關於AD帳戶鎖定的經驗分享

時間 2020-04-29

標籤關於帳戶鎖定經驗分享简体版

原文原文鏈接

帳號鎖定是怎麼發生的？數據庫

一般狀況下，當帳戶輸入了錯誤的密碼，通過身份驗證的域控制會將請求傳遞給擁有PDC角色的DC服務器。PDC始終持有帳戶的最新密碼。所以當輸入錯誤的密碼時PDC會檢查其數據庫中的密碼與其比對。若是不正確，則PDC將該帳戶的badPwdCount屬性加1，而且將此次無效的登錄記錄在安全事件日誌中。若是badPwdCount達到帳戶鎖定的閾值，DC將鎖定該帳戶並通知其餘域控制器，並在其安全事件中記錄事件ID4740。編程

如何查看PDC角色呢？windows

(Get-addomain).PDCEmulator緩存

如何查看帳戶是否已達到其鎖定閾值呢？安全

Get-ADUser zhangsan -Properties * |fl BadLogonCount,logonCount,LastBadPasswordAttempt,badPwdCount,DisplayName,LockedOut，AccountLockoutTime服務器

帳號鎖定從域控角度分析能夠獲得那些信息呢？網絡

對於分析用戶鎖定中的DC日誌，是一件很是耗時的事情。可是你又不得不作。分析日誌一般狀況下會讓你很沮喪，推薦你使用一款日誌分析工具 Event Log Explorer 它是收費的，你能夠試用30天dom

當用戶反饋帳戶鎖定時，會在PDC中產生一條ID爲4740的日誌，你能夠從這條日誌中獲得鎖定的用戶名，時間，源自那臺計算機。ide

這時你須要觀察時間軸附近是否有關於此用戶的鎖定日誌，這很關鍵。根據個人經驗，時間軸附近會出現幾條ID爲4771的Kerberos認證失敗的日誌。你能夠在這些日誌中客戶端IP，認證失敗代碼，預身份驗證類型等信息。在實踐中，若是您的DC有多個站點，Client address 會是客戶端最近訪問的DC IP地址。工具

除此以外，咱們在發送帳戶鎖定時，須要關注一下事件ID

ID	描述
4740	用戶帳戶被鎖定
4625	帳戶登錄失敗
4771	Kerberos 預身份驗證失敗
4776	DC嘗試驗證身份憑據
4777	DC沒法驗證身份憑據
4770	Kerberos服務票據已更新
4624	帳戶已登錄成功
4648	嘗試使用顯示憑據（即計劃任務或運行方式）登錄
4746	帳戶已解鎖

對賬戶進行故障排除時，我會尋找可能致使4740鎖定事件的4625個事件組。4740中的消息將告訴您最終致使鎖定的緣由。請記住，儘管4625報告登陸失敗，但不必定是罪魁禍首。可能只是失敗了，由於賬戶已被鎖定，以下面的4625示例所示。你能夠在此ID中獲得用戶的登錄類型，失敗狀態，失敗代碼，及進程信息。這有助於你分析是那個應用程序致使的，關於日誌分析，你須要參考微軟官方https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625

什麼致使的帳號鎖定呢？

致使帳號鎖定的緣由有不少，我大概整理了如下幾點

1、程序：許多程序會緩存憑據或保留活動線程，以便在用戶更改密碼後保留憑據

2、服務賬戶：服務賬戶密碼由服務控制管理器在使用該賬戶以及域控制器的成員計算機上緩存。若是您重置服務賬戶的密碼，而且未在服務控制管理器中重置密碼，則會發生服務賬戶的賬戶鎖定。這是由於使用此賬戶的計算機一般使用之前的密碼重試登陸身份驗證。若要肯定是否發生這種狀況，請在成員計算機上的Netlogon日誌文件和事件日誌文件中查找模式。而後，您能夠將服務控制管理器配置爲使用新密碼並避免未來的賬戶鎖定。

3、錯誤密碼閾值設置得過低：這是最多見的配置錯誤問題之一。許多公司將「錯誤密碼閾值」註冊表值設置爲低於默認值10的值。若是將此值設置得過低，則當程序自動重試無效的密碼時，就會發生錯誤的鎖定。Microsoft建議您將此值保留爲默認值10。有關更多信息，請參見本文檔中的「選擇部署的賬戶鎖定設置」。

4、用戶登陸多臺計算機：用戶能夠一次登陸多臺計算機。這些計算機上運行的程序可使用當前登陸用戶的用戶憑據訪問網絡資源。若是用戶在其中一臺計算機上更改了密碼，則在其餘計算機上運行的程序可能會繼續使用原始密碼。因爲這些程序在請求訪問網絡資源時會進行身份驗證，所以繼續使用舊密碼，而且用戶賬戶被鎖定。爲確保不會發生此行爲，用戶應註銷全部計算機，從一個位置更改密碼，而後註銷並從新登陸。

5、存儲的用戶名和密碼保留冗餘憑據：若是任何保存的憑據與登陸憑據相同，則應刪除這些憑據。憑據是多餘的，由於Windows在找不到顯式憑據時會嘗試登陸憑據。要刪除登陸憑據，請使用「存儲的用戶名和密碼」工具

6、計劃的任務：能夠將計劃的進程配置爲使用已過時的憑據

7、永久驅動器映射：永久驅動器可能已使用隨後過時的憑據創建。若是用戶在嘗試鏈接到共享時鍵入顯式憑據，則該憑據不是持久性的，除非已由「存儲的用戶名和密碼」顯式保存。每當用戶註銷網絡，登陸網絡或從新啓動計算機時，Windows嘗試還原鏈接時，身份驗證嘗試都會失敗，由於沒有存儲的憑據。若要避免此行爲，請配置net use，以使其不會創建持久鏈接。爲此，在命令提示符下，鍵入net use / persistent：no。或者，要確保將當前憑據用於持久驅動器，請斷開鏈接並從新鏈接持久驅動器。

8、服務賬戶：默認狀況下，大多數計算機服務都配置爲在本地系統賬戶的安全上下文中啓動。可是，您能夠手動配置服務以使用特定的用戶賬戶和密碼。若是將服務配置爲以特定的用戶賬戶開頭，而且更改了賬戶密碼，則必須使用新密碼更新服務登陸屬性，不然該服務可能會鎖定該賬戶。

9、時鐘誤差過大：默認狀況下客戶端向DC發起kerberos認證嗅探，與DC中GPO設置的是計算機時鐘同步的最大容差並在其範圍呢，kerberos認證都是失敗的

十、心懷不滿的員工可能會故意鎖定其經理的賬戶

11、***可能試圖經過各類手段來猜想某人的密碼，例如暴力***

如何緩解密碼鎖定的問題呢？

一、分析其客戶端及服務端日誌

二、啓用Netlogon日誌記錄，分析其日誌

三、rundll32.exe keymgr.dll, KRShowKeyMgr 刪除客戶端緩存憑據

4、在運行中輸入msconfig，禁用全部非microsoft服務

五、將錯誤密碼閾值設置爲有效的***範圍次數

6、在我的帳戶中勾選不要求Kerberos預身份認證，此項會引發安全隱患（謹慎）

七、禁用其它無關的計劃任務

我相信下面的代碼表，更有助於你解決問題。

keberos錯誤代碼表

0x0 KDC_ERR_NONE 沒錯

0x1 KDC_ERR_NAME_EXP 客戶在KDC數據庫中的條目具備（ERROR_ACCOUNT_EXPIRED）

0x2 KDC_ERR_SERVICE_EXP KDC數據庫中的服務器條目已過時（ERROR_ACCOUNT_EXPIRED）

0x3 KDC_ERR_BAD_PVNO 請求的Kerberos版本號不受支持

0x4 KDC_ERR_C_OLD_MAST_KVNO 客戶的密鑰在舊的主密鑰中加密

0x5 KDC_ERR_S_OLD_MAST_KVNO 服務器的密鑰在舊的主密鑰中加密

0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN 在Kerberos數據庫中找不到客戶端

0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN 在Kerberos數據庫中找不到服務器

0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE KDC數據庫中的多個主體條目

0x9 KDC_ERR_NULL_KEY 客戶端或服務器具備空鍵（主鍵）

0xA KDC_ERR_CANNOT_POSTDATE 機票（TGT）不符合過時要求

0xB KDC_ERR_NEVER_VALID 請求的開始時間晚於結束時間

0xC KDC_ERR_POLICY 請求的開始時間晚於結束時間

0xD KDC_ERR_BADOPTION KDC沒法容納請求的選項

0xE KDC_ERR_ETYPE_NOTSUPP KDC不支持加密類型

0xF KDC_ERR_SUMTYPE_NOSUPP KDC不支持校驗和類型

0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC不支持PADATA類型（Kerberos預身份驗證數據）

0x11 KDC_ERR_TRTYPE_NO_SUPP KDC不支持過渡類型

0x12 KDC_ERR_CLIENT_REVOKED 客戶的憑證已被吊銷

0x13 KDC_ERR_SERVICE_REVOKED 服務器的憑據已被吊銷

0x14 KDC_ERR_TGT_REVOKED TGT已被撤銷

0x15 KDC_ERR_CLIENT_NOTYET 客戶還沒有生效-請稍後再試

0x16 KDC_ERR_SERVICE_NOTYET 服務器還沒有生效-請稍後再試

0x17 KDC_ERR_KEY_EXPIRED 密碼已過時-更改密碼以重設（密碼已過時）

0x18 KDC_ERR_PREAUTH_FAILED Kerberos預身份驗證信息無效

0x19 KDC_ERR_PREAUTH_REQUIRED 附加的Kerberos預認證所需

0x1A KDC_ERR_SERVER_NOMATCH KDC不知道請求的服務器

0x1B KDC_ERR_SVC_UNAVAILABLE KDC不可用

0x1F KRB_AP_ERR_BAD_INTEGRITY 解密字段的完整性檢查失敗

0x20 KRB_AP_ERR_TKT_EXPIRED 票已過時

0x21 KRB_AP_ERR_TKT_NYV 票證還沒有生效

0x22 KRB_AP_ERR_REPEAT 請求是重播

0x23 KRB_AP_ERR_NOT_US 門票不適合咱們

0x24 KRB_AP_ERR_BADMATCH 票證和驗證碼不匹配

0x25 KRB_AP_ERR_SKEW 該時鐘誤差過大

0x26 KRB_AP_ERR_BADADDR 網絡層標頭中的網絡地址與票證中的地址不匹配

0x27 KRB_AP_ERR_BADVERSION 協議版本號不匹配（PVNO）

0x28 KRB_AP_ERR_MSG_TYPE 郵件類型不受支持

0x29 KRB_AP_ERR_MODIFIED 消息流已修改且校驗和不匹配

0x2A KRB_AP_ERR_BADORDER 消息混亂（可能會被篡改）

0x2C KRB_AP_ERR_BADKEYVER 指定的密鑰版本不可用

0x2D KRB_AP_ERR_NOKEY 服務密鑰不可用

0x2E KRB_AP_ERR_MUT_FAIL 相互認證失敗

0x2F KRB_AP_ERR_BADDIRECTION 錯誤的消息方向

0x30 KRB_AP_ERR_METHOD 須要替代的身份驗證方法（一般與LDAP_STRONG_AUTH_REQUIRED相同）

0x31 KRB_AP_ERR_BADSEQ 消息中的序列號不正確

0x32 KRB_AP_ERR_INAPP_CKSUM 消息中校驗和的類型不正確（校驗和可能不受支持）

0x33 KRB_AP_PATH_NOT_ACCEPTED 所需路徑沒法到達

0x34 KRB_ERR_RESPONSE_TOO_BIG 資料過多

0x3C KRB_ERR_GENERIC 通用錯誤；說明在電子數據字段中

0x3D KRB_ERR_FIELD_TOOLONG 此執行的字段太長

0x3E KDC_ERR_CLIENT_NOT_TRUSTED 客戶端信任失敗或未實現

0x3F KDC_ERR_KDC_NOT_TRUSTED 在KDC服務器的信任失敗或沒法覈實

0x40 KDC_ERR_INVALID_SIG 該簽名是無效

0x41 KDC_ERR_KEY_TOO_WEAK 須要更高的加密級別（一般與LDAP_STRONG_AUTH_REQUIRED相同）

0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED 用戶到用戶的受權須要

0x43 KRB_AP_ERR_NO_TGT 沒有顯示或沒有TGT

0x44 KDC_ERR_WRONG_REALM 域或主體不正確（Kerberos領域）

Windows Server or Windows 10 經常使用Evend ID 表

1100 –事件記錄服務已關閉
1101 –運輸已刪除審覈事件。
1102 –審覈日誌已清除
1104 –安全日誌如今已滿
1105 –事件日誌自動備份
1108 –事件記錄服務遇到錯誤
4608 – Windows正在啓動
4609 – Windows關閉
4610 –本地安全機構已加載身份驗證包
4611 –已向本地安全局註冊了受信任的登陸過程
4612 –用於排隊審覈消息的內部資源已經用盡，致使丟失了一些審覈。
4614 –安全賬戶管理器已加載通知包。
4615 – LPC端口無效使用
4616 –系統時間已更改。
4618 –發生了受監視的安全事件模式
4621 –管理員從CrashOnAuditFail恢復了系統
4622 –本地安全機構已加載安全軟件包。
4624 –一個賬戶已成功登陸
4625 –賬戶登陸失敗
4626 –用戶/設備聲明信息
4627 –組成員信息。
4634 –賬戶已註銷
4646 – IKE DoS預防模式開始
4647 –用戶啓動的註銷
4648 –使用顯式憑據嘗試登陸
4649 –檢測到重播***
4650 –創建了IPsec主模式安全性關聯
4651 –創建了IPsec主模式安全關聯
4652 – IPsec主模式協商失敗
4653 – IPsec主模式協商失敗
4654 – IPsec快速模式協商失敗
4655 – IPsec主模式安全性關聯結束
4656 –請求了對象的句柄
4657 –註冊表值被修改
4658 –對象的句柄已關閉
4659 –請求刪除對象的句柄以進行刪除
4660 –對象已刪除
4661 –請求了對象的句柄
4662 –對對象執行了操做
4663 –試圖訪問一個對象
4664 –試圖建立硬連接
4665 –嘗試建立應用程序客戶端上下文。
4666 –應用程序嘗試執行操做
4667 –應用程序客戶端上下文已刪除
4668 –應用程序已初始化
4670 –對對象的權限已更改
4671 –應用程序試圖經過TBS訪問被阻止的序號
4672 –分配給新登陸的特殊特權
4673 –特權服務被稱爲
4674 –嘗試對特權對象進行操做
4675 – SID被過濾
4688 –建立了一個新過程
4689 –進程已退出
4690 –嘗試將手柄複製到對象
4691 –請求間接訪問對象
4692 –嘗試備份數據保護主密鑰
4693 –嘗試恢復數據保護主密鑰
4694 –嘗試保護可審覈的受保護數據
4695 –試圖取消對可審覈受保護數據的保護
4696 –主令牌已分配給進程
4697 –系統中安裝了服務
4698 –建立了計劃任務
4699 –計劃的任務已刪除
4700 –啓用了計劃任務
4701 –計劃的任務被禁用
4702 –計劃的任務已更新
4703 –令牌權已調整
4704 –用戶權限已分配
4705 –用戶權限被刪除
4706 –對域建立了新的信任
4707 –對域的信任被刪除
4709 – IPsec服務已啓動
4710 – IPsec服務被禁用
4711 – PAStore引擎（1％）
4712 – IPsec服務遇到潛在的嚴重故障
4713 – Kerberos策略已更改
4714 –加密數據恢復策略已更改
4715 –更改對象的審覈策略（SACL）
4716 –可信域信息被修改
4717 –向賬戶授予了系統安全訪問權限
4718 –從賬戶中刪除了系統安全性訪問
4719 –系統審覈策略已更改
4720 –建立了一個用戶賬戶
4722 –啓用了用戶賬戶
4723 –試圖更改賬戶密碼
4724 –嘗試重置賬戶密碼
4725 –用戶賬戶被禁用
4726 –用戶賬戶已刪除
4727年–建立了一個啓用安全性的全局組
4728 –將成員添加到啓用了安全性的全局組中
4729 –成員已從啓用安全性的全局組中刪除
4730 –刪除了啓用安全性的全局組
4731 –建立了啓用安全性的本地組
4732 –將成員添加到啓用了安全性的本地組
4733 –成員已從啓用安全性的本地組中刪除
4734 –刪除了啓用安全性的本地組
4735 –啓用了安全性的本地組已更改
4737 –啓用安全性的全局組已更改
4738 –用戶賬戶已更改
4739 –域策略已更改
4740 –用戶賬戶被鎖定
4741 –建立了計算機賬戶
4742 –更改了計算機賬戶
4743 –計算機賬戶被刪除
4744 –禁用了安全性的本地組
4745 –禁用安全的本地組已更改
4746 –將成員添加到禁用安全性的本地組
4747 –成員已從禁用安全的本地組中刪除
4748 –刪除了禁用安全的本地組
4749年–建立了一個禁用安全性的全局組
4750年–更改了禁用安全性的全局組
4751 –將成員添加到禁用安全的全局組
4752 –成員已從安全禁用的全局組中刪除
4753 –禁用了安全性的全局組
4754 –建立了啓用安全性的通用組
4755 –啓用安全性的通用組已更改
4756 –將成員添加到啓用了安全性的通用組
4757 –成員已從啓用安全性的通用組中刪除
4758 –刪除了啓用安全性的通用組
4759年–建立了一個禁用安全性的通用組
4760 –禁用了安全性的通用組
4761年–將成員添加到禁用安全性的通用組
4762 –成員已從禁用安全的通用組中刪除
4763 –刪除了禁用安全性的通用組
4764 –羣組類型已更改
4765 – SID歷史記錄已添加到賬戶
4766 –嘗試將SID歷史記錄添加到賬戶失敗
4767 –用戶賬戶已解鎖
4768 –請求了Kerberos身份驗證票證（TGT）
4769 –請求了Kerberos服務票證
4770 – Kerberos服務票證已更新
4771 – Kerberos預身份驗證失敗
4772 – Kerberos身份驗證票證請求失敗
4773 – Kerberos服務票證請求失敗
4774 –映射了用於登陸的賬戶
4775 –沒法映射賬戶進行登陸
4776 –域控制器嘗試驗證賬戶的憑據
4777 –域控制器沒法驗證賬戶的憑據
4778 –會話從新鏈接到Window Station
4779 –會話已從Window Station斷開鏈接
4780 –在屬於管理員組成員的賬戶上設置了ACL
4781 –賬戶名稱已更改
4782 –訪問賬戶的密碼哈希
4783 –建立了一個基本的應用程序組
4784 –基本的應用程序組已更改
4785 –將成員添加到基本應用程序組
4786 –從基本應用程序組中刪除了一個成員
4787 –非成員被添加到基本應用程序組
4788 –從基本應用程序組中刪除了一個非成員。
4789 –基本的應用程序組已刪除
4790 – LDAP查詢組已建立
4791 –基本的應用程序組已更改
4792 – LDAP查詢組已刪除
4793 –密碼策略檢查API被調用
4794 –試圖設置目錄服務還原模式管理員密碼
4797 –嘗試查詢賬戶是否存在空白密碼
4798 –枚舉了用戶的本地組成員身份。
4799 –枚舉了啓用安全性的本地組成員身份
4800 –工做站被鎖定
4801 –工做站已解鎖
4802 –屏幕保護程序被調用
4803 –屏幕保護程序被關閉了
4816 – RPC在解密傳入消息時檢測到完整性違規
4817 –對象的審覈設置已更改。
4818 –建議的中央訪問策略未授予與當前中央訪問策略相同的訪問權限
4819 –機器上的中央訪問策略已更改
4820 – Kerberos票證授予票證（TGT）被拒絕，由於該設備不符合訪問控制限制
4821 – Kerberos服務票證被拒絕，由於用戶，設備或二者都不符合訪問控制限制
4822 – NTLM身份驗證失敗，由於該賬戶是受保護的用戶組的成員
4823 – NTLM身份驗證失敗，由於須要訪問控制限制
4824 –使用DES或RC4進行的Kerberos預身份驗證失敗，由於該賬戶是受保護的用戶組的成員
4825 –用戶被拒絕訪問遠程桌面。默認狀況下，僅當用戶是「遠程桌面用戶」組或「管理員」組的成員時，才容許鏈接
4826 –引導配置數據已加載
4830 – SID歷史記錄已從賬戶中刪除
4864 –檢測到名稱空間衝突
4865 –添加了受信任的森林信息條目
4866 –刪除了受信任的森林信息條目
4867年–修改了受信任的森林信息條目
4868 –證書管理器拒絕了掛起的證書請求
4869 –證書服務收到從新提交的證書請求
4870 –證書服務撤銷了證書
4871 –證書服務收到發佈證書吊銷列表（CRL）的請求
4872 –證書服務發佈了證書吊銷列表（CRL）
4873 –證書申請擴展已更改
4874 –一個或多個證書請求屬性已更改。
4875 –證書服務收到了關閉請求
4876 –證書服務備份已開始
4877 –證書服務備份完成
4878 –證書服務還原已開始
4879 –證書服務還原完成
4880 –證書服務開始
4881 –證書服務已中止
4882 –證書服務的安全權限已更改
4883 –證書服務檢索了存檔的密鑰
4884 –證書服務將證書導入其數據庫
4885 –證書服務的審覈過濾器已更改
4886 –證書服務收到證書請求
4887 –證書服務批准了證書申請並頒發了證書
4888 –證書服務拒絕了證書請求
4889 –證書服務將證書申請的狀態設置爲待處理
4890 –證書服務的證書管理器設置已更改。
4891 –證書服務中的配置條目已更改
4892 –證書服務的屬性已更改
4893 –證書服務已存檔密鑰
4894 –證書服務導入並存檔密鑰
4895年–證書服務將CA證書發佈到Active Directory域服務
4896 –從證書數據庫中刪除了一行或多行
4897 –啓用角色分離
4898 –證書服務加載了模板
4899 –證書服務模板已更新
4900 –證書服務模板安全性已更新
4902 –按用戶審覈策略表已建立
4904 –嘗試註冊安全事件源
4905 –試圖註銷安全事件源
4906 – CrashOnAuditFail值已更改
4907 –對象的審覈設置已更改
4908 –特殊組登陸表已修改
4909 – TBS的本地策略設置已更改
4910 – TBS的組策略設置已更改
4911 –對象的資源屬性已更改
4912 –每用戶審覈策略已更改
4913 –對該對象的中央訪問策略已更改
4928年–創建了Active Directory副本源命名上下文
4929 – Active Directory副本源命名上下文已刪除
4930 – Active Directory副本源命名上下文已修改
4931 – Active Directory副本目標命名上下文已被修改
4932 – Active Directory命名上下文副本的同步已開始
4933 – Active Directory命名上下文的副本的同步已結束
4934年–複製了Active Directory對象的屬性
4935 –複製失敗開始
4936 –複製失敗結束
4937 –從複製品中刪除了揮之不去的對象
4944 – Windows防火牆啓動時，如下策略處於活動狀態
4945 – Windows防火牆啓動時列出了一條規則
4946 – Windows防火牆例外列表已進行更改。添加了規則
4947 – Windows防火牆例外列表已更改。規則已修改
4948 – Windows防火牆例外列表已更改。規則已刪除
4949 – Windows防火牆設置已恢復爲默認值
4950 – Windows防火牆設置已更改
4951 –因爲Windows防火牆沒法識別其主要版本號，所以該規則已被忽略
4952 –規則的一部分已被忽略，由於Windows防火牆沒法識別其次要版本號
4953 – Windows防火牆已忽略了一個規則，由於它沒法解析該規則
4954 – Windows防火牆組策略設置已更改。新設置已應用
4956 – Windows防火牆更改了活動配置文件
4957 – Windows防火牆未應用如下規則
4958 – Windows防火牆未應用如下規則，由於該規則涉及此計算機上未配置的項目
4960 – IPsec丟棄了完整性檢查失敗的入站數據包
4961 – IPsec丟棄了未能經過重播檢查的入站數據包
4962 – IPsec丟棄了未能經過重播檢查的入站數據包
4963 – IPsec丟棄了本應保護的入站明文數據包
4964 –特殊組已分配給新登陸
4965 – IPsec從遠程計算機收到了一個帶有錯誤安全參數索引（SPI）的數據包。
4976 –在主模式協商期間，IPsec收到無效的協商數據包。
4977 –在快速模式協商期間，IPsec收到無效的協商數據包。
4978 –在擴展模式協商期間，IPsec收到無效的協商數據包。
4979 –創建了IPsec主模式和擴展模式安全關聯。
4980 –創建了IPsec主模式和擴展模式安全關聯
4981 –創建了IPsec主模式和擴展模式安全關聯
4982 –創建了IPsec主模式和擴展模式安全關聯
4983 – IPsec擴展模式協商失敗
4984 – IPsec擴展模式協商失敗
4985 –交易狀態已更改
5024 – Windows防火牆服務已成功啓動
5025 – Windows防火牆服務已中止
5027 – Windows防火牆服務沒法從本地存儲中檢索安全策略
5028 – Windows防火牆服務沒法解析新的安全策略。
5029 – Windows防火牆服務沒法初始化驅動程序
5030 – Windows防火牆服務沒法啓動
5031 – Windows防火牆服務阻止了應用程序接受網絡上的傳入鏈接。
5032 – Windows防火牆沒法通知用戶它阻止了應用程序接受網絡上的傳入鏈接
5033 – Windows防火牆驅動程序已成功啓動
5034 – Windows防火牆驅動程序已中止
5035 – Windows防火牆驅動程序沒法啓動
5037 – Windows防火牆驅動程序檢測到嚴重的運行時錯誤。終止
5038 –代碼完整性肯定文件的圖像哈希無效
5039 –註冊表項已虛擬化。
5040 – IPsec設置已更改。身份驗證集已添加。
5041 – IPsec設置已更改。身份驗證集已修改
5042 – IPsec設置已更改。身份驗證集已刪除
5043 – IPsec設置已更改。鏈接安全規則已添加
5044 – IPsec設置已更改。鏈接安全規則已修改
5045 – IPsec設置已更改。鏈接安全規則已刪除
5046 – IPsec設置已更改。加密集已添加
5047 – IPsec設置已更改。加密集已修改
5048 – IPsec設置已更改。加密集已刪除
5049 – IPsec安全關聯已刪除
5050 –嘗試使用對INetFwProfile.FirewallEnabled（FALSE的調用來以編程方式禁用Windows防火牆
5051 –文件已虛擬化
5056 –進行了密碼自檢
5057 –加密原始操做失敗
5058 –密鑰文件操做
5059 –密鑰遷移操做
5060 –驗證操做失敗
5061 –加密操做
5062 –進行了內核模式密碼自檢
5063 –嘗試進行密碼提供程序操做
5064 –嘗試進行加密上下文操做
5065 –嘗試修改密碼上下文
5066 –嘗試進行密碼功能操做
5067 –嘗試修改密碼功能
5068 –嘗試進行加密功能提供程序操做
5069 –嘗試進行加密功能屬性操做
5070 –嘗試進行加密功能屬性操做
5071 – Microsoft密鑰分發服務拒絕了密鑰訪問
5120 – OCSP響應器服務已啓動
5121 – OCSP響應器服務已中止
5122 – OCSP響應程序服務中的配置條目已更改
5123 – OCSP響應程序服務中的配置條目已更改
5124 – OCSP響應程序服務上的安全設置已更新
5125 –向OCSP響應者服務提交了一個請求
5126 – OCSP響應者服務自動更新了簽名證書
5127 – OCSP吊銷提供者成功更新了吊銷信息
5136 –目錄服務對象已被修改
5137 –建立了目錄服務對象
5138 –目錄服務對象被取消刪除
5139 –目錄服務對象已移動
5140 –網絡共享對象被訪問
5141 –目錄服務對象已刪除
5142 –添加了網絡共享對象。
5143 –網絡共享對象被修改
5144 –網絡共享對象已刪除。
5145 –檢查網絡共享對象以查看是否能夠向客戶端授予所需的訪問權限
5146 – Windows篩選平臺已阻止數據包
5147 –限制性更強的Windows篩選平臺篩選器阻止了數據包
5148 – Windows篩選平臺已檢測到DoS***並進入防護模式
5149 – DoS***已平息，而且正在恢復正常處理。
5150 – Windows篩選平臺已阻止數據包。
5151 –限制性更強的Windows篩選平臺篩選器阻止了數據包。
5152 – Windows篩選平臺阻止了數據包
5153 –限制性更強的Windows篩選平臺篩選器阻止了數據包
5154 – Windows篩選平臺已容許應用程序或服務在端口上偵聽傳入鏈接
5155 – Windows篩選平臺已阻止應用程序或服務偵聽端口上的傳入鏈接
5156 – Windows篩選平臺已容許鏈接
5157 – Windows篩選平臺已阻止鏈接
5158 – Windows篩選平臺已容許綁定到本地端口
5159 – Windows篩選平臺已阻止綁定到本地端口
5168 – SMB / SMB2的Spn檢查失敗。
5169 –目錄服務對象已被修改
5170 –在後臺清理任務期間修改了目錄服務對象
5376 –備份了憑據管理器憑據
5377 –從備份中還原了憑據管理器憑據
5378 –政策不容許所請求的憑據委派
5379 –讀取了憑據管理器憑據
5380 –保管箱查找憑證
5381 –讀取了保險櫃憑證
5382 –讀取了保險櫃憑證
5440 – Windows Filtering Platform基本篩選引擎啓動時，出現如下標註
5441 – Windows篩選平臺基礎篩選引擎啓動時，存在如下篩選器
5442 – Windows篩選平臺基礎篩選引擎啓動時，存在如下提供程序
5443 – Windows篩選平臺基礎篩選引擎啓動時，存在如下提供程序上下文
5444 – Windows篩選平臺基礎篩選引擎啓動時，存在如下子層
5446 – Windows篩選平臺標註已更改
5447 – Windows Filtering Platform篩選器已更改
5448 – Windows Filtering Platform提供程序已更改
5449 – Windows Filtering Platform提供程序上下文已更改
5450 – Windows Filtering Platform子層已更改
5451 –創建了IPsec快速模式安全關聯
5452 – IPsec快速模式安全關聯結束
5453 –與遠程計算機的IPsec協商失敗，由於未啓動IKE和AuthIP IPsec密鑰模塊（IKEEXT）服務
5456 – PAStore Engine在計算機上應用了Active Directory存儲IPsec策略
5457 – PAStore引擎沒法在計算機上應用Active Directory存儲IPsec策略
5458 – PAStore引擎在計算機上應用了Active Directory存儲IPsec策略的本地緩存副本
5459 – PAStore引擎沒法在計算機上應用Active Directory存儲IPsec策略的本地緩存副本
5460 – PAStore Engine在計算機上應用了本地註冊表存儲IPsec策略
5461 – PAStore Engine沒法在計算機上應用本地註冊表存儲IPsec策略
5462 – PAStore引擎沒法在計算機上應用活動IPsec策略的某些規則
5463 – PAStore引擎輪詢了活動IPsec策略的更改，但未檢測到更改
5464 – PAStore Engine輪詢了活動IPsec策略的更改，檢測到更改並將其應用於IPsec服務
5465 – PAStore Engine收到了用於強制從新加載IPsec策略的控件，併成功處理了該控件
5466 – PAStore引擎輪詢了Active Directory IPsec策略的更改，肯定沒法訪問Active Directory，並將改用Active Directory IPsec策略的緩存副本
5467 – PAStore引擎輪詢了Active Directory IPsec策略的更改，肯定能夠訪問Active Directory，而且沒有發現對策略的更改
5468 – PAStore引擎輪詢了Active Directory IPsec策略的更改，肯定能夠訪問Active Directory，找到了對策略的更改，並應用了這些更改
5471 – PAStore Engine在計算機上加載了本地存儲IPsec策略
5472 – PAStore引擎沒法在計算機上加載本地存儲IPsec策略
5473 –計算機上的PAStore Engine加載的目錄存儲IPsec策略
5474 – PAStore引擎沒法在計算機上加載目錄存儲IPsec策略
5477 – PAStore引擎沒法添加快速模式過濾器
5478 – IPsec服務已成功啓動
5479 – IPsec服務已成功關閉
5480 – IPsec服務沒法獲取計算機上網絡接口的完整列表
5483 – IPsec服務沒法初始化RPC服務器。IPsec服務沒法啓動
5484 – IPsec服務遇到嚴重故障並已關閉
5485 – IPsec服務在網絡接口的即插即用事件中沒法處理某些IPsec篩選器
5632 –提出了對無線網絡進行身份驗證的請求
5633 –要求對有線網絡進行身份驗證
5712 –嘗試了遠程過程調用（RPC）
5888 – COM +目錄中的對象已被修改
5889 –從COM +目錄中刪除了一個對象
5890 –對象已添加到COM +目錄
6144 –組策略對象中的安全策略已成功應用
6145 –在組策略對象中處理安全策略時發生一個或多個錯誤
6272 –網絡策略服務器授予用戶訪問權限
6273 –網絡策略服務器拒絕訪問用戶
6274 –網絡策略服務器放棄了對用戶的請求
6275 –網絡策略服務器放棄了對用戶的記賬請求
6276 –網絡策略服務器隔離了用戶
6277 –網絡策略服務器授予了用戶訪問權限，但因爲主機不符合所定義的健康策略而將其置於試用期
6278 –網絡策略服務器授予用戶徹底訪問權限，由於主機符合定義的健康策略
6279 –網絡策略服務器因爲反覆失敗的身份驗證嘗試而鎖定了用戶賬戶
6280 –網絡策略服務器解鎖了用戶賬戶
6281 –代碼完整性肯定圖像文件的頁面哈希無效...
6400 – BranchCache：發現內容的可用性時收到格式錯誤的響應。
6401 – BranchCache：從對等方接收到無效數據。數據被丟棄。
6402 – BranchCache：發送給提供數據的託管緩存的消息格式不正確。
6403 – BranchCache：託管的緩存對客戶端的消息發送了格式錯誤的響應，覺得其提供數據。
6404 – BranchCache：沒法使用預配的SSL證書對託管緩存進行身份驗證。
6405 – BranchCache：發生了事件ID爲％1的％2個實例。
6406 –％1已註冊到Windows防火牆以控制如下各項的過濾：
6407 –％1
6408 –註冊產品％1失敗，而且Windows防火牆如今正在控制％2的篩選。
6409 – BranchCache：沒法分析服務鏈接點對象
6410 –代碼完整性肯定文件不符合加載到進程中的安全要求。這多是因爲使用共享節或其餘問題
6416 –系統識別到新的外部設備。
6417 – FIPS模式加密自檢成功
6418 – FIPS模式加密自檢失敗
6419 –發出了禁用設備的請求
6420 –設備被禁用
6421 –要求啓用設備
6422 –設備已啓用
6423 –系統策略禁止安裝此設備
6424 –在先前禁止策略使用後，容許安裝此設備
8191 –最高系統定義的審覈消息值

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。