您的位置:首页 > 其它

关于AD账户锁定的经验分享

2020-04-28 23:04 3435 查看


账号锁定是怎么发生的?

      通常情况下,当账户输入了错误的密码,经过身份验证的域控制会将请求传递给拥有PDC角色的DC服务器。PDC始终持有账户的最新密码。因此当输入错误的密码时PDC会检查其数据库中的密码与其比对。如果不正确,则PDC将该账户的badPwdCount属性加1,并且将这次无效的登陆记录在安全事件日志中。如果badPwdCount达到账户锁定的阈值,DC将锁定该账户并通知其他域控制器,并在其安全事件中记录事件ID4740。

如何查看PDC角色呢?

(Get-addomain).PDCEmulator

如何查看账户是否已达到其锁定阈值呢?

Get-ADUser zhangsan -Properties * |fl BadLogonCount,logonCount,LastBadPasswordAttempt,badPwdCount,DisplayName,LockedOut,AccountLockoutTime

账号锁定从域控角度分析可以得到那些信息呢?

       对于分析用户锁定中的DC日志,是一件非常耗时的事情。但是你又不得不做。分析日志通常情况下会让你很沮丧,推荐你使用一款日志分析工具 Event Log Explorer 它是收费的,你可以试用30天

       当用户反馈账户锁定时,会在PDC中产生一条ID为4740的日志,你可以从这条日志中得到锁定的用户名,时间,源自那台计算机。

       这时你需要观察时间轴附近是否有关于此用户的锁定日志,这很关键。根据我的经验,时间轴附近会出现几条ID为4771的Kerberos认证失败的日志。你可以在这些日志中客户端IP,认证失败代码,预身份验证类型等信息。在实践中,如果您的DC有多个站点,Client address 会是客户端最近访问的DC IP地址。

除此之外,我们在发送账户锁定时,需要关注一下事件ID

ID

描述

4740

用户账户被锁定

4625

账户登陆失败

4771

Kerberos 预身份验证失败

4776

DC尝试验证身份凭据

4777

DC无法验证身份凭据

4770

Kerberos服务票据已更新

4624

账户已登陆成功

4648

尝试使用显示凭据(即计划任务或运行方式)登陆

4746

账户已解锁

       对帐户进行故障排除时,我会寻找可能导致4740锁定事件的4625个事件组。4740中的消息将告诉您最终导致锁定的原因。请记住,尽管4625报告登录失败,但不一定是罪魁祸首。可能只是失败了,因为帐户已被锁定,如下面的4625示例所示。你可以在此ID中得到用户的登陆类型,失败状态,失败代码,及进程信息。这有助于你分析是那个应用程序导致的,关于日志分析,你需要参考微软官方https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625


什么导致的账号锁定呢?

导致账号锁定的原因有很多,我大概整理了以下几点

1、程序:许多程序会缓存凭据或保留活动线程,以便在用户更改密码后保留凭据

2、服务帐户:服务帐户密码由服务控制管理器在使用该帐户以及域控制器的成员计算机上缓存。如果您重置服务帐户的密码,并且未在服务控制管理器中重置密码,则会发生服务帐户的帐户锁定。这是因为使用此帐户的计算机通常使用以前的密码重试登录身份验证。若要确定是否发生这种情况,请在成员计算机上的Netlogon日志文件和事件日志文件中查找模式。然后,您可以将服务控制管理器配置为使用新密码并避免将来的帐户锁定。

3、错误密码阈值设置得太低:这是最常见的配置错误问题之一。许多公司将“错误密码阈值”注册表值设置为低于默认值10的值。如果将此值设置得太低,则当程序自动重试无效的密码时,就会发生错误的锁定。Microsoft建议您将此值保留为默认值10。有关更多信息,请参见本文档中的“选择部署的帐户锁定设置”。

4、用户登录多台计算机:用户可以一次登录多台计算机。这些计算机上运行的程序可以使用当前登录用户的用户凭据访问网络资源。如果用户在其中一台计算机上更改了密码,则在其他计算机上运行的程序可能会继续使用原始密码。由于这些程序在请求访问网络资源时会进行身份验证,因此继续使用旧密码,并且用户帐户被锁定。为确保不会发生此行为,用户应注销所有计算机,从一个位置更改密码,然后注销并重新登录。

5、存储的用户名和密码保留冗余凭据:如果任何保存的凭据与登录凭据相同,则应删除这些凭据。凭据是多余的,因为Windows在找不到显式凭据时会尝试登录凭据。要删除登录凭据,请使用“存储的用户名和密码”工具

6、计划的任务:可以将计划的进程配置为使用已过期的凭据

7、永久驱动器映射:永久驱动器可能已使用随后过期的凭据建立。如果用户在尝试连接到共享时键入显式凭据,则该凭据不是持久性的,除非已由“存储的用户名和密码”显式保存。每当用户注销网络,登录网络或重新启动计算机时,Windows尝试还原连接时,身份验证尝试都会失败,因为没有存储的凭据。若要避免此行为,请配置net use,以使其不会建立持久连接。为此,在命令提示符下,键入net use / persistent:no。或者,要确保将当前凭据用于持久驱动器,请断开连接并重新连接持久驱动器。

8、服务帐户:默认情况下,大多数计算机服务都配置为在本地系统帐户的安全上下文中启动。但是,您可以手动配置服务以使用特定的用户帐户和密码。如果将服务配置为以特定的用户帐户开头,并且更改了帐户密码,则必须使用新密码更新服务登录属性,否则该服务可能会锁定该帐户。

9、时钟偏差过大:默认情况下客户端向DC发起kerberos认证嗅探,与DC中GPO设置的是计算机时钟同步的最大容差并在其范围呢,kerberos认证都是失败的

10、心怀不满的员工可能会故意锁定其经理的帐户

11、***可能试图通过各种手段来猜测某人的密码,例如暴力***

如何缓解密码锁定的问题呢?

1、分析其客户端及服务端日志

2、启用Netlogon日志记录,分析其日志

3、rundll32.exe keymgr.dll, KRShowKeyMgr 删除客户端缓存凭据

4、在运行中输入msconfig,禁用所有非microsoft服务

5、将错误密码阈值设置为有效的***范围次数

6、在个人账户中勾选不要求Kerberos预身份认证,此项会引起安全隐患(谨慎)

7、禁用其它无关的计划任务

我相信下面的代码表,更有助于你解决问题。

keberos错误代码表

0x0        KDC_ERR_NONE        没错

0x1        KDC_ERR_NAME_EXP        客户在KDC数据库中的条目具有(ERROR_ACCOUNT_EXPIRED)

0x2        KDC_ERR_SERVICE_EXP        KDC数据库中的服务器条目已过期(ERROR_ACCOUNT_EXPIRED)

0x3        KDC_ERR_BAD_PVNO        请求的Kerberos版本号不受支持

0x4        KDC_ERR_C_OLD_MAST_KVNO        客户的密钥在旧的主密钥中加密

0x5        KDC_ERR_S_OLD_MAST_KVNO        服务器的密钥在旧的主密钥中加密

0x6        KDC_ERR_C_PRINCIPAL_UNKNOWN        在Kerberos数据库中找不到客户端

0x7        KDC_ERR_S_PRINCIPAL_UNKNOWN        在Kerberos数据库中找不到服务器

0x8        KDC_ERR_PRINCIPAL_NOT_UNIQUE        KDC数据库中的多个主体条目

0x9        KDC_ERR_NULL_KEY        客户端或服务器具有空键(主键)

0xA        KDC_ERR_CANNOT_POSTDATE        机票(TGT)不符合过期要求

0xB        KDC_ERR_NEVER_VALID        请求的开始时间晚于结束时间

0xC        KDC_ERR_POLICY        请求的开始时间晚于结束时间

0xD        KDC_ERR_BADOPTION        KDC无法容纳请求的选项

0xE        KDC_ERR_ETYPE_NOTSUPP        KDC不支持加密类型

0xF        KDC_ERR_SUMTYPE_NOSUPP        KDC不支持校验和类型

0x10        KDC_ERR_PADATA_TYPE_NOSUPP        KDC不支持PADATA类型(Kerberos预身份验证数据)

0x11        KDC_ERR_TRTYPE_NO_SUPP        KDC不支持过渡类型

0x12        KDC_ERR_CLIENT_REVOKED        客户的凭证已被吊销

0x13        KDC_ERR_SERVICE_REVOKED        服务器的凭据已被吊销

0x14        KDC_ERR_TGT_REVOKED        TGT已被撤销

0x15        KDC_ERR_CLIENT_NOTYET        客户尚未生效-请稍后再试

0x16        KDC_ERR_SERVICE_NOTYET        服务器尚未生效-请稍后再试

0x17        KDC_ERR_KEY_EXPIRED        密码已过期-更改密码以重设(密码已过期)

0x18        KDC_ERR_PREAUTH_FAILED        Kerberos预身份验证信息无效

0x19        KDC_ERR_PREAUTH_REQUIRED        附加的Kerberos预认证所需

0x1A        KDC_ERR_SERVER_NOMATCH        KDC不知道请求的服务器

0x1B        KDC_ERR_SVC_UNAVAILABLE        KDC不可用

0x1F        KRB_AP_ERR_BAD_INTEGRITY        解密字段的完整性检查失败

0x20        KRB_AP_ERR_TKT_EXPIRED        票已过期

0x21        KRB_AP_ERR_TKT_NYV        票证尚未生效

0x22        KRB_AP_ERR_REPEAT        请求是重播

0x23        KRB_AP_ERR_NOT_US        门票不适合我们

0x24        KRB_AP_ERR_BADMATCH        票证和验证码不匹配

0x25        KRB_AP_ERR_SKEW        该时钟偏差过大

0x26        KRB_AP_ERR_BADADDR        网络层标头中的网络地址与票证中的地址不匹配

0x27        KRB_AP_ERR_BADVERSION        协议版本号不匹配(PVNO)

0x28        KRB_AP_ERR_MSG_TYPE        邮件类型不受支持

0x29        KRB_AP_ERR_MODIFIED        消息流已修改且校验和不匹配

0x2A        KRB_AP_ERR_BADORDER        消息混乱(可能会被篡改)

0x2C        KRB_AP_ERR_BADKEYVER        指定的密钥版本不可用

0x2D        KRB_AP_ERR_NOKEY        服务密钥不可用

0x2E        KRB_AP_ERR_MUT_FAIL        相互认证失败

0x2F        KRB_AP_ERR_BADDIRECTION        错误的消息方向

0x30        KRB_AP_ERR_METHOD        需要替代的身份验证方法(通常与LDAP_STRONG_AUTH_REQUIRED相同)

0x31        KRB_AP_ERR_BADSEQ        消息中的序列号不正确

0x32        KRB_AP_ERR_INAPP_CKSUM        消息中校验和的类型不正确(校验和可能不受支持)

0x33        KRB_AP_PATH_NOT_ACCEPTED        所需路径无法到达

0x34        KRB_ERR_RESPONSE_TOO_BIG        资料过多

0x3C        KRB_ERR_GENERIC        通用错误;说明在电子数据字段中

0x3D        KRB_ERR_FIELD_TOOLONG        此执行的字段太长

0x3E        KDC_ERR_CLIENT_NOT_TRUSTED        客户端信任失败或未实现

0x3F        KDC_ERR_KDC_NOT_TRUSTED        在KDC服务器的信任失败或无法核实

0x40        KDC_ERR_INVALID_SIG        该签名是无效

0x41        KDC_ERR_KEY_TOO_WEAK        需要更高的加密级别(通常与LDAP_STRONG_AUTH_REQUIRED相同)

0x42        KRB_AP_ERR_USER_TO_USER_REQUIRED        用户到用户的授权需要

0x43        KRB_AP_ERR_NO_TGT        没有显示或没有TGT

0x44        KDC_ERR_WRONG_REALM        域或主体不正确(Kerberos领域)

 

Windows Server or Windows 10 常用Evend ID 表

  • 1100 –事件记录服务已关闭

  • 1101 –运输已删除审核事件。

  • 1102 –审核日志已清除

  • 1104 –安全日志现在已满

  • 1105 –事件日志自动备份

  • 1108 –事件记录服务遇到错误

  • 4608 – Windows正在启动

  • 4609 – Windows关闭

  • 4610 –本地安全机构已加载身份验证包

  • 4611 –已向本地安全局注册了受信任的登录过程

  • 4612 –用于排队审核消息的内部资源已经用尽,导致丢失了一些审核。

  • 4614 –安全帐户管理器已加载通知包。

  • 4615 – LPC端口无效使用

  • 4616 –系统时间已更改。

  • 4618 –发生了受监视的安全事件模式

  • 4621 –管理员从CrashOnAuditFail恢复了系统

  • 4622 –本地安全机构已加载安全软件包。

  • 4624 –一个帐户已成功登录

  • 4625 –帐户登录失败

  • 4626 –用户/设备声明信息

  • 4627 –组成员信息。

  • 4634 –帐户已注销

  • 4646 – IKE DoS预防模式开始

  • 4647 –用户启动的注销

  • 4648 –使用显式凭据尝试登录

  • 4649 –检测到重播***

  • 4650 –建立了IPsec主模式安全性关联

  • 4651 –建立了IPsec主模式安全关联

  • 4652 – IPsec主模式协商失败

  • 4653 – IPsec主模式协商失败

  • 4654 – IPsec快速模式协商失败

  • 4655 – IPsec主模式安全性关联结束

  • 4656 –请求了对象的句柄

  • 4657 –注册表值被修改

  • 4658 –对象的句柄已关闭

  • 4659 –请求删除对象的句柄以进行删除

  • 4660 –对象已删除

  • 4661 –请求了对象的句柄

  • 4662 –对对象执行了操作

  • 4663 –试图访问一个对象

  • 4664 –试图创建硬链接

  • 4665 –尝试创建应用程序客户端上下文。

  • 4666 –应用程序尝试执行操作

  • 4667 –应用程序客户端上下文已删除

  • 4668 –应用程序已初始化

  • 4670 –对对象的权限已更改

  • 4671 –应用程序试图通过TBS访问被阻止的序号

  • 4672 –分配给新登录的特殊特权

  • 4673 –特权服务被称为

  • 4674 –尝试对特权对象进行操作

  • 4675 – SID被过滤

  • 4688 –创建了一个新过程

  • 4689 –进程已退出

  • 4690 –尝试将手柄复制到对象

  • 4691 –请求间接访问对象

  • 4692 –尝试备份数据保护主密钥

  • 4693 –尝试恢复数据保护主密钥

  • 4694 –尝试保护可审核的受保护数据

  • 4695 –试图取消对可审核受保护数据的保护

  • 4696 –主令牌已分配给进程

  • 4697 –系统中安装了服务

  • 4698 –创建了计划任务

  • 4699 –计划的任务已删除

  • 4700 –启用了计划任务

  • 4701 –计划的任务被禁用

  • 4702 –计划的任务已更新

  • 4703 –令牌权已调整

  • 4704 –用户权限已分配

  • 4705 –用户权限被删除

  • 4706 –对域创建了新的信任

  • 4707 –对域的信任被删除

  • 4709 – IPsec服务已启动

  • 4710 – IPsec服务被禁用

  • 4711 – PAStore引擎(1%)

  • 4712 – IPsec服务遇到潜在的严重故障

  • 4713 – Kerberos策略已更改

  • 4714 –加密数据恢复策略已更改

  • 4715 –更改对象的审核策略(SACL)

  • 4716 –可信域信息被修改

  • 4717 –向帐户授予了系统安全访问权限

  • 4718 –从帐户中删除了系统安全性访问

  • 4719 –系统审核策略已更改

  • 4720 –创建了一个用户帐户

  • 4722 –启用了用户帐户

  • 4723 –试图更改帐户密码

  • 4724 –尝试重置帐户密码

  • 4725 –用户帐户被禁用

  • 4726 –用户帐户已删除

  • 4727年–创建了一个启用安全性的全局组

  • 4728 –将成员添加到启用了安全性的全局组中

  • 4729 –成员已从启用安全性的全局组中删除

  • 4730 –删除了启用安全性的全局组

  • 4731 –创建了启用安全性的本地组

  • 4732 –将成员添加到启用了安全性的本地组

  • 4733 –成员已从启用安全性的本地组中删除

  • 4734 –删除了启用安全性的本地组

  • 4735 –启用了安全性的本地组已更改

  • 4737 –启用安全性的全局组已更改

  • 4738 –用户帐户已更改

  • 4739 –域策略已更改

  • 4740 –用户帐户被锁定

  • 4741 –创建了计算机帐户

  • 4742 –更改了计算机帐户

  • 4743 –计算机帐户被删除

  • 4744 –禁用了安全性的本地组

  • 4745 –禁用安全的本地组已更改

  • 4746 –将成员添加到禁用安全性的本地组

  • 4747 –成员已从禁用安全的本地组中删除

  • 4748 –删除了禁用安全的本地组

  • 4749年–创建了一个禁用安全性的全局组

  • 4750年–更改了禁用安全性的全局组

  • 4751 –将成员添加到禁用安全的全局组

  • 4752 –成员已从安全禁用的全局组中删除

  • 4753 –禁用了安全性的全局组

  • 4754 –创建了启用安全性的通用组

  • 4755 –启用安全性的通用组已更改

  • 4756 –将成员添加到启用了安全性的通用组

  • 4757 –成员已从启用安全性的通用组中删除

  • 4758 –删除了启用安全性的通用组

  • 4759年–创建了一个禁用安全性的通用组

  • 4760 –禁用了安全性的通用组

  • 4761年–将成员添加到禁用安全性的通用组

  • 4762 –成员已从禁用安全的通用组中删除

  • 4763 –删除了禁用安全性的通用组

  • 4764 –群组类型已更改

  • 4765 – SID历史记录已添加到帐户

  • 4766 –尝试将SID历史记录添加到帐户失败

  • 4767 –用户帐户已解锁

  • 4768 –请求了Kerberos身份验证票证(TGT)

  • 4769 –请求了Kerberos服务票证

  • 4770 – Kerberos服务票证已更新

  • 4771 – Kerberos预身份验证失败

  • 4772 – Kerberos身份验证票证请求失败

  • 4773 – Kerberos服务票证请求失败

  • 4774 –映射了用于登录的帐户

  • 4775 –无法映射帐户进行登录

  • 4776 –域控制器尝试验证帐户的凭据

  • 4777 –域控制器无法验证帐户的凭据

  • 4778 –会话重新连接到Window Station

  • 4779 –会话已从Window Station断开连接

  • 4780 –在属于管理员组成员的帐户上设置了ACL

  • 4781 –帐户名称已更改

  • 4782 –访问帐户的密码哈希

  • 4783 –创建了一个基本的应用程序组

  • 4784 –基本的应用程序组已更改

  • 4785 –将成员添加到基本应用程序组

  • 4786 –从基本应用程序组中删除了一个成员

  • 4787 –非成员被添加到基本应用程序组

  • 4788 –从基本应用程序组中删除了一个非成员。

  • 4789 –基本的应用程序组已删除

  • 4790 – LDAP查询组已创建

  • 4791 –基本的应用程序组已更改

  • 4792 – LDAP查询组已删除

  • 4793 –密码策略检查API被调用

  • 4794 –试图设置目录服务还原模式管理员密码

  • 4797 –尝试查询帐户是否存在空白密码

  • 4798 –枚举了用户的本地组成员身份。

  • 4799 –枚举了启用安全性的本地组成员身份

  • 4800 –工作站被锁定

  • 4801 –工作站已解锁

  • 4802 –屏幕保护程序被调用

  • 4803 –屏幕保护程序被关闭了

  • 4816 – RPC在解密传入消息时检测到完整性违规

  • 4817 –对象的审核设置已更改。

  • 4818 –建议的中央访问策略未授予与当前中央访问策略相同的访问权限

  • 4819 –机器上的中央访问策略已更改

  • 4820 –      Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制

  • 4821 –      Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制

  • 4822 – NTLM身份验证失败,因为该帐户是受保护的用户组的成员

  • 4823 – NTLM身份验证失败,因为需要访问控制限制

  • 4824 –使用DES或RC4进行的Kerberos预身份验证失败,因为该帐户是受保护的用户组的成员

  • 4825 –用户被拒绝访问远程桌面。默认情况下,仅当用户是“远程桌面用户”组或“管理员”组的成员时,才允许连接

  • 4826 –引导配置数据已加载

  • 4830 – SID历史记录已从帐户中删除

  • 4864 –检测到名称空间冲突

  • 4865 –添加了受信任的森林信息条目

  • 4866 –删除了受信任的森林信息条目

  • 4867年–修改了受信任的森林信息条目

  • 4868 –证书管理器拒绝了挂起的证书请求

  • 4869 –证书服务收到重新提交的证书请求

  • 4870 –证书服务撤销了证书

  • 4871 –证书服务收到发布证书吊销列表(CRL)的请求

  • 4872 –证书服务发布了证书吊销列表(CRL)

  • 4873 –证书申请扩展已更改

  • 4874 –一个或多个证书请求属性已更改。

  • 4875 –证书服务收到了关闭请求

  • 4876 –证书服务备份已开始

  • 4877 –证书服务备份完成

  • 4878 –证书服务还原已开始

  • 4879 –证书服务还原完成

  • 4880 –证书服务开始

  • 4881 –证书服务已停止

  • 4882 –证书服务的安全权限已更改

  • 4883 –证书服务检索了存档的密钥

  • 4884 –证书服务将证书导入其数据库

  • 4885 –证书服务的审核过滤器已更改

  • 4886 –证书服务收到证书请求

  • 4887 –证书服务批准了证书申请并颁发了证书

  • 4888 –证书服务拒绝了证书请求

  • 4889 –证书服务将证书申请的状态设置为待处理

  • 4890 –证书服务的证书管理器设置已更改。

  • 4891 –证书服务中的配置条目已更改

  • 4892 –证书服务的属性已更改

  • 4893 –证书服务已存档密钥

  • 4894 –证书服务导入并存档密钥

  • 4895年–证书服务将CA证书发布到Active Directory域服务

  • 4896 –从证书数据库中删除了一行或多行

  • 4897 –启用角色分离

  • 4898 –证书服务加载了模板

  • 4899 –证书服务模板已更新

  • 4900 –证书服务模板安全性已更新

  • 4902 –按用户审核策略表已创建

  • 4904 –尝试注册安全事件源

  • 4905 –试图注销安全事件源

  • 4906 – CrashOnAuditFail值已更改

  • 4907 –对象的审核设置已更改

  • 4908 –特殊组登录表已修改

  • 4909 – TBS的本地策略设置已更改

  • 4910 – TBS的组策略设置已更改

  • 4911 –对象的资源属性已更改

  • 4912 –每用户审核策略已更改

  • 4913 –对该对象的中央访问策略已更改

  • 4928年–建立了Active Directory副本源命名上下文

  • 4929 – Active Directory副本源命名上下文已删除

  • 4930 – Active Directory副本源命名上下文已修改

  • 4931 – Active Directory副本目标命名上下文已被修改

  • 4932 – Active Directory命名上下文副本的同步已开始

  • 4933 – Active      Directory命名上下文的副本的同步已结束

  • 4934年–复制了Active Directory对象的属性

  • 4935 –复制失败开始

  • 4936 –复制失败结束

  • 4937 –从复制品中删除了挥之不去的对象

  • 4944 – Windows防火墙启动时,以下策略处于活动状态

  • 4945 – Windows防火墙启动时列出了一条规则

  • 4946 – Windows防火墙例外列表已进行更改。添加了规则

  • 4947 – Windows防火墙例外列表已更改。规则已修改

  • 4948 – Windows防火墙例外列表已更改。规则已删除

  • 4949 – Windows防火墙设置已恢复为默认值

  • 4950 – Windows防火墙设置已更改

  • 4951 –由于Windows防火墙无法识别其主要版本号,因此该规则已被忽略

  • 4952 –规则的一部分已被忽略,因为Windows防火墙无法识别其次要版本号

  • 4953 – Windows防火墙已忽略了一个规则,因为它无法解析该规则

  • 4954 – Windows防火墙组策略设置已更改。新设置已应用

  • 4956 – Windows防火墙更改了活动配置文件

  • 4957 – Windows防火墙未应用以下规则

  • 4958 –      Windows防火墙未应用以下规则,因为该规则涉及此计算机上未配置的项目

  • 4960 – IPsec丢弃了完整性检查失败的入站数据包

  • 4961 – IPsec丢弃了未能通过重播检查的入站数据包

  • 4962 – IPsec丢弃了未能通过重播检查的入站数据包

  • 4963 – IPsec丢弃了本应保护的入站明文数据包

  • 4964 –特殊组已分配给新登录

  • 4965 –      IPsec从远程计算机收到了一个带有错误安全参数索引(SPI)的数据包。

  • 4976 –在主模式协商期间,IPsec收到无效的协商数据包。

  • 4977 –在快速模式协商期间,IPsec收到无效的协商数据包。

  • 4978 –在扩展模式协商期间,IPsec收到无效的协商数据包。

  • 4979 –建立了IPsec主模式和扩展模式安全关联。

  • 4980 –建立了IPsec主模式和扩展模式安全关联

  • 4981 –建立了IPsec主模式和扩展模式安全关联

  • 4982 –建立了IPsec主模式和扩展模式安全关联

  • 4983 – IPsec扩展模式协商失败

  • 4984 – IPsec扩展模式协商失败

  • 4985 –交易状态已更改

  • 5024 – Windows防火墙服务已成功启动

  • 5025 – Windows防火墙服务已停止

  • 5027 – Windows防火墙服务无法从本地存储中检索安全策略

  • 5028 – Windows防火墙服务无法解析新的安全策略。

  • 5029 – Windows防火墙服务无法初始化驱动程序

  • 5030 – Windows防火墙服务无法启动

  • 5031 –      Windows防火墙服务阻止了应用程序接受网络上的传入连接。

  • 5032 –      Windows防火墙无法通知用户它阻止了应用程序接受网络上的传入连接

  • 5033 – Windows防火墙驱动程序已成功启动

  • 5034 – Windows防火墙驱动程序已停止

  • 5035 – Windows防火墙驱动程序无法启动

  • 5037 – Windows防火墙驱动程序检测到严重的运行时错误。终止

  • 5038 –代码完整性确定文件的图像哈希无效

  • 5039 –注册表项已虚拟化。

  • 5040 – IPsec设置已更改。身份验证集已添加。

  • 5041 – IPsec设置已更改。身份验证集已修改

  • 5042 – IPsec设置已更改。身份验证集已删除

  • 5043 – IPsec设置已更改。连接安全规则已添加

  • 5044 – IPsec设置已更改。连接安全规则已修改

  • 5045 – IPsec设置已更改。连接安全规则已删除

  • 5046 – IPsec设置已更改。加密集已添加

  • 5047 – IPsec设置已更改。加密集已修改

  • 5048 – IPsec设置已更改。加密集已删除

  • 5049 – IPsec安全关联已删除

  • 5050 –尝试使用对INetFwProfile.FirewallEnabled(FALSE的调用来以编程方式禁用Windows防火墙

  • 5051 –文件已虚拟化

  • 5056 –进行了密码自检

  • 5057 –加密原始操作失败

  • 5058 –密钥文件操作

  • 5059 –密钥迁移操作

  • 5060 –验证操作失败

  • 5061 –加密操作

  • 5062 –进行了内核模式密码自检

  • 5063 –尝试进行密码提供程序操作

  • 5064 –尝试进行加密上下文操作

  • 5065 –尝试修改密码上下文

  • 5066 –尝试进行密码功能操作

  • 5067 –尝试修改密码功能

  • 5068 –尝试进行加密功能提供程序操作

  • 5069 –尝试进行加密功能属性操作

  • 5070 –尝试进行加密功能属性操作

  • 5071 – Microsoft密钥分发服务拒绝了密钥访问

  • 5120 – OCSP响应器服务已启动

  • 5121 – OCSP响应器服务已停止

  • 5122 – OCSP响应程序服务中的配置条目已更改

  • 5123 – OCSP响应程序服务中的配置条目已更改

  • 5124 – OCSP响应程序服务上的安全设置已更新

  • 5125 –向OCSP响应者服务提交了一个请求

  • 5126 – OCSP响应者服务自动更新了签名证书

  • 5127 – OCSP吊销提供者成功更新了吊销信息

  • 5136 –目录服务对象已被修改

  • 5137 –创建了目录服务对象

  • 5138 –目录服务对象被取消删除

  • 5139 –目录服务对象已移动

  • 5140 –网络共享对象被访问

  • 5141 –目录服务对象已删除

  • 5142 –添加了网络共享对象。

  • 5143 –网络共享对象被修改

  • 5144 –网络共享对象已删除。

  • 5145 –检查网络共享对象以查看是否可以向客户端授予所需的访问权限

  • 5146 – Windows筛选平台已阻止数据包

  • 5147 –限制性更强的Windows筛选平台筛选器阻止了数据包

  • 5148 – Windows筛选平台已检测到DoS***并进入防御模式

  • 5149 – DoS***已平息,并且正在恢复正常处理。

  • 5150 – Windows筛选平台已阻止数据包。

  • 5151 –限制性更强的Windows筛选平台筛选器阻止了数据包。

  • 5152 – Windows筛选平台阻止了数据包

  • 5153 –限制性更强的Windows筛选平台筛选器阻止了数据包

  • 5154 –      Windows筛选平台已允许应用程序或服务在端口上侦听传入连接

  • 5155 –      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接

  • 5156 – Windows筛选平台已允许连接

  • 5157 – Windows筛选平台已阻止连接

  • 5158 – Windows筛选平台已允许绑定到本地端口

  • 5159 – Windows筛选平台已阻止绑定到本地端口

  • 5168 – SMB / SMB2的Spn检查失败。

  • 5169 –目录服务对象已被修改

  • 5170 –在后台清理任务期间修改了目录服务对象

  • 5376 –备份了凭据管理器凭据

  • 5377 –从备份中还原了凭据管理器凭据

  • 5378 –政策不允许所请求的凭据委派

  • 5379 –读取了凭据管理器凭据

  • 5380 –保管箱查找凭证

  • 5381 –读取了保险柜凭证

  • 5382 –读取了保险柜凭证

  • 5440 – Windows Filtering      Platform基本筛选引擎启动时,出现以下标注

  • 5441 – Windows筛选平台基础筛选引擎启动时,存在以下筛选器

  • 5442 – Windows筛选平台基础筛选引擎启动时,存在以下提供程序

  • 5443 –      Windows筛选平台基础筛选引擎启动时,存在以下提供程序上下文

  • 5444 – Windows筛选平台基础筛选引擎启动时,存在以下子层

  • 5446 – Windows筛选平台标注已更改

  • 5447 – Windows Filtering      Platform筛选器已更改

  • 5448 – Windows Filtering      Platform提供程序已更改

  • 5449 – Windows Filtering      Platform提供程序上下文已更改

  • 5450 – Windows Filtering      Platform子层已更改

  • 5451 –建立了IPsec快速模式安全关联

  • 5452 – IPsec快速模式安全关联结束

  • 5453 –与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP      IPsec密钥模块(IKEEXT)服务

  • 5456 – PAStore Engine在计算机上应用了Active      Directory存储IPsec策略

  • 5457 – PAStore引擎无法在计算机上应用Active      Directory存储IPsec策略

  • 5458 – PAStore引擎在计算机上应用了Active      Directory存储IPsec策略的本地缓存副本

  • 5459 – PAStore引擎无法在计算机上应用Active      Directory存储IPsec策略的本地缓存副本

  • 5460 – PAStore      Engine在计算机上应用了本地注册表存储IPsec策略

  • 5461 – PAStore      Engine无法在计算机上应用本地注册表存储IPsec策略

  • 5462 –      PAStore引擎无法在计算机上应用活动IPsec策略的某些规则

  • 5463 –      PAStore引擎轮询了活动IPsec策略的更改,但未检测到更改

  • 5464 – PAStore      Engine轮询了活动IPsec策略的更改,检测到更改并将其应用于IPsec服务

  • 5465 – PAStore      Engine收到了用于强制重新加载IPsec策略的控件,并成功处理了该控件

  • 5466 – PAStore引擎轮询了Active Directory      IPsec策略的更改,确定无法访问Active Directory,并将改用Active Directory IPsec策略的缓存副本

  • 5467 – PAStore引擎轮询了Active Directory      IPsec策略的更改,确定可以访问Active Directory,并且没有发现对策略的更改

  • 5468 – PAStore引擎轮询了Active Directory      IPsec策略的更改,确定可以访问Active Directory,找到了对策略的更改,并应用了这些更改

  • 5471 – PAStore      Engine在计算机上加载了本地存储IPsec策略

  • 5472 – PAStore引擎无法在计算机上加载本地存储IPsec策略

  • 5473 –计算机上的PAStore      Engine加载的目录存储IPsec策略

  • 5474 – PAStore引擎无法在计算机上加载目录存储IPsec策略

  • 5477 – PAStore引擎无法添加快速模式过滤器

  • 5478 – IPsec服务已成功启动

  • 5479 – IPsec服务已成功关闭

  • 5480 – IPsec服务无法获取计算机上网络接口的完整列表

  • 5483 –      IPsec服务无法初始化RPC服务器。IPsec服务无法启动

  • 5484 – IPsec服务遇到严重故障并已关闭

  • 5485 –      IPsec服务在网络接口的即插即用事件中无法处理某些IPsec筛选器

  • 5632 –提出了对无线网络进行身份验证的请求

  • 5633 –要求对有线网络进行身份验证

  • 5712 –尝试了远程过程调用(RPC)

  • 5888 – COM +目录中的对象已被修改

  • 5889 –从COM +目录中删除了一个对象

  • 5890 –对象已添加到COM +目录

  • 6144 –组策略对象中的安全策略已成功应用

  • 6145 –在组策略对象中处理安全策略时发生一个或多个错误

  • 6272 –网络策略服务器授予用户访问权限

  • 6273 –网络策略服务器拒绝访问用户

  • 6274 –网络策略服务器放弃了对用户的请求

  • 6275 –网络策略服务器放弃了对用户的记帐请求

  • 6276 –网络策略服务器隔离了用户

  • 6277 –网络策略服务器授予了用户访问权限,但由于主机不符合所定义的健康策略而将其置于试用期

  • 6278 –网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略

  • 6279 –网络策略服务器由于反复失败的身份验证尝试而锁定了用户帐户

  • 6280 –网络策略服务器解锁了用户帐户

  • 6281 –代码完整性确定图像文件的页面哈希无效...

  • 6400 –      BranchCache:发现内容的可用性时收到格式错误的响应。

  • 6401 –      BranchCache:从对等方接收到无效数据。数据被丢弃。

  • 6402 –      BranchCache:发送给提供数据的托管缓存的消息格式不正确。

  • 6403 –      BranchCache:托管的缓存对客户端的消息发送了格式错误的响应,以为其提供数据。

  • 6404 –      BranchCache:无法使用预配的SSL证书对托管缓存进行身份验证。

  • 6405 – BranchCache:发生了事件ID为%1的%2个实例。

  • 6406 –%1已注册到Windows防火墙以控制以下各项的过滤:

  • 6407 –%1

  • 6408 –注册产品%1失败,并且Windows防火墙现在正在控制%2的筛选。

  • 6409 – BranchCache:无法分析服务连接点对象

  • 6410 –代码完整性确定文件不符合加载到进程中的安全要求。这可能是由于使用共享节或其他问题

  • 6416 –系统识别到新的外部设备。

  • 6417 – FIPS模式加密自检成功

  • 6418 – FIPS模式加密自检失败

  • 6419 –发出了禁用设备的请求

  • 6420 –设备被禁用

  • 6421 –要求启用设备

  • 6422 –设备已启用

  • 6423 –系统策略禁止安装此设备

  • 6424 –在先前禁止策略使用后,允许安装此设备

  • 8191 –最高系统定义的审核消息值


内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: