关于AD账户锁定的经验分享
作者:互联网
账号锁定是怎么发生的?
通常情况下,当账户输入了错误的密码,经过身份验证的域控制会将请求传递给拥有PDC角色的DC服务器。PDC始终持有账户的最新密码。因此当输入错误的密码时PDC会检查其数据库中的密码与其比对。如果不正确,则PDC将该账户的badPwdCount属性加1,并且将这次无效的登陆记录在安全事件日志中。如果badPwdCount达到账户锁定的阈值,DC将锁定该账户并通知其他域控制器,并在其安全事件中记录事件ID4740。
如何查看PDC角色呢?
(Get-addomain).PDCEmulator
如何查看账户是否已达到其锁定阈值呢?
Get-ADUser zhangsan -Properties * |fl BadLogonCount,logonCount,LastBadPasswordAttempt,badPwdCount,DisplayName,LockedOut,AccountLockoutTime
账号锁定从域控角度分析可以得到那些信息呢?
对于分析用户锁定中的DC日志,是一件非常耗时的事情。但是你又不得不做。分析日志通常情况下会让你很沮丧,推荐你使用一款日志分析工具 Event Log Explorer 它是收费的,你可以试用30天
当用户反馈账户锁定时,会在PDC中产生一条ID为4740的日志,你可以从这条日志中得到锁定的用户名,时间,源自那台计算机。
这时你需要观察时间轴附近是否有关于此用户的锁定日志,这很关键。根据我的经验,时间轴附近会出现几条ID为4771的Kerberos认证失败的日志。你可以在这些日志中客户端IP,认证失败代码,预身份验证类型等信息。在实践中,如果您的DC有多个站点,Client address 会是客户端最近访问的DC IP地址。
除此之外,我们在发送账户锁定时,需要关注一下事件ID
ID | 描述 |
4740 | 用户账户被锁定 |
4625 | 账户登陆失败 |
4771 | Kerberos 预身份验证失败 |
4776 | DC尝试验证身份凭据 |
4777 | DC无法验证身份凭据 |
4770 | Kerberos服务票据已更新 |
4624 | 账户已登陆成功 |
4648 | 尝试使用显示凭据(即计划任务或运行方式)登陆 |
4746 | 账户已解锁 |
对帐户进行故障排除时,我会寻找可能导致4740锁定事件的4625个事件组。4740中的消息将告诉您最终导致锁定的原因。请记住,尽管4625报告登录失败,但不一定是罪魁祸首。可能只是失败了,因为帐户已被锁定,如下面的4625示例所示。你可以在此ID中得到用户的登陆类型,失败状态,失败代码,及进程信息。这有助于你分析是那个应用程序导致的,关于日志分析,你需要参考微软官方https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625
什么导致的账号锁定呢?
导致账号锁定的原因有很多,我大概整理了以下几点
1、程序:许多程序会缓存凭据或保留活动线程,以便在用户更改密码后保留凭据
2、服务帐户:服务帐户密码由服务控制管理器在使用该帐户以及域控制器的成员计算机上缓存。如果您重置服务帐户的密码,并且未在服务控制管理器中重置密码,则会发生服务帐户的帐户锁定。这是因为使用此帐户的计算机通常使用以前的密码重试登录身份验证。若要确定是否发生这种情况,请在成员计算机上的Netlogon日志文件和事件日志文件中查找模式。然后,您可以将服务控制管理器配置为使用新密码并避免将来的帐户锁定。
3、错误密码阈值设置得太低:这是最常见的配置错误问题之一。许多公司将“错误密码阈值”注册表值设置为低于默认值10的值。如果将此值设置得太低,则当程序自动重试无效的密码时,就会发生错误的锁定。Microsoft建议您将此值保留为默认值10。有关更多信息,请参见本文档中的“选择部署的帐户锁定设置”。
4、用户登录多台计算机:用户可以一次登录多台计算机。这些计算机上运行的程序可以使用当前登录用户的用户凭据访问网络资源。如果用户在其中一台计算机上更改了密码,则在其他计算机上运行的程序可能会继续使用原始密码。由于这些程序在请求访问网络资源时会进行身份验证,因此继续使用旧密码,并且用户帐户被锁定。为确保不会发生此行为,用户应注销所有计算机,从一个位置更改密码,然后注销并重新登录。
5、存储的用户名和密码保留冗余凭据:如果任何保存的凭据与登录凭据相同,则应删除这些凭据。凭据是多余的,因为Windows在找不到显式凭据时会尝试登录凭据。要删除登录凭据,请使用“存储的用户名和密码”工具
6、计划的任务:可以将计划的进程配置为使用已过期的凭据
7、永久驱动器映射:永久驱动器可能已使用随后过期的凭据建立。如果用户在尝试连接到共享时键入显式凭据,则该凭据不是持久性的,除非已由“存储的用户名和密码”显式保存。每当用户注销网络,登录网络或重新启动计算机时,Windows尝试还原连接时,身份验证尝试都会失败,因为没有存储的凭据。若要避免此行为,请配置net use,以使其不会建立持久连接。为此,在命令提示符下,键入net use / persistent:no。或者,要确保将当前凭据用于持久驱动器,请断开连接并重新连接持久驱动器。
8、服务帐户:默认情况下,大多数计算机服务都配置为在本地系统帐户的安全上下文中启动。但是,您可以手动配置服务以使用特定的用户帐户和密码。如果将服务配置为以特定的用户帐户开头,并且更改了帐户密码,则必须使用新密码更新服务登录属性,否则该服务可能会锁定该帐户。
9、时钟偏差过大:默认情况下客户端向DC发起kerberos认证嗅探,与DC中GPO设置的是计算机时钟同步的最大容差并在其范围呢,kerberos认证都是失败的
10、心怀不满的员工可能会故意锁定其经理的帐户
11、***可能试图通过各种手段来猜测某人的密码,例如暴力***
如何缓解密码锁定的问题呢?
1、分析其客户端及服务端日志
2、启用Netlogon日志记录,分析其日志
3、rundll32.exe keymgr.dll, KRShowKeyMgr 删除客户端缓存凭据
4、在运行中输入msconfig,禁用所有非microsoft服务
5、将错误密码阈值设置为有效的***范围次数
6、在个人账户中勾选不要求Kerberos预身份认证,此项会引起安全隐患(谨慎)
7、禁用其它无关的计划任务
我相信下面的代码表,更有助于你解决问题。
keberos错误代码表
0x0 KDC_ERR_NONE 没错
0x1 KDC_ERR_NAME_EXP 客户在KDC数据库中的条目具有(ERROR_ACCOUNT_EXPIRED)
0x2 KDC_ERR_SERVICE_EXP KDC数据库中的服务器条目已过期(ERROR_ACCOUNT_EXPIRED)
0x3 KDC_ERR_BAD_PVNO 请求的Kerberos版本号不受支持
0x4 KDC_ERR_C_OLD_MAST_KVNO 客户的密钥在旧的主密钥中加密
0x5 KDC_ERR_S_OLD_MAST_KVNO 服务器的密钥在旧的主密钥中加密
0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN 在Kerberos数据库中找不到客户端
0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN 在Kerberos数据库中找不到服务器
0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE KDC数据库中的多个主体条目
0x9 KDC_ERR_NULL_KEY 客户端或服务器具有空键(主键)
0xA KDC_ERR_CANNOT_POSTDATE 机票(TGT)不符合过期要求
0xB KDC_ERR_NEVER_VALID 请求的开始时间晚于结束时间
0xC KDC_ERR_POLICY 请求的开始时间晚于结束时间
0xD KDC_ERR_BADOPTION KDC无法容纳请求的选项
0xE KDC_ERR_ETYPE_NOTSUPP KDC不支持加密类型
0xF KDC_ERR_SUMTYPE_NOSUPP KDC不支持校验和类型
0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC不支持PADATA类型(Kerberos预身份验证数据)
0x11 KDC_ERR_TRTYPE_NO_SUPP KDC不支持过渡类型
0x12 KDC_ERR_CLIENT_REVOKED 客户的凭证已被吊销
0x13 KDC_ERR_SERVICE_REVOKED 服务器的凭据已被吊销
0x14 KDC_ERR_TGT_REVOKED TGT已被撤销
0x15 KDC_ERR_CLIENT_NOTYET 客户尚未生效-请稍后再试
0x16 KDC_ERR_SERVICE_NOTYET 服务器尚未生效-请稍后再试
0x17 KDC_ERR_KEY_EXPIRED 密码已过期-更改密码以重设(密码已过期)
0x18 KDC_ERR_PREAUTH_FAILED Kerberos预身份验证信息无效
0x19 KDC_ERR_PREAUTH_REQUIRED 附加的Kerberos预认证所需
0x1A KDC_ERR_SERVER_NOMATCH KDC不知道请求的服务器
0x1B KDC_ERR_SVC_UNAVAILABLE KDC不可用
0x1F KRB_AP_ERR_BAD_INTEGRITY 解密字段的完整性检查失败
0x20 KRB_AP_ERR_TKT_EXPIRED 票已过期
0x21 KRB_AP_ERR_TKT_NYV 票证尚未生效
0x22 KRB_AP_ERR_REPEAT 请求是重播
0x23 KRB_AP_ERR_NOT_US 门票不适合我们
0x24 KRB_AP_ERR_BADMATCH 票证和验证码不匹配
0x25 KRB_AP_ERR_SKEW 该时钟偏差过大
0x26 KRB_AP_ERR_BADADDR 网络层标头中的网络地址与票证中的地址不匹配
0x27 KRB_AP_ERR_BADVERSION 协议版本号不匹配(PVNO)
0x28 KRB_AP_ERR_MSG_TYPE 邮件类型不受支持
0x29 KRB_AP_ERR_MODIFIED 消息流已修改且校验和不匹配
0x2A KRB_AP_ERR_BADORDER 消息混乱(可能会被篡改)
0x2C KRB_AP_ERR_BADKEYVER 指定的密钥版本不可用
0x2D KRB_AP_ERR_NOKEY 服务密钥不可用
0x2E KRB_AP_ERR_MUT_FAIL 相互认证失败
0x2F KRB_AP_ERR_BADDIRECTION 错误的消息方向
0x30 KRB_AP_ERR_METHOD 需要替代的身份验证方法(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x31 KRB_AP_ERR_BADSEQ 消息中的序列号不正确
0x32 KRB_AP_ERR_INAPP_CKSUM 消息中校验和的类型不正确(校验和可能不受支持)
0x33 KRB_AP_PATH_NOT_ACCEPTED 所需路径无法到达
0x34 KRB_ERR_RESPONSE_TOO_BIG 资料过多
0x3C KRB_ERR_GENERIC 通用错误;说明在电子数据字段中
0x3D KRB_ERR_FIELD_TOOLONG 此执行的字段太长
0x3E KDC_ERR_CLIENT_NOT_TRUSTED 客户端信任失败或未实现
0x3F KDC_ERR_KDC_NOT_TRUSTED 在KDC服务器的信任失败或无法核实
0x40 KDC_ERR_INVALID_SIG 该签名是无效
0x41 KDC_ERR_KEY_TOO_WEAK 需要更高的加密级别(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED 用户到用户的授权需要
0x43 KRB_AP_ERR_NO_TGT 没有显示或没有TGT
0x44 KDC_ERR_WRONG_REALM 域或主体不正确(Kerberos领域)
Windows Server or Windows 10 常用Evend ID 表
1100 –事件记录服务已关闭
1101 –运输已删除审核事件。
1102 –审核日志已清除
1104 –安全日志现在已满
1105 –事件日志自动备份
1108 –事件记录服务遇到错误
4608 – Windows正在启动
4609 – Windows关闭
4610 –本地安全机构已加载身份验证包
4611 –已向本地安全局注册了受信任的登录过程
4612 –用于排队审核消息的内部资源已经用尽,导致丢失了一些审核。
4614 –安全帐户管理器已加载通知包。
4615 – LPC端口无效使用
4616 –系统时间已更改。
4618 –发生了受监视的安全事件模式
4621 –管理员从CrashOnAuditFail恢复了系统
4622 –本地安全机构已加载安全软件包。
4624 –一个帐户已成功登录
4625 –帐户登录失败
4626 –用户/设备声明信息
4627 –组成员信息。
4634 –帐户已注销
4646 – IKE DoS预防模式开始
4647 –用户启动的注销
4648 –使用显式凭据尝试登录
4649 –检测到重播***
4650 –建立了IPsec主模式安全性关联
4651 –建立了IPsec主模式安全关联
4652 – IPsec主模式协商失败
4653 – IPsec主模式协商失败
4654 – IPsec快速模式协商失败
4655 – IPsec主模式安全性关联结束
4656 –请求了对象的句柄
4657 –注册表值被修改
4658 –对象的句柄已关闭
4659 –请求删除对象的句柄以进行删除
4660 –对象已删除
4661 –请求了对象的句柄
4662 –对对象执行了操作
4663 –试图访问一个对象
4664 –试图创建硬链接
4665 –尝试创建应用程序客户端上下文。
4666 –应用程序尝试执行操作
4667 –应用程序客户端上下文已删除
4668 –应用程序已初始化
4670 –对对象的权限已更改
4671 –应用程序试图通过TBS访问被阻止的序号
4672 –分配给新登录的特殊特权
4673 –特权服务被称为
4674 –尝试对特权对象进行操作
4675 – SID被过滤
4688 –创建了一个新过程
4689 –进程已退出
4690 –尝试将手柄复制到对象
4691 –请求间接访问对象
4692 –尝试备份数据保护主密钥
4693 –尝试恢复数据保护主密钥
4694 –尝试保护可审核的受保护数据
4695 –试图取消对可审核受保护数据的保护
4696 –主令牌已分配给进程
4697 –系统中安装了服务
4698 –创建了计划任务
4699 –计划的任务已删除
4700 –启用了计划任务
4701 –计划的任务被禁用
4702 –计划的任务已更新
4703 –令牌权已调整
4704 –用户权限已分配
4705 –用户权限被删除
4706 –对域创建了新的信任
4707 –对域的信任被删除
4709 – IPsec服务已启动
4710 – IPsec服务被禁用
4711 – PAStore引擎(1%)
4712 – IPsec服务遇到潜在的严重故障
4713 – Kerberos策略已更改
4714 –加密数据恢复策略已更改
4715 –更改对象的审核策略(SACL)
4716 –可信域信息被修改
4717 –向帐户授予了系统安全访问权限
4718 –从帐户中删除了系统安全性访问
4719 –系统审核策略已更改
4720 –创建了一个用户帐户
4722 –启用了用户帐户
4723 –试图更改帐户密码
4724 –尝试重置帐户密码
4725 –用户帐户被禁用
4726 –用户帐户已删除
4727年–创建了一个启用安全性的全局组
4728 –将成员添加到启用了安全性的全局组中
4729 –成员已从启用安全性的全局组中删除
4730 –删除了启用安全性的全局组
4731 –创建了启用安全性的本地组
4732 –将成员添加到启用了安全性的本地组
4733 –成员已从启用安全性的本地组中删除
4734 –删除了启用安全性的本地组
4735 –启用了安全性的本地组已更改
4737 –启用安全性的全局组已更改
4738 –用户帐户已更改
4739 –域策略已更改
4740 –用户帐户被锁定
4741 –创建了计算机帐户
4742 –更改了计算机帐户
4743 –计算机帐户被删除
4744 –禁用了安全性的本地组
4745 –禁用安全的本地组已更改
4746 –将成员添加到禁用安全性的本地组
4747 –成员已从禁用安全的本地组中删除
4748 –删除了禁用安全的本地组
4749年–创建了一个禁用安全性的全局组
4750年–更改了禁用安全性的全局组
4751 –将成员添加到禁用安全的全局组
4752 –成员已从安全禁用的全局组中删除
4753 –禁用了安全性的全局组
4754 –创建了启用安全性的通用组
4755 –启用安全性的通用组已更改
4756 –将成员添加到启用了安全性的通用组
4757 –成员已从启用安全性的通用组中删除
4758 –删除了启用安全性的通用组
4759年–创建了一个禁用安全性的通用组
4760 –禁用了安全性的通用组
4761年–将成员添加到禁用安全性的通用组
4762 –成员已从禁用安全的通用组中删除
4763 –删除了禁用安全性的通用组
4764 –群组类型已更改
4765 – SID历史记录已添加到帐户
4766 –尝试将SID历史记录添加到帐户失败
4767 –用户帐户已解锁
4768 –请求了Kerberos身份验证票证(TGT)
4769 –请求了Kerberos服务票证
4770 – Kerberos服务票证已更新
4771 – Kerberos预身份验证失败
4772 – Kerberos身份验证票证请求失败
4773 – Kerberos服务票证请求失败
4774 –映射了用于登录的帐户
4775 –无法映射帐户进行登录
4776 –域控制器尝试验证帐户的凭据
4777 –域控制器无法验证帐户的凭据
4778 –会话重新连接到Window Station
4779 –会话已从Window Station断开连接
4780 –在属于管理员组成员的帐户上设置了ACL
4781 –帐户名称已更改
4782 –访问帐户的密码哈希
4783 –创建了一个基本的应用程序组
4784 –基本的应用程序组已更改
4785 –将成员添加到基本应用程序组
4786 –从基本应用程序组中删除了一个成员
4787 –非成员被添加到基本应用程序组
4788 –从基本应用程序组中删除了一个非成员。
4789 –基本的应用程序组已删除
4790 – LDAP查询组已创建
4791 –基本的应用程序组已更改
4792 – LDAP查询组已删除
4793 –密码策略检查API被调用
4794 –试图设置目录服务还原模式管理员密码
4797 –尝试查询帐户是否存在空白密码
4798 –枚举了用户的本地组成员身份。
4799 –枚举了启用安全性的本地组成员身份
4800 –工作站被锁定
4801 –工作站已解锁
4802 –屏幕保护程序被调用
4803 –屏幕保护程序被关闭了
4816 – RPC在解密传入消息时检测到完整性违规
4817 –对象的审核设置已更改。
4818 –建议的中央访问策略未授予与当前中央访问策略相同的访问权限
4819 –机器上的中央访问策略已更改
4820 – Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
4821 – Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
4822 – NTLM身份验证失败,因为该帐户是受保护的用户组的成员
4823 – NTLM身份验证失败,因为需要访问控制限制
4824 –使用DES或RC4进行的Kerberos预身份验证失败,因为该帐户是受保护的用户组的成员
4825 –用户被拒绝访问远程桌面。默认情况下,仅当用户是“远程桌面用户”组或“管理员”组的成员时,才允许连接
4826 –引导配置数据已加载
4830 – SID历史记录已从帐户中删除
4864 –检测到名称空间冲突
4865 –添加了受信任的森林信息条目
4866 –删除了受信任的森林信息条目
4867年–修改了受信任的森林信息条目
4868 –证书管理器拒绝了挂起的证书请求
4869 –证书服务收到重新提交的证书请求
4870 –证书服务撤销了证书
4871 –证书服务收到发布证书吊销列表(CRL)的请求
4872 –证书服务发布了证书吊销列表(CRL)
4873 –证书申请扩展已更改
4874 –一个或多个证书请求属性已更改。
4875 –证书服务收到了关闭请求
4876 –证书服务备份已开始
4877 –证书服务备份完成
4878 –证书服务还原已开始
4879 –证书服务还原完成
4880 –证书服务开始
4881 –证书服务已停止
4882 –证书服务的安全权限已更改
4883 –证书服务检索了存档的密钥
4884 –证书服务将证书导入其数据库
4885 –证书服务的审核过滤器已更改
4886 –证书服务收到证书请求
4887 –证书服务批准了证书申请并颁发了证书
4888 –证书服务拒绝了证书请求
4889 –证书服务将证书申请的状态设置为待处理
4890 –证书服务的证书管理器设置已更改。
4891 –证书服务中的配置条目已更改
4892 –证书服务的属性已更改
4893 –证书服务已存档密钥
4894 –证书服务导入并存档密钥
4895年–证书服务将CA证书发布到Active Directory域服务
4896 –从证书数据库中删除了一行或多行
4897 –启用角色分离
4898 –证书服务加载了模板
4899 –证书服务模板已更新
4900 –证书服务模板安全性已更新
4902 –按用户审核策略表已创建
4904 –尝试注册安全事件源
4905 –试图注销安全事件源
4906 – CrashOnAuditFail值已更改
4907 –对象的审核设置已更改
4908 –特殊组登录表已修改
4909 – TBS的本地策略设置已更改
4910 – TBS的组策略设置已更改
4911 –对象的资源属性已更改
4912 –每用户审核策略已更改
4913 –对该对象的中央访问策略已更改
4928年–建立了Active Directory副本源命名上下文
4929 – Active Directory副本源命名上下文已删除
4930 – Active Directory副本源命名上下文已修改
4931 – Active Directory副本目标命名上下文已被修改
4932 – Active Directory命名上下文副本的同步已开始
4933 – Active Directory命名上下文的副本的同步已结束
4934年–复制了Active Directory对象的属性
4935 –复制失败开始
4936 –复制失败结束
4937 –从复制品中删除了挥之不去的对象
4944 – Windows防火墙启动时,以下策略处于活动状态
4945 – Windows防火墙启动时列出了一条规则
4946 – Windows防火墙例外列表已进行更改。添加了规则
4947 – Windows防火墙例外列表已更改。规则已修改
4948 – Windows防火墙例外列表已更改。规则已删除
4949 – Windows防火墙设置已恢复为默认值
4950 – Windows防火墙设置已更改
4951 –由于Windows防火墙无法识别其主要版本号,因此该规则已被忽略
4952 –规则的一部分已被忽略,因为Windows防火墙无法识别其次要版本号
4953 – Windows防火墙已忽略了一个规则,因为它无法解析该规则
4954 – Windows防火墙组策略设置已更改。新设置已应用
4956 – Windows防火墙更改了活动配置文件
4957 – Windows防火墙未应用以下规则
4958 – Windows防火墙未应用以下规则,因为该规则涉及此计算机上未配置的项目
4960 – IPsec丢弃了完整性检查失败的入站数据包
4961 – IPsec丢弃了未能通过重播检查的入站数据包
4962 – IPsec丢弃了未能通过重播检查的入站数据包
4963 – IPsec丢弃了本应保护的入站明文数据包
4964 –特殊组已分配给新登录
4965 – IPsec从远程计算机收到了一个带有错误安全参数索引(SPI)的数据包。
4976 –在主模式协商期间,IPsec收到无效的协商数据包。
4977 –在快速模式协商期间,IPsec收到无效的协商数据包。
4978 –在扩展模式协商期间,IPsec收到无效的协商数据包。
4979 –建立了IPsec主模式和扩展模式安全关联。
4980 –建立了IPsec主模式和扩展模式安全关联
4981 –建立了IPsec主模式和扩展模式安全关联
4982 –建立了IPsec主模式和扩展模式安全关联
4983 – IPsec扩展模式协商失败
4984 – IPsec扩展模式协商失败
4985 –交易状态已更改
5024 – Windows防火墙服务已成功启动
5025 – Windows防火墙服务已停止
5027 – Windows防火墙服务无法从本地存储中检索安全策略
5028 – Windows防火墙服务无法解析新的安全策略。
5029 – Windows防火墙服务无法初始化驱动程序
5030 – Windows防火墙服务无法启动
5031 – Windows防火墙服务阻止了应用程序接受网络上的传入连接。
5032 – Windows防火墙无法通知用户它阻止了应用程序接受网络上的传入连接
5033 – Windows防火墙驱动程序已成功启动
5034 – Windows防火墙驱动程序已停止
5035 – Windows防火墙驱动程序无法启动
5037 – Windows防火墙驱动程序检测到严重的运行时错误。终止
5038 –代码完整性确定文件的图像哈希无效
5039 –注册表项已虚拟化。
5040 – IPsec设置已更改。身份验证集已添加。
5041 – IPsec设置已更改。身份验证集已修改
5042 – IPsec设置已更改。身份验证集已删除
5043 – IPsec设置已更改。连接安全规则已添加
5044 – IPsec设置已更改。连接安全规则已修改
5045 – IPsec设置已更改。连接安全规则已删除
5046 – IPsec设置已更改。加密集已添加
5047 – IPsec设置已更改。加密集已修改
5048 – IPsec设置已更改。加密集已删除
5049 – IPsec安全关联已删除
5050 –尝试使用对INetFwProfile.FirewallEnabled(FALSE的调用来以编程方式禁用Windows防火墙
5051 –文件已虚拟化
5056 –进行了密码自检
5057 –加密原始操作失败
5058 –密钥文件操作
5059 –密钥迁移操作
5060 –验证操作失败
5061 –加密操作
5062 –进行了内核模式密码自检
5063 –尝试进行密码提供程序操作
5064 –尝试进行加密上下文操作
5065 –尝试修改密码上下文
5066 –尝试进行密码功能操作
5067 –尝试修改密码功能
5068 –尝试进行加密功能提供程序操作
5069 –尝试进行加密功能属性操作
5070 –尝试进行加密功能属性操作
5071 – Microsoft密钥分发服务拒绝了密钥访问
5120 – OCSP响应器服务已启动
5121 – OCSP响应器服务已停止
5122 – OCSP响应程序服务中的配置条目已更改
5123 – OCSP响应程序服务中的配置条目已更改
5124 – OCSP响应程序服务上的安全设置已更新
5125 –向OCSP响应者服务提交了一个请求
5126 – OCSP响应者服务自动更新了签名证书
5127 – OCSP吊销提供者成功更新了吊销信息
5136 –目录服务对象已被修改
5137 –创建了目录服务对象
5138 –目录服务对象被取消删除
5139 –目录服务对象已移动
5140 –网络共享对象被访问
5141 –目录服务对象已删除
5142 –添加了网络共享对象。
5143 –网络共享对象被修改
5144 –网络共享对象已删除。
5145 –检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146 – Windows筛选平台已阻止数据包
5147 –限制性更强的Windows筛选平台筛选器阻止了数据包
5148 – Windows筛选平台已检测到DoS***并进入防御模式
5149 – DoS***已平息,并且正在恢复正常处理。
5150 – Windows筛选平台已阻止数据包。
5151 –限制性更强的Windows筛选平台筛选器阻止了数据包。
5152 – Windows筛选平台阻止了数据包
5153 –限制性更强的Windows筛选平台筛选器阻止了数据包
5154 – Windows筛选平台已允许应用程序或服务在端口上侦听传入连接
5155 – Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156 – Windows筛选平台已允许连接
5157 – Windows筛选平台已阻止连接
5158 – Windows筛选平台已允许绑定到本地端口
5159 – Windows筛选平台已阻止绑定到本地端口
5168 – SMB / SMB2的Spn检查失败。
5169 –目录服务对象已被修改
5170 –在后台清理任务期间修改了目录服务对象
5376 –备份了凭据管理器凭据
5377 –从备份中还原了凭据管理器凭据
5378 –政策不允许所请求的凭据委派
5379 –读取了凭据管理器凭据
5380 –保管箱查找凭证
5381 –读取了保险柜凭证
5382 –读取了保险柜凭证
5440 – Windows Filtering Platform基本筛选引擎启动时,出现以下标注
5441 – Windows筛选平台基础筛选引擎启动时,存在以下筛选器
5442 – Windows筛选平台基础筛选引擎启动时,存在以下提供程序
5443 – Windows筛选平台基础筛选引擎启动时,存在以下提供程序上下文
5444 – Windows筛选平台基础筛选引擎启动时,存在以下子层
5446 – Windows筛选平台标注已更改
5447 – Windows Filtering Platform筛选器已更改
5448 – Windows Filtering Platform提供程序已更改
5449 – Windows Filtering Platform提供程序上下文已更改
5450 – Windows Filtering Platform子层已更改
5451 –建立了IPsec快速模式安全关联
5452 – IPsec快速模式安全关联结束
5453 –与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务
5456 – PAStore Engine在计算机上应用了Active Directory存储IPsec策略
5457 – PAStore引擎无法在计算机上应用Active Directory存储IPsec策略
5458 – PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本
5459 – PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
5460 – PAStore Engine在计算机上应用了本地注册表存储IPsec策略
5461 – PAStore Engine无法在计算机上应用本地注册表存储IPsec策略
5462 – PAStore引擎无法在计算机上应用活动IPsec策略的某些规则
5463 – PAStore引擎轮询了活动IPsec策略的更改,但未检测到更改
5464 – PAStore Engine轮询了活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
5465 – PAStore Engine收到了用于强制重新加载IPsec策略的控件,并成功处理了该控件
5466 – PAStore引擎轮询了Active Directory IPsec策略的更改,确定无法访问Active Directory,并将改用Active Directory IPsec策略的缓存副本
5467 – PAStore引擎轮询了Active Directory IPsec策略的更改,确定可以访问Active Directory,并且没有发现对策略的更改
5468 – PAStore引擎轮询了Active Directory IPsec策略的更改,确定可以访问Active Directory,找到了对策略的更改,并应用了这些更改
5471 – PAStore Engine在计算机上加载了本地存储IPsec策略
5472 – PAStore引擎无法在计算机上加载本地存储IPsec策略
5473 –计算机上的PAStore Engine加载的目录存储IPsec策略
5474 – PAStore引擎无法在计算机上加载目录存储IPsec策略
5477 – PAStore引擎无法添加快速模式过滤器
5478 – IPsec服务已成功启动
5479 – IPsec服务已成功关闭
5480 – IPsec服务无法获取计算机上网络接口的完整列表
5483 – IPsec服务无法初始化RPC服务器。IPsec服务无法启动
5484 – IPsec服务遇到严重故障并已关闭
5485 – IPsec服务在网络接口的即插即用事件中无法处理某些IPsec筛选器
5632 –提出了对无线网络进行身份验证的请求
5633 –要求对有线网络进行身份验证
5712 –尝试了远程过程调用(RPC)
5888 – COM +目录中的对象已被修改
5889 –从COM +目录中删除了一个对象
5890 –对象已添加到COM +目录
6144 –组策略对象中的安全策略已成功应用
6145 –在组策略对象中处理安全策略时发生一个或多个错误
6272 –网络策略服务器授予用户访问权限
6273 –网络策略服务器拒绝访问用户
6274 –网络策略服务器放弃了对用户的请求
6275 –网络策略服务器放弃了对用户的记帐请求
6276 –网络策略服务器隔离了用户
6277 –网络策略服务器授予了用户访问权限,但由于主机不符合所定义的健康策略而将其置于试用期
6278 –网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
6279 –网络策略服务器由于反复失败的身份验证尝试而锁定了用户帐户
6280 –网络策略服务器解锁了用户帐户
6281 –代码完整性确定图像文件的页面哈希无效...
6400 – BranchCache:发现内容的可用性时收到格式错误的响应。
6401 – BranchCache:从对等方接收到无效数据。数据被丢弃。
6402 – BranchCache:发送给提供数据的托管缓存的消息格式不正确。
6403 – BranchCache:托管的缓存对客户端的消息发送了格式错误的响应,以为其提供数据。
6404 – BranchCache:无法使用预配的SSL证书对托管缓存进行身份验证。
6405 – BranchCache:发生了事件ID为%1的%2个实例。
6406 –%1已注册到Windows防火墙以控制以下各项的过滤:
6407 –%1
6408 –注册产品%1失败,并且Windows防火墙现在正在控制%2的筛选。
6409 – BranchCache:无法分析服务连接点对象
6410 –代码完整性确定文件不符合加载到进程中的安全要求。这可能是由于使用共享节或其他问题
6416 –系统识别到新的外部设备。
6417 – FIPS模式加密自检成功
6418 – FIPS模式加密自检失败
6419 –发出了禁用设备的请求
6420 –设备被禁用
6421 –要求启用设备
6422 –设备已启用
6423 –系统策略禁止安装此设备
6424 –在先前禁止策略使用后,允许安装此设备
8191 –最高系统定义的审核消息值
标签:锁定,AD,ERR,更改,Windows,KDC,分享,帐户,IPsec 来源: https://blog.51cto.com/11258494/2491376