 | N/D | Basso | Un oggetto servizio directory non è stato eseguito. |
| 5139 | N/D | Basso | Un oggetto servizio directory è stato spostato. |
| 5140 | N/D | Basso | È stato eseguito l'accesso a un oggetto condivisione di rete. |
| 5141 | N/D | Basso | Un oggetto servizio directory è stato eliminato. |
| 5152 | N/D | Basso | Windows Filtering Platform ha bloccato un pacchetto. |
| 5153 | N/D | Basso | Un filtro windows Filtering Platform più restrittivo ha bloccato un pacchetto. |
| 5154 | N/D | Basso | Windows Filtering Platform ha consentito a un'applicazione o a un servizio di restare in ascolto su una porta per le connessioni in ingresso. |
| 5155 | N/D | Basso | Windows Filtering Platform ha bloccato l'ascolto di un'applicazione o di un servizio su una porta per le connessioni in ingresso. |
| 5156 | N/D | Basso | Windows Filtering Platform ha consentito una connessione. |
| 5157 | N/D | Basso | Windows Filtering Platform ha bloccato una connessione. |
| 5158 | N/D | Basso | Windows Filtering Platform ha consentito un'associazione a una porta locale. |
| 5159 | N/D | Basso | Windows Filtering Platform ha bloccato un'associazione a una porta locale. |
| 5378 | N/D | Basso | La delega delle credenziali richieste non è stata consentita dai criteri. |
| 5440 | N/D | Basso | Il callout seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows. |
| 5441 | N/D | Basso | Il filtro seguente era presente all'avvio del motore di filtro base della piattaforma di filtro di Windows. |
| 5442 | N/D | Basso | Il provider seguente era presente all'avvio del motore di filtro base della piattaforma di filtro di Windows. |
| 5443 | N/D | Basso | Il contesto del provider seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows. |
| 5444 | N/D | Basso | Il sottostrato seguente era presente all'avvio del motore di filtro di base della piattaforma di filtro di Windows. |
| 5446 | N/D | Basso | È stato modificato un callout di Windows Filtering Platform. |
| 5447 | N/D | Basso | È stato modificato un filtro di Windows Filtering Platform. |
| 5448 | N/D | Basso | È stato modificato un provider windows Filtering Platform. |
| 5449 | N/D | Basso | È stato modificato un contesto del provider di Windows Filtering Platform. |
| 5450 | N/D | Basso | È stato modificato un sottostrato di Windows Filtering Platform. |
| 5451 | N/D | Basso | È stata stabilita un'associazione di sicurezza in modalità rapida IPsec. |
| 5452 | N/D | Basso | È terminata un'associazione di sicurezza in modalità rapida IPsec. |
| 5456 | N/D | Basso | Il motore PAStore ha applicato criteri IPsec di archiviazione di Active Directory nel computer. |
| 5457 | N/D | Basso | Il motore PAStore non è riuscito a applicare criteri IPsec di archiviazione di Active Directory nel computer. |
| 5458 | N/D | Basso | Il motore PAStore ha applicato la copia memorizzata nella cache locale dei criteri IPsec di archiviazione di Active Directory nel computer. |
| 5459 | N/D | Basso | Il motore PAStore non è riuscito a applicare la copia memorizzata nella cache locale dei criteri IPsec di archiviazione Active Directory nel computer. |
| 5460 | N/D | Basso | Il motore PAStore ha applicato i criteri IPsec dell'archiviazione del Registro di sistema locale nel computer. |
| 5461 | N/D | Basso | Il motore PAStore non è riuscito a applicare i criteri IPsec dell'archiviazione del Registro di sistema locale nel computer. |
| 5462 | N/D | Basso | Il motore PAStore non è riuscito a applicare alcune regole dei criteri IPsec attivi nel computer. Usare lo snap-in Monitoraggio sicurezza IP per diagnosticare il problema. |
| 5463 | N/D | Basso | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi e non ha rilevato modifiche. |
| 5464 | N/D | Basso | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec attivi, ha rilevato modifiche e le ha applicate ai servizi IPsec. |
| 5465 | N/D | Basso | Il motore PAStore ha ricevuto un controllo per il ricaricamento forzato dei criteri IPsec ed è stato elaborato correttamente il controllo. |
| 5466 | N/D | Basso | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che Active Directory non può essere raggiunto e userà invece la copia memorizzata nella cache dei criteri IPsec di Active Directory. Eventuali modifiche apportate ai criteri IPsec di Active Directory poiché non è stato possibile applicare l'ultimo polling. |
| 5467 | N/D | Basso | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory e non sono state rilevate modifiche ai criteri. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5468 | N/D | Basso | Il motore PAStore ha eseguito il polling delle modifiche apportate ai criteri IPsec di Active Directory, ha determinato che è possibile raggiungere Active Directory, trovare modifiche ai criteri e applicare tali modifiche. La copia memorizzata nella cache dei criteri IPsec di Active Directory non viene più usata. |
| 5471 | N/D | Basso | Il motore PAStore ha caricato i criteri IPsec di archiviazione locale nel computer. |
| 5472 | N/D | Basso | Il motore PAStore non è riuscito a caricare i criteri IPsec dell'archiviazione locale nel computer. |
| 5473 | N/D | Basso | Criteri IPsec di archiviazione della directory caricati dal motore PAStore nel computer. |
| 5474 | N/D | Basso | Il motore PAStore non è riuscito a caricare i criteri IPsec di archiviazione directory nel computer. |
| 5477 | N/D | Basso | Il motore PAStore non è riuscito a aggiungere un filtro in modalità rapida. |
| 5479 | N/D | Basso | IPsec Services è stato arrestato correttamente. L'arresto dei servizi IPsec può mettere il computer a rischio maggiore di attacchi di rete o esporre il computer a potenziali rischi di sicurezza. |
| 5632 | N/D | Basso | Una richiesta è stata effettuata per l'autenticazione a una rete wireless. |
| 5633 | N/D | Basso | È stata effettuata una richiesta per l'autenticazione a una rete cablata. |
| 5712 | N/D | Basso | È stato tentato un tentativo di chiamata alla procedura remota (RPC). |
| 5888 | N/D | Basso | È stato modificato un oggetto nel catalogo COM+. |
| 5889 | N/D | Basso | Un oggetto è stato eliminato dal catalogo COM+. |
| 5890 | N/D | Basso | Un oggetto è stato aggiunto al catalogo COM+. |
| 6008 | N/D | Basso | L'arresto del sistema precedente è stato imprevisto |
| 6144 | N/D | Basso | I criteri di sicurezza negli oggetti Criteri di gruppo sono stati applicati correttamente. |
| 6272 | N/D | Basso | Il server criteri di rete ha concesso l'accesso a un utente. |
| N/D | 561 | Basso | È stato richiesto un handle a un oggetto. |
| N/D | 563 | Basso | Oggetto aperto per l'eliminazione |
| N/D | 625 | Basso | Tipo di account utente modificato |
| N/D | 613 | Basso | Agente di criteri IPsec avviato |
| N/D | 614 | Basso | Agente di criteri IPsec disabilitato |
| N/D | 615 | Basso | Agente dei criteri IPsec |
| N/D | 616 | Basso | L'agente dei criteri IPsec ha rilevato un potenziale errore grave |
| 24577 | N/D | Basso | Crittografia del volume avviato |
| 24578 | N/D | Basso | Crittografia del volume arrestata |
| 24579 | N/D | Basso | Crittografia del volume completata |
| 24580 | N/D | Basso | Decrittografia del volume avviato |
| 24581 | N/D | Basso | Decrittografia del volume arrestata |
| 24582 | N/D | Basso | Decrittografia del volume completata |
| 24583 | N/D | Basso | Thread di lavoro di conversione per volume avviato |
| 24584 | N/D | Basso | Thread di lavoro di conversione per il volume arrestato temporaneamente |
| 24588 | N/D | Basso | L'operazione di conversione nel volume %2 ha rilevato un errore del settore non valido. Convalidare i dati in questo volume |
| 24595 | N/D | Basso | Il volume %2 contiene cluster non valido. Questi cluster verranno ignorati durante la conversione. |
| 24621 | N/D | Basso | Controllo stato iniziale: transazione di conversione del volume in sequenza su %2. |
| 5049 | N/D | Basso | È stata eliminata un'associazione di sicurezza IPsec. |
| 5478 | N/D | Basso | IPsec Services è stato avviato correttamente. |
Nota
Fare riferimento agli eventi di controllo della sicurezza di Windows per un elenco di molti ID evento di sicurezza e i relativi significati.
Eseguire wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true per ottenere un elenco molto dettagliato di tutti gli ID evento di sicurezza
Per altre informazioni sugli ID evento di sicurezza di Windows e sui relativi significati, vedere l'articolo Impostazioni dei criteri di controllo della sicurezza di base del supporto Tecnico Microsoft. È anche possibile scaricare gli eventi di controllo della sicurezza di Windows, che forniscono informazioni dettagliate sugli eventi per i sistemi operativi a cui si fa riferimento nel formato foglio di calcolo.