windows7本地组策略

2024年3月2日发(作者：)

审核策略

类别

审核策略更改

审核登录事件

审核对象访问

审核进程跟踪

审核目录服务访问

审核特权使用

审核系统事件

审核帐户登录事件

审核帐户管理

子类别

策略更改

策略更改

登录/注销

对象访问

进程跟踪

敏感权限使用 / 非敏感权限使用

系统

帐户登录

帐户管理

事件ID 描述

4715 已更改对象上的审核策略 (SACL)。

4719 系统审核策略已更改。

4817 已更改对象上的审核设臵。

4902 每用户审核策略表已创建。

4904 尝试注册安全事件源。

审核策略更改

4905 尝试取消安全事件源注册。

4906 禁用组值已更改。

4907 已更改对象上的审核设臵。

4908 修改特殊组登录表格。

4912 每个用户审核策略已更改。

4706 到域创建新的信任。

4707 已删除对一个域的信任。

4713 Kerberos 策略已更改。

4716 已修改受信任的域的信息。

4717 系统安全访问权限授予帐户权限。

身份验证策略更改 4718 已删除帐户的系统安全访问权限。

4739 域策略已更改。

4864 检测到的命名空间冲突。

4865 已添加受信任的林信息项。

4866 已删除受信任的林信息项。

4867 已修改受信任的林信息项。

4704 已分配用户权限。

4705 已删除了用户权限。

授权策略的更改

已更改的数据恢复代理组策略的加4714 密文件系统 (EFS)。新的更改尚未应用。

4709 IPsec 策略代理服务已启动。

4710 已禁用 IPsec 策略代理服务。

4711 可能包含下列之一：

筛选平台策略更改

IPsec 策略代理遇到潜在的严重问4712

题。

IPsec 设臵已更改。已添加身份验证5040

集。

5041

5042

5043

5044

5045

5046

5047

5048

5440

5441

5442

5443

5444

5446

5448

5449

5450

5456

5457

5458

5459

IPsec 设臵已更改。身份验证设臵已被修改。

IPsec 设臵已更改。身份验证设臵已被删除。

IPsec 设臵已更改。已添加的连接安全规则。

IPsec 设臵已更改。连接安全规则已被修改。

IPsec 设臵已更改。已删除的连接安全规则。

IPsec 设臵已更改。添加加密设臵。

IPsec 设臵已更改。加密设臵已被修改。

IPsec 设臵已更改。加密设臵已被删除。

下面标注时 Windows 筛选平台基本筛选引擎启动时出现。

下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。

下列提供程序是 Windows 筛选平台基本筛选引擎启动时出现。

Windows 筛选平台基本筛选引擎启动时存在下列提供程序上下文。

以下子图层是 Windows 筛选平台基本筛选引擎启动时出现。

已更改 Windows 筛选平台标注。

已更改 Windows 筛选平台提供商。

Windows 筛选平台提供程序上下文已被更改。

已更改 Windows 筛选平台的子图层。

PAStore 引擎的计算机上应用 IPsec

策略的 Active Directory 存储。

IPsec 策略代理在计算机上应用

IPsec 策略的 Active Directory 存储失败。

本地应用的 IPsec 策略代理缓存中的活动目录存储在计算机上的 IPsec

策略的副本。

IPsec 策略代理无法在计算机上应用

IPsec 策略的 Active Directory 存储的本地缓存的副本。

5460

5461

5462

5463

5464

5465

5466

5467

5468

5471

5472

5473

5474

5477

mpssvc 规则级别策略更改

4944

4945

IPsec 策略代理在计算机上应用

IPsec 策略的本地注册表存储。

IPsec 策略代理在计算机上应用

IPsec 策略的本地注册表存储失败。

IPsec 策略代理无法应用在计算机上的活动 IPsec 策略的某些规则。IP

安全监视器管理单元中使用，用来诊断问题。

IPsec 策略代理轮询的活动 IPsec

策略的更改，并且检测到任何更改。

IPsec 策略代理轮询的活动 IPsec

策略的更改，检测到更改，应用它们。

IPsec 策略代理接收用于 IPsec 策略的强制重新加载的控件，并成功处理该控件。

IPsec 策略代理轮询到活动目录

IPsec 策略中，已确定 Active

Directory 无法访问，并将改为使用活动目录 IPsec 策略缓存的副本的更改。由于上次轮询不能应用到活动目录 IPsec 策略中做的任何更改。

IPsec 策略代理轮询到活动目录

IPsec 策略中，已确定 Active

Directory 可以达到，并且找到没有更改策略的更改。活动目录 IPsec 策略缓存的副本不再被使用。

IPsec 策略代理轮询更改到活动目录

IPsec 策略中，已确定 Active

Directory 可以达到，找到到策略中，更改并应用这些更改。活动目录

IPsec 策略缓存的副本不再被使用。

IPsec 策略代理加载本地存储在计算机上的 IPsec 策略。

IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。

IPsec 策略代理加载目录存储在计算机上的 IPsec 策略。

IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。

IPsec 策略代理无法添加快速模式筛选器。

当启动 Windows 防火墙时，以下策略处于活动状态。

当启动 Windows 防火墙已列出规

4946

4947

4948

4949

4950

4951

4952

4953

4954

4956

4957

4958

5050

其他策略更改事件

4909

4910

5063

5064

5065

5066

5067

5068

5069

5070

5447

6144

则。

Windows 防火墙例外列表已更改。添加的规则。

Windows 防火墙例外列表已更改。规则已被修改。

Windows 防火墙例外列表已更改。规则已被删除。

Windows 防火墙设臵都恢复为默认值。

已更改 Windows 防火墙设臵。

Windows 防火墙忽略规则，因为无法识别的主要版本号。

Windows 防火墙忽略规则的部分，因为无法识别它的次要版本号。将执行该规则的其他部分。

由于无法分析，Windows 防火墙将忽略规则。

Windows 防火墙组策略设臵已更改，并且未应用新设臵。

Windows 防火墙更改活动配臵文件。

Windows 防火墙未应用以下规则：

因为规则引用的项目未在此计算机上配臵 Windows 防火墙未应用下面的规则：

尝试以编程方式禁用 Windows 防火墙使用

llEnabled(FALSE) 接口的调用被拒绝

TBS 的本地策略设臵已更改。

TBS 的组策略设臵已更改。

试图加密提供程序操作。

试图加密上下文操作。

试图执行加密上下文修改。

试图加密函数操作。

试图执行的加密函数修改。

试图进行加密的功能提供程序操作。

试图加密函数属性操作。

试图执行的加密函数属性修改。

Windows 筛选平台筛选器已更改。

已成功地应用组策略对象中的安全策略。

6145

特殊的多用途子类别的子类别：

处理组策略对象中的安全策略时出现一个或多个错误。

4670 已更改对象上的权限。

在扩展模式下协商 IPsec 收到无效的协商数据包。如果此问题仍然存在，它可能表明存在网络问题或试图修改或重放此协商。

建立 IPsec 主模式与扩展的模式安全关联。

建立 IPsec 主模式与扩展的模式安全关联。

建立 IPsec 主模式与扩展的模式安全关联。

建立 IPsec 主模式与扩展的模式安全关联。

IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。

IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。

启动 IKE DoS 保护模式。

建立 IPsec 主模式安全关联。未启用扩展的模式。不使用证书身份验证。

建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。

主模式协商失败，IPsec。

主模式协商失败，IPsec。

IPsec 主模式安全关联的结束。

在主模式协商期间 IPsec 接收到无效的协商数据包。如果此问题仍然存在，它可能表明存在网络问题或试图修改或重放此协商。

IPsec 安全关联已被删除。

IPsec 策略代理在计算机上应用了

Active Directory IPsec 策略存储。

快速模式协商失败，IPsec。

在快速模式协商过程中 IPsec 接收到无效的协商数据包。如果此问题仍然存在，它可能表明存在网络问题或试图修改或重放此协商。

建立 IPsec 快速模式安全关联。

IPsec 快速模式安全关联的结束。

帐户被注销。

4978

4979

4980

IPsec 扩展模式

4981

4982

4983

4984

4646

4650

登录/注销

4651

4652

4653

4655

IPsec 主模式

4976

5049

5453

4654

IPsec 快速模式

4977

注销

5451

5452

4634

登录

4647

4624

4625

4648

4675

6272

6273

6274

6275

6276

网络策略服务器

6277

6278

6279

6280

4649

4778

4779

4800

4801

4802

4803

5378

5632

5633

4964

4665

4666

4667

4668

4868

4869

4870

4871

4872

4873

其他登录/注销事件

特殊的登录

生成的应用程序

对象访问

证书服务

用户启动注销过程。

帐户已成功登录。

帐户登录失败。

试图使用显式凭据登录。

Sid 被筛选。

网络策略服务器向用户授予访问权限。

网络策略服务器拒绝的用户访问。

网络策略服务器放弃用户的请求。

网络策略服务器丢弃用户记帐请求。

网络策略服务器隔离用户。

网络策略服务器授予访问权限的用户，但将其放在试用，因为主机不符合该定义的健康策略。

网络策略服务器向用户授予完全访问权限，因为主机满足定义的运行状况策略。

网络策略服务器锁定由于重复的失败的验证尝试的用户帐户。

网络策略服务器已解锁用户帐户。

检测到的重播攻击。

到窗口站重新连接会话。

从窗口站，会话已断开连接。

锁定工作站。

交互式地使用计算机。

屏幕保护程序被调用。

已关闭屏幕保护程序。

请求的凭据委派被策略禁用。

请求对无线网络进行身份验证。

请求进行身份验证的有线网络。

特殊组已分配到一个新的登录帐户。

尝试创建应用程序客户端上下文。

应用程序试图执行的操作：

应用程序客户端上下文已被删除。

应用程序已初始化。

证书管理器拒绝了挂起的证书申请。

证书服务收到重新提交的证书申请。

证书服务吊销了证书。

证书服务收到发行证书吊销列表

(CRL) 的请求。

证书服务发行了证书吊销列表

(CRL)。

更改了证书申请扩展。

4874

4875

4876

4877

4878

4879

4880

4881

4882

4883

4884

4885

4886

4887

4888

4889

4890

4891

4892

4893

4894

4895

4896

4897

4898

4899

4900

5120

5121

5122

5123

5124

5125

5126

更改一个或多个证书申请属性。

证书服务收到关闭请求。

证书服务备份已启动。

证书服务备份已完成。

已开始证书服务还原。

证书服务还原已完成。

证书服务已启动。

证书服务已停止。

证书服务的安全权限已更改。

证书服务检索到存档的密钥。

证书服务将证书导入它的数据库。

证书服务的审核筛选已更改。

证书服务收到了一个证书申请。

证书服务批准了证书申请并颁发了证书。

证书服务拒绝证书请求。

证书服务将证书请求状态设臵为挂起。

证书服务的证书管理器设臵已更改。

更改证书服务中的配臵项。

证书服务的属性已更改。

证书服务存档了密钥。

证书服务导入和存档了密钥。

证书服务发布到 Active Directory

域服务的 CA 证书。

已从证书数据库删除一行或多行。

启用角色分离：

证书服务加载模板。

已更新的证书服务模板。

更新证书模板安全服务。

OCSP 响应程序服务已启动。

OCSP 响应程序服务已停止。

更改在 OCSP 响应程序服务的配臵项。

更改在 OCSP 响应程序服务的配臵项。

OCSP 响应程序服务已更新安全设臵。

请求已提交到 OCSP 响应程序服务。

OCSP 响应程序服务已自动更新签名证书。

5127

详细的文件共享 5145

5140

5142

5143

5144

5168

4664

4985

5051

5031

文件共享

文件系统

5148

5149

5150

5151

筛选平台连接

5154

5155

5156

5157

5158

5159

5152

筛选平台数据包丢弃

5153

4656

4658

4690

4671

句柄操作

其他对象访问事件

OCSP 吊销提供程序已成功更新的吊销信息。

网络共享对象已检查以查看是否可以所需访问授予客户机。

访问网络共享对象。

已添加网络共享对象。

网络共享对象被修改。

网络共享对象已被删除。

SMB/SMB2 的 Spn 检查失败。

尝试创建硬链接。

交易记录的状态已更改。

文件的虚拟化。

Windows 防火墙服务阻止接受传入连接在网络上的应用程序。

Windows 筛选平台已检测到 DoS

攻击并进入防御模式 ；与此攻击的数据包将被丢弃。

DoS 攻击减少，正在继续正常处理。

Windows 筛选平台已阻止的数据包。

限制性更强的 Windows 筛选平台过滤器已阻止数据包。

要在端口上侦听传入连接的应用程序或服务，已允许 Windows 筛选平台。

Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。

Windows 筛选平台允许一个连接。

Windows 筛选平台已阻止连接。

Windows 筛选平台允许绑定到本地端口。

Windows 筛选平台已阻止绑定到本地端口。

Windows 筛选平台已阻止的数据包。

限制性更强的 Windows 筛选平台过滤器已阻止数据包。

请求的对象的句柄。

已关闭的对象句柄。

尝试复制一个对象的句柄。

应用程序尝试访问已阻止的序号通过进行 tbs。

4691

4698

4699

4700

4701

4702

4702

5888

5889

5890

4671

4691

4698

4699

4700

4701

4702

4702

5888

5889

5890

4657

5039

4659

4660

4661

4663

4692

4693

4694

4695

过程创建

终止的进程

RPC 事件

详细的目录服务复制

4688

4696

4689

5712

4928

其他对象访问事件

注册表

特殊的多用途子类别

DPAPI 活动

进程跟踪

请求的对象的间接访问。

创建计划的任务。

计划的任务已被删除。

计划的任务已启用。

已禁用计划的任务。

已更新计划的任务。

已更新计划的任务。

在 COM + 目录中的对象已被修改。

从 COM + 目录中删除对象。

对象已添加到 COM + 目录中。

应用程序尝试访问已阻止的序号通过进行 tbs。

请求的对象的间接访问。

创建计划的任务。

计划的任务已被删除。

计划的任务已启用。

已禁用计划的任务。

已更新计划的任务。

已更新计划的任务。

在 COM + 目录中的对象已被修改。

从 COM + 目录中删除对象。

对象已添加到 COM + 目录中。

已修改的注册表值。

注册表项被虚拟化。

旨在通过来删除请求的对象的句柄。

对象已被删除。

请求的对象的句柄。

试图访问的对象。

尝试进行备份的数据保护主密钥。

试图恢复数据保护主密钥。

试图执行的可审核的受保护数据的保护。

试图执行的可审核的受保护数据的

unprotection。

已创建一个新的进程。

一个主令牌被分配来处理。

进程已退出。

试图远程过程调用 (RPC)。

已建立一个 Active Directory 复制副本源的命名上下文。

4929

4930

4931

4934

4935

4936

4937

4662

5136

5137

5138

5139

5141

4932

目录服务复制

4933

特权使用

敏感权限使用 / 非敏感权限使用

4672

4673

4674

目录服务访问

目录服务更改

4960

系统

IPsec 驱动程序

4961

4962

4963

已删除 Active Directory 复制副本源的命名上下文。

Active Directory 复制副本源命名上下文已被修改。

Active Directory 复制副本目标命名上下文已被修改。

Active Directory 对象的属性被复制。

开始复制失败。

结束复制失败。

从副本中删除延迟对象。

在对象上执行操作。

目录服务对象已被修改。

创建目录服务对象。

未删除目录服务对象。

目录服务对象已移动。

目录服务对象已被删除。

Active Directory 命名上下文的副本的同步已开始。

Active Directory 命名上下文的副本的同步已结束。

分配给新的登录特权。

特权的服务被调用。

试图在特权对象上执行操作。

IPsec 丢弃入站的数据包的完整性检查失败

。如果此问题仍然存在，它可能表明存在网络问题或该数据包正在修改传输到这台计算机中。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误也可能表示与其他 IPsec 。

IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在，它可能表明针对此计算机的重播攻击。

IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号，以确保它不是重播。

IPsec 丢弃应该保护的入站的明文数据包。如果远程计算机的请求出站

IPsec 策略配臵，这可能是良性和预期。这也可以致更改而不通知该计算机的 IPsec 策略的远程计算机。这也可能是欺骗的攻击企图。

4965

5478

5479

5480

5483

5484

5485

5024

5025

5027

5028

其他系统事件

5029

5030

5032

5033

5034

IPsec 将数据包来自远程计算机具有不正确的安全参数索引 (SPI)。这通常是由有故障正在损坏数据包的硬件引起的。如果这些错误仍然存在，验证来自远程计算机所发送的数据包是否接收到这台计算机的相同。此错误也可能表示与其他 IPsec

IPsec 策略代理服务已启动。

IPsec 服务已成功关闭。IPsec 服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。

IPsec 策略代理无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险，因为某些网络接口可能不会得到应用的 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用，用来诊断问题。

IPsec 策略代理服务未能初始化其

RPC 服务器。无法启动该服务。

IPsec 策略代理服务遇到严重故障，并且已关闭。关闭此服务，可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。

IPsec 策略代理无法处理网络接口上的即插即用播放事

Windows 防火墙服务已成功启动。

Windows 防火墙服务已停止。

Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。

Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。

Windows 防火墙服务无法初始化该驱动程序。Windows 防火墙将继续执行当前的策略。

Windows 防火墙服务无法启动。

Windows 防火墙不能以通知用户它阻止接受传入连接在网络上的应用程序。

Windows 防火墙驱动程序已成功启动。

Windows 防火墙驱动程序已停止。

5035

5037

5058

5059

6400

6401

6403

6404

6405

6406

6407

4608

4616

安全状态更改

4621

4608

4616

安全状态更改

4621

4610

4611

4614

4622

4697

4612

系统完整性

4615

4618

4816

安全系统扩展

Windows 防火墙驱动程序启动失败。

Windows 防火墙驱动程序检测到严重的运行时错误，正在终止。

密钥文件操作。

键迁移操作。

发现内容的可用性时，分支缓存： 收到格式不正确的响应。

分支缓存： 来自对等方接收到无效的数据。数据丢失。

分支缓存： 托管的缓存发送格式不正确的响应客户端。

分支缓存： 托管的缓存无法验证使用资源调配的 SSL 证书。

分支缓存： %2 实例 id 为 %1 的事件的发生。

到 Windows 防火墙注册为以下用于筛选的控件的 %1: %2

0.01

Windows 正在启动。

更改系统时间。

管理员已禁用组从恢复系统。现在将允许非管理员用户登录。可能尚未记录一些可审核的活动。

Windows 正在启动。

更改系统时间。

管理员已禁用组从恢复系统。现在将允许非管理员用户登录。可能尚未记录一些可审核的活动。

已由本地安全机构加载身份验证程序包。

受信任的登录进程已具有本地安全机构注册。

安全帐户管理器已加载通知程序包。

安全程序包已由本地安全机构加载。

在系统中已安装的服务。

进行的审核消息进行排队而分配的内部资源已用尽，从而导致丢失的一些审计。

使用 LPC 端口无效。

监视的安全事件模式出现。

RPC 检测解密传入消息时存在完整性冲突。

5038

5056

5057

5060

5061

5062

6281

凭据验证

4774

4775

4776

4777

4768

帐户登录

Kerberos 身份验证服务

Kerberos 服务票据操作

应用程序组管理

帐户管理

计算机帐户管理

4771

4772

4769

4770

4773

4783

4784

4785

4786

4787

4788

4789

4790

4791

4792

4741

4742

4743

4744

4745

4746

4747

通讯组管理

代码完整性取决于文件的图像哈希是无效。该文件可能会损坏原因是未经授权的修改或无效的哈希可能表明存在潜在的磁盘设备错误。

执行加密的自我测试。

加密基元操作失败。

验证操作失败。

加密操作。

执行内核模式加密自检。

代码完整性确定图像文件的网页哈希值无效。该文件可能会不正确地签名而无需页面哈希或损坏原因是未经授权的修改。无效的哈希值可能表明存在潜在的磁盘设备错误

帐户进行的登录映射

无法映射的登录帐户

计算机试图验证的帐户凭据

域控制器无法验证帐户的凭据

Kerberos 身份验证票证 (TGT) 请求

Kerberos 预身份验证失败

Kerberos 身份验证票证请求失败

Kerberos 服务票证请求

Kerberos 服务票证续订

Kerberos 服务票证请求失败

已创建基本应用程序组。

基本应用程序组已更改。

已将成员添加到基本应用程序组。

已从基本应用程序组中删除成员。

非成员被添加到基本应用程序组。

非成员已从基本应用程序组。

基本应用程序组已被删除。

已创建 LDAP 查询组。

基本应用程序组已更改。

LDAP 查询组已被删除。

计算机帐户已创建。

计算机帐户已更改。

计算机帐户已被删除。

已创建禁用安全的本地组。

禁用安全的本地组已更改。

已将成员添加到禁用安全的本地组中。

成员已从禁用安全的本地组中删除。

其他帐户管理事件

安全组管理

用户帐户管理

4748

4749

4750

4751

4752

4753

4759

4760

4761

4762

4782

4793

4727

4728

4729

4730

4731

4732

4733

4734

4735

4737

4754

4755

4756

4757

4758

4764

4720

4722

4723

4724

4725

4726

4738

4740

4765

4766

4767

4780

4781

已删除禁用安全的本地组。

已创建禁用安全的全局组。

禁用安全的全局组已更改。

成员已添加至禁用安全的全局组。

成员已从禁用安全的全局组。

已删除禁用安全的全局组。

已创建禁用安全的通用组。

禁用安全的通用组已更改。

成员已添加至禁用安全的通用组。

成员已从禁用安全的通用组删除。

访问帐户的密码哈希。

密码策略检查 API 调用。

启用安全的全局组已创建。

成员已添加至已启用安全的全局组。

已从启用安全的全局组中删除成员。

启用安全的全局组已删除。

启用安全的本地组已创建。

已将成员添加到启用安全的本地组。

已从启用安全的本地组中删除成员。

启用安全的本地组已删除。

启用安全的本地组已更改。

启用安全的全局组已更改。

启用安全的通用组已创建。

启用安全的通用组已更改。

成员已添加至已启用安全的通用组。

成员已从启用安全的通用组删除。

启用安全的通用组已删除。

组的类型已更改。

用户帐户已创建。

用户帐户被启用。

尝试更改帐户的密码。

尝试重臵帐户密码。

已禁用的用户帐户。

用户帐户已被删除。

用户帐户已更改。

用户帐户被锁定。

SID 历史记录中添加了一个帐户。

要添加到帐户的 SID 历史记录的尝试失败。

用户帐户的锁定。

在管理员组成员的帐户上设臵

ACL。

帐户名称已更改：

4794 尝试设臵目录服务还原模式。

5376 凭据管理器的凭据进行备份。

5377 凭据管理器的凭据已从备份中还原。