Konfiguration av avancerad granskningsprincip

Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Konfigurationsinställningarna för avancerad granskningsprincip finns under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Systemgranskningsprinciper i grupprincip. De här inställningarna gör det möjligt för organisationer att övervaka efterlevnaden av viktiga affärs- och säkerhetskrav genom att spåra specifika aktiviteter, till exempel:

Gruppadministratörer har ändrat inställningar eller data på servrar som innehåller känslig information (till exempel ekonomiservrar).
Åtkomst till kritiska filer av anställda inom angivna grupper.
Tillämpning av rätt systemåtkomstkontrollista (SACL) för alla filer, mappar eller registernycklar på en dator eller filresurs, vilket ger ett verifierbart skydd mot obehörig åtkomst.

Du kan komma åt dessa inställningar för granskningspolicyer via snapin-modulen Lokal säkerhetsprincip (secpol.msc) på den lokala datorn eller med hjälp av gruppolicy.

Dessa avancerade inställningar för granskningsprinciper ger detaljerad kontroll över vilka aktiviteter som övervakas, så att du kan fokusera på händelser som är mest relevanta för din organisation. Du kan undanta granskning för åtgärder som inte är viktiga eller som genererar onödig loggvolym. Eftersom dessa principer kan hanteras via domänens grupprincipobjekt kan du dessutom enkelt ändra, testa och distribuera granskningskonfigurationer till specifika användare och grupper efter behov.

De avancerade konfigurationerna för granskningsprinciper är följande:

Kontoinloggning

Att konfigurera principinställningar i den här kategorin kan hjälpa dig att dokumentera försök att autentisera kontodata på en domänkontrollant eller på en lokal Security Accounts Manager (SAM). Till skillnad från inställningar och händelser för inloggningsprinciper, som spårar försök att komma åt en viss dator, fokuserar inställningar och händelser i den här kategorin på den kontodatabas som används. Den här kategorin innehåller följande underkategorier:

Expandera Verifieringspolicy för granskningsautentiseringsuppgifter

Granskningsverifieringsprincip avgör om operativsystemet (OS) genererar granskningshändelser för inloggningsuppgifter som lämnas vid en inloggning av användarkonto. Dessa händelser inträffar på datorn som är auktoritativ för autentiseringsuppgifterna enligt följande:

För domänkonton är domänkontrollanten auktoritativ.
För lokala konton är den lokala datorn auktoritativ.

Eftersom domänkonton används mycket oftare än lokala konton i företagsmiljöer sker de flesta kontoinloggningshändelser i en domänmiljö på domänkontrollanterna som är auktoritativa för domänkontona. Dessa händelser kan dock inträffa på vilken dator som helst, och de kan inträffa med eller på separata datorer från inloggnings- och utloggningshändelser.

Händelse-ID	Händelsemeddelande
4774	Ett konto mappades för inloggning.
4775	Det gick inte att mappa ett konto för inloggning.
4776	Domänkontrollanten försökte verifiera autentiseringsuppgifterna för ett konto.
4777	Domänkontrollanten kunde inte verifiera autentiseringsuppgifterna för ett konto.

Händelsevolym: Hög på domänkontrollanter.
Standard för klientversioner: Ingen granskning.
Standard på serverversioner: Lyckades.

Expandera granskningsprincip för Kerberos-autentiseringstjänst

Policyn Granska Kerberos-autentiseringstjänsten kontrollerar om granskningshändelser genereras när en biljett-beviljande biljett (TGT) för Kerberos-autentisering begärs. Med den här inställningen aktiverad hjälper den administratörer att övervaka Kerberos-inloggningsaktivitet och identifiera potentiella säkerhetsproblem som rör autentiseringsbegäranden.

Om du konfigurerar den här principinställningen genereras en granskningshändelse efter en TGT-begäran för Kerberos-autentisering. Lyckade granskningar registrerar lyckade försök och misslyckade granskningar registrerar misslyckade försök.

Händelse-ID	Händelsemeddelande
4768	En Kerberos-autentiseringsbiljett (TGT) begärdes.
4771	Kerberos-förautentiseringen misslyckades.
4772	En begäran om Kerberos-autentiseringsticket misslyckades.

Händelsevolym: Hög på Kerberos Key Distribution Center-servrar.
Standard för klientversioner: Ingen granskning.
Standard på serverversioner: Lyckades.

Expandera granskningsprincipen för Kerberos Service Ticket Operations

Policyn Granska Kerberos Service Ticket Operations styr om operativsystemet loggar säkerhetsgranskningshändelser när Kerberos-tjänstbiljetter begärs eller förnyas. Om du aktiverar den här inställningen kan administratörer övervaka och spåra Kerberos-autentiseringsaktivitet i miljön.

Händelser genereras varje gång Kerberos används för att autentisera en användare som vill komma åt en skyddad nätverksresurs. Granskningshändelser för Kerberos-tjänstebiljettoperationer kan användas för att spåra användaraktivitet.

Händelse-ID	Händelsemeddelande
4769	En Kerberos-tjänstbiljett begärdes.
4770	En Kerberos-tjänstbiljett förnyades.

Händelsevolym: Hög på en domänkontrollant som finns i ett Nyckeldistributionscenter (KDC). Låg på domänmedlemmar.
Standard: Inte konfigurerad.

Expandera Granska andra kontoinloggningshändelser

Principen Granska andra kontoinloggningshändelser granskar händelser som utlöses av svar på begäranden om autentiseringsuppgifter för användarkontoinloggningar som inte är standardverifiering av autentiseringsuppgifter eller Kerberos-biljettbegäranden. Exempel kan vara:

När du startar nya fjärrskrivbordssessioner och sessionsfrånkopplingar.
När du låser och låser upp en arbetsstation.
När du anropar eller inaktiverar en skärmsläckare.
När en Kerberos-reprisattack identifieras, där en Kerberos-begäran med identisk information togs emot två gånger.

Note

Den här situationen kan bero på ett problem med nätverkskonfigurationen.
När du kommer åt ett trådlöst nätverk eller ett kabelanslutet 802.1x-nätverk som beviljats till ett användar- eller datorkonto

Händelse-ID	Händelsemeddelande
4649	En reprisattack upptäcktes.
4778	En session återanslöts till en fönsterstation.
4779	En session kopplades från en Window Station.
4800	Arbetsstationen var låst.
4801	Arbetsstationen var olåst.
4802	Skärmsläckaren anropades.
4803	Skärmsläckaren avfärdades.
5378	Den begärda delegeringen av autentiseringsuppgifter tilläts inte av principen.
5632	En begäran gjordes om att autentisera till ett trådlöst nätverk.
5633	En begäran gjordes om att autentisera till ett kabelanslutet nätverk.

Standard: Ingen granskning.

Kontohantering

Principinställningarna för säkerhetsgranskning i den här kategorin kan användas för att övervaka ändringar av användar- och datorkonton och grupper. Den här kategorin innehåller följande underkategorier:

Expandera Policyn för hantering av granskningsapplikationsgrupper

Princip för hantering av granskningsprogram styr om operativsystemet loggar granskningshändelser när vissa åtgärder utförs. Dessa åtgärder omfattar att skapa, ändra eller ta bort programgrupper och ändra deras medlemskap. Hanteringsuppgifter för programgrupper omfattar:

En programgrupp skapas, ändras eller tas bort.
En medlem läggs till eller tas bort från en programgrupp.

Händelse-ID	Händelsemeddelande
4783	En grundläggande programgrupp skapades.
4784	En grundläggande programgrupp har ändrats.
4785	En medlem har lagts till i en grundläggande programgrupp.
4786	En medlem har tagits bort från en grundläggande programgrupp.
4787	En icke-medlem lades till i en grundläggande programgrupp.
4788	En icke-medlem har tagits bort från en grundläggande programgrupp.
4789	En grundläggande programgrupp har tagits bort.
4790	En LDAP-frågegrupp (Lightweight Directory Access Protocol) skapades.

Händelsevolym: Låg.
Standard: Ingen granskning.

Utöka policy för hantering av granskningsdatorkonton

Principen Hantering av granskningsdatorkonto styr om operativsystemet loggar granskningshändelser när ett datorkonto skapas, ändras eller tas bort i Active Directory. När du aktiverar den här principen hjälper den administratörer att övervaka och spåra ändringar av datorkonton i en domän. Värdefull information för säkerhetsgranskning, efterlevnad och felsökning av kontohanteringsaktiviteter tillhandahålls genom övervakning av dessa händelser.

Händelse-ID	Händelsemeddelande
4741	Ett datorkonto skapades.
4742	Ett datorkonto har ändrats.
4743	Ett datorkonto har tagits bort.

Händelsevolym: Låg.
Standard för klientversioner: Ingen granskning.
Standard på serverversioner: Lyckades.

Utöka hanteringspolicy för granskningsdistributionsgrupp

Policyn Hantering av granskningsdistributionsgrupp avgör om operativsystemet genererar granskningshändelser för specifika hanteringsuppgifter för distributionsgrupper. Underkategorin som denna policy tillhör loggas endast på domänkontrollanter. Uppgifter för hantering av distributionsgrupper som kan granskas är:

En distributionsgrupp skapas, ändras eller tas bort.
En medlem läggs till eller tas bort från en distributionsgrupp.

Note

Distributionsgrupper kan inte användas för att hantera behörigheter för åtkomstkontroll.

Händelse-ID	Händelsemeddelande
4744	En lokal grupp med inaktiverad säkerhet skapades.
4745	En lokal grupp utan säkerhetsfunktioner har ändrats.
4746	En medlem har lagts till i en lokal grupp med säkerhetsinaktivering.
4747	En medlem har tagits bort från en lokalt inaktiverad säkerhetsgrupp.
4748	En säkerhetsinaktiverad lokal grupp raderades.
4749	En global grupp med säkerhets inaktiverad skapades.
4750	En säkerhetsinaktiverad global grupp har ändrats.
4751	En medlem har lagts till i en säkerhetsinaktiverad global grupp.
4752	En medlem har tagits bort från en global grupp med säkerhetsaktivering.
4753	En global grupp med säkerhets inaktiverad togs bort.
4759	En säkerhetsinaktiverad universell grupp skapades.
4760	En universell grupp med inaktiverad säkerhet har ändrats.
4761	En medlem har lagts till i en säkerhetsinaktiverad universell grupp.
4762	En medlem har tagits bort från en säkerhetsinaktiverad universell grupp.

Händelsevolym: Låg.
Standard: Ingen granskning.

Utöka policy för granskning av andra kontohanteringshändelser

Principen Granska andra kontohanteringshändelser avgör om operativsystemet genererar granskningshändelser för användarkontohantering. Händelser kan genereras för granskning av användarkontohantering när:

Lösenordshashen för ett konto nås. Detta inträffar vanligtvis när Active Directory Migration Tool (ADMT) flyttar lösenordsdata.
Programmeringsgränssnittet för kontroll av lösenordspolicy (API:n) anropas. Anrop till den här funktionen kan vara en del av en attack från ett skadligt program som testar om principinställningarna för lösenordskomplexitet tillämpas.

Note

Dessa händelser loggas när domänprincipen tillämpas (vid uppdatering eller omstart), inte när inställningarna ändras av en administratör.

Ändringar som görs i domänprincipen finns under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip eller Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip.

Händelse-ID	Händelsemeddelande
4782	Lösenordshash för ett konto har använts.
4793	API:et för kontroll av lösenordsprincip anropades.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera hantering av säkerhetsgruppsgranskningspolicy

Granskning av säkerhetsgruppshantering-policyn avgör om operativsystemet genererar granskningshändelser när specifika uppgifter för hantering av säkerhetsgrupper utförs. Uppgifter för hantering av säkerhetsgrupper är:

En säkerhetsgrupp skapas, ändras eller tas bort.
En medlem läggs till eller tas bort från en säkerhetsgrupp.
En grupps typ ändras.

Säkerhetsgrupper kan användas för åtkomstkontrollbehörigheter och även som distributionslistor.

Händelse-ID	Händelsemeddelande
4727	En säkerhetsaktiverad global grupp skapades.
4728	En medlem har lagts till i en säkerhetsaktiverad global grupp.
4729	En medlem har tagits bort från en säkerhetsaktiverad global grupp.
4730	En säkerhetsaktiverad global grupp har tagits bort.
4731	En säkerhetsaktiverad lokal grupp skapades.
4732	En medlem har lagts till i en säkerhetsaktiverad lokal grupp.
4733	En medlem har tagits bort från en säkerhetsaktiverad lokal grupp.
4734	En säkerhetsaktiverad lokal grupp har tagits bort.
4735	En säkerhetsaktiverad lokal grupp har ändrats.
4737	En global grupp med säkerhetsfunktioner har ändrats.
4754	En säkerhetsaktiverad universell grupp skapades.
4755	En säkerhetsaktiverad universell grupp har ändrats.
4756	En medlem har lagts till i en säkerhetsaktiverad universell grupp.
4757	En medlem har tagits bort från en säkerhetsaktiverad universell grupp.
4758	En säkerhetsaktiverad universell grupp har tagits bort.
4764	En grupps typ har ändrats.

Händelsevolym: Låg.
Standard: Lyckades.

Utökad Granskning av Användarkontohantering

Granskningsanvändarkontohantering avgör om operativsystemet genererar granskningshändelser när specifika uppgifter för hantering av användarkonton utförs. Uppgifter som granskas för hantering av användarkonton är:

Ett användarkonto skapas, ändras, tas bort, byt namn, inaktiveras, aktiveras, låses ut eller låses upp.
Ett användarkontolösenord anges eller ändras.
En historik för säkerhetsidentifierare (SID) läggs till i ett användarkonto.
Ett lösenord för återställningsläge för Katalogtjänster har angetts.
Behörigheter ändras för konton som är medlemmar i administratörsgrupper.
Autentiseringsuppgifterna för autentiseringshanteraren säkerhetskopieras eller återställs.

Den här principinställningen är viktig för att spåra händelser som omfattar etablering och hantering av användarkonton.

Händelse-ID	Händelsemeddelande
4720	Ett användarkonto skapades.
4722	Ett användarkonto har aktiverats.
4723	Ett försök gjordes att ändra ett kontos lösenord.
4724	Ett försök gjordes att återställa lösenordet för ett konto.
4725	Ett användarkonto har inaktiverats.
4726	Ett användarkonto har tagits bort.
4738	Ett användarkonto har ändrats.
4740	Ett användarkonto har låsts.
4765	SID-historik har lagts till i ett konto.
4766	Ett försök att lägga till SID-historik till ett konto misslyckades.
4767	Ett användarkonto har låsts upp.
4780	ACL:en har angetts för konton som är medlemmar i administratörsgrupper.
4781	Namnet på ett konto har ändrats.
4794	Ett försök gjordes att ange återställningsläget för Directory Services.
5376	Autentiseringsuppgifterna för autentiseringshanteraren säkerhetskopierades.
5377	Autentiseringsuppgifterna för autentiseringshanteraren återställdes från en säkerhetskopia.

Händelsevolym: Låg.
Standard: Lyckades.

Detaljerad spårning

Detaljerade inställningar för spårning av säkerhetsprinciper och granskningshändelser kan användas för att övervaka aktiviteter för enskilda program och användare på den datorn och för att förstå hur en dator används. Den här kategorin innehåller följande underkategorier:

Expandera policyn för gransknings-DPAPI-aktivitet

Principen Granska DPAPI-aktivitet avgör om operativsystemet genererar granskningshändelser när krypterings- eller dekrypteringsanrop görs till dataskyddsprogrammets gränssnitt (DPAPI).

DPAPI används för att skydda hemlig information, till exempel lagrade lösenord och nyckelinformation. Mer information finns i Windows Data Protection.

Händelse-ID	Händelsemeddelande
4692	Säkerhetskopiering av huvudnyckeln för dataskydd gjordes.
4693	Återställning av huvudnyckeln för dataskydd gjordes.
4694	Skydd av granskningsbara skyddade data har försökts.
4695	Ett försök gjordes att ta bort skyddet av granskningsbara skyddade data.

Händelsevolym: Låg.

Expandera PNP-aktivitetsgranskningspolicy

Granskningsprincipen för PNP-aktivitet granskar när en extern plug and play-enhet (PnP) identifieras.

Händelse-ID	Händelsemeddelande
6416	En ny enhet är ansluten eller så tas en befintlig enhet bort.

Händelsevolym: Låg.

Expandera principen för skapande av granskningsprocess

Principen för skapande av granskningsprocess avgör om operativsystemet genererar granskningshändelser när en process skapas eller startas.

Dessa granskningshändelser kan hjälpa dig att spåra användaraktivitet och förstå hur en dator används. Informationen innehåller namnet på programmet eller användaren som skapade processen.

Händelse-ID	Händelsemeddelande
4688	En ny process har skapats.
4696	En primär token har tilldelats till en process.

Händelsevolym: Varierar beroende på systemanvändning.

Expandera princip för avslutning av granskningsprocess

Principen för avslutning av granskningsprocess avgör om operativsystemet genererar granskningshändelser när ett försök görs att avsluta en process.

Händelse-ID	Händelsemeddelande
4689	En process har avslutats.

Händelsevolym: Varierar beroende på systemanvändning.

Utöka granskningsprincip för RPC-händelser

Principen Granska RPC-händelser avgör om operativsystemet genererar granskningshändelser när RPC-anslutningar (inkommande fjärrproceduranrop) görs.

RPC är en teknik för att skapa distribuerade klient-/serverprogram. RPC är en kommunikationsteknik mellan processer som gör det möjligt för klient- och serverprogramvaran att kommunicera. Mer information finns i RPC (Remote procedure call).

Händelse-ID	Händelsemeddelande
5712	Ett RPC-försök gjordes.

Händelsevolym: Hög på RPC-servrar.
Standard: Ingen granskning.

Utöka princip för tokenrättsjustering

Granskningstokens högerjusteringsprincip granskar händelser som genererats genom att justera behörigheterna för en token.

Händelse-ID	Händelsemeddelande
4703	En användarrätt har justerats.

Händelsevolym: Hög.
Standard: Ingen granskning.

DS-åtkomst

Inställningar för säkerhetsgranskningsprinciper för DS ger en detaljerad spårningslogg med försök att komma åt och ändra objekt i Active Directory Domain Services (AD DS). Dessa granskningshändelser loggas endast på domänkontrollanter. Den här kategorin innehåller följande underkategorier:

Expandera Granska detaljerad replikeringsprincip för katalogtjänsten

Principen Granska detaljerad katalogtjänstreplikering avgör om operativsystemet genererar granskningshändelser som innehåller detaljerad spårningsinformation om data som replikeras mellan domänkontrollanter. Den här granskningsunderkategorin kan vara användbar för att diagnostisera replikeringsproblem.

Händelse-ID	Händelsemeddelande
4928	En namngivningskontext för replikkälla i Active Directory upprättades.
4929	En namngivningskontext för Active Directory-replikeringskälla har tagits bort.
4930	En namngivningskontext för Active Directory-replikeringskälla ändrades.
4931	En active directory-replikmålnamngivningskontext ändrades.
4934	Attribut för ett Active Directory-objekt replikerades.
4935	Replikeringsfelet börjar.
4936	Replikeringsmisslyckande upphör.
4937	Ett kvarstående objekt togs bort från en kopia.

Händelsevolym: Hög.
Standard: Ingen granskning.

Expandera policy för åtkomst till katalogtjänstens granskningsloggar

Principen för åtkomst till granskningskatalogtjänsten avgör om operativsystemet genererar granskningshändelser när ett AD DS-objekt (Active Directory Domain Services) används. Dessa händelser liknar Directory Service Access-händelser i tidigare versioner av Windows Server OSs.

Note

Granskningshändelser genereras endast på objekt med konfigurerade SACL:er och endast när de används på ett sätt som matchar SACL-inställningarna.

Händelse-ID	Händelsemeddelande
4662	En åtgärd utfördes på ett objekt.

Händelsevolym: Hög på domänkontrollanter. Ingen på klientdatorer.
Standard för klientversioner: Ingen granskning.
Standard på serverversioner: Lyckades.

Utöka policy för ändringar i Audit Directory Service

Policyn Granska katalogtjänständringar avgör om operativsystemet genererar revisionshändelser när objekt ändras i AD DS. Den här principen anger i förekommande fall de gamla och nya värdena för de ändrade egenskaperna för de objekt som har ändrats. De typer av ändringar som rapporteras är:

Create
Delete
Modify
Move
Undelete

Note

Granskningshändelser genereras endast för objekt med konfigurerade SACL:er och endast när de används på ett sätt som matchar deras SACL-inställningar. Vissa objekt och egenskaper orsakar inte att granskningshändelser genereras på grund av inställningarna för objektklassen i schemat.

Den här underkategorin loggar endast händelser på domänkontrollanter. Ändringar i Active Directory-objekt är viktiga händelser att spåra för att förstå nätverksprincipens tillstånd.

Händelse-ID	Händelsemeddelande
5136	Ett katalogtjänstobjekt ändrades.
5137	Ett katalogtjänstobjekt skapades.
5138	Ett katalogtjänstobjekt togs bort.
5139	Ett katalogtjänstobjekt har flyttats.
5141	Ett katalogtjänstobjekt har tagits bort.

Händelsevolym: Endast hög på domänkontrollanter.
Standard: Ingen granskning.

Expandera replikeringsprincip för Granskningskatalogtjänst

Replikeringsprincipen för Granskningskatalogtjänsten avgör om operativsystemet genererar granskningshändelser när replikeringen mellan två domänkontrollanter börjar och slutar. Händelser i den här underkategorin loggas endast på domänkontrollanter.

Händelse-ID	Händelsemeddelande
4932	Synkroniseringen av en replik av en Active Directory-namngivningskontext har påbörjats.
4933	Synkroniseringen av en replik av en Active Directory-namngivningskontext har avslutats.

Händelsevolym: Medel på domänkontrollanter. Ingen på klientdatorer.
Standard: Ingen granskning.

Logon/Logoff

Med inställningar för inloggnings-/utloggningssäkerhetsprinciper och granskningshändelser kan du spåra försök att logga in på en dator interaktivt eller via ett nätverk. Dessa händelser är användbara för att spåra användaraktivitet och identifiera potentiella attacker på nätverksresurser. Den här kategorin innehåller följande underkategorier:

Expandera policy för utlåsning av revisionskonto

Med principen För utlåsning av granskningskonto kan du granska säkerhetshändelser som genereras av ett misslyckat försök att logga in på ett konto som är utelåst. Om du konfigurerar den här principinställningen genereras en granskningshändelse när ett konto inte kan logga in på en dator eftersom kontot är utelåst. Lyckade granskningar registrerar lyckade försök och misslyckade granskningar registrerar misslyckade försök.

Kontoutelåsningshändelser är viktiga för att förstå användaraktivitet och identifiera potentiella attacker.

Händelse-ID	Händelsemeddelande
4625	Det gick inte att logga in på ett konto.

Händelsevolym: Låg.
Standardinställning: Lyckades.

Expandera Granskningsanvändare/Enhetsanspråk

Med principen Granska användare/enhetsanspråk kan du granska information om användar- och enhetsanspråk i kontots inloggningstoken. Händelser i den här underkategorin genereras på datorn där en inloggningssession skapas. För en interaktiv inloggning genereras säkerhetsgranskningshändelsen på den dator som användaren loggade in på. Du måste aktivera underkategorin Granskningsinloggning för att hämta händelser från den här underkategorin.

För en nätverksinloggning, till exempel åtkomst till en delad mapp i nätverket, genereras säkerhetsgranskningshändelsen på den dator som är värd för resursen.

Händelse-ID	Händelsemeddelande
4626	Information om anspråk för användare/enhet.

Händelsevolym: Låg på en klientdator. Medel på en domänkontrollant eller en nätverksserver
Standard: Ingen granskning.

Expandera granskningsgruppens medlemskapspolicy

Med policyn Granska gruppmedlemskap kan du granska information om gruppmedlemskap i användarens inloggningstoken. Händelser i den här underkategorin genereras på datorn där en inloggningssession skapas. Du måste också aktivera underkategorin Granskningsinloggning.

För en interaktiv inloggning genereras säkerhetsgranskningshändelsen på den dator som användaren loggade in på. För en nätverksinloggning, till exempel åtkomst till en delad mapp i nätverket, genereras säkerhetsgranskningshändelsen på den dator som är värd för resursen.

Händelse-ID	Händelsemeddelande
4627	Information om gruppmedlemskap.

Händelsevolym: Låg på en klientdator. Medium på en domänkontrollant eller en nätverksserver.
Standard: Ingen granskning.

Expandera granskningspolicy för utökat IPsec-läge

Principen Granska IPsec Extended Mode avgör om operativsystemet genererar granskningshändelser för resultatet av IKE-protokollet (Internet Key Exchange) och AuthIP (Authenticated Internet Protocol) under förhandlingar om utökat läge.

IKE är en Internetstandard som definieras i RFC 2409 och som definierar en mekanism för att upprätta IPsec-säkerhetsassociationer. En säkerhetsassociation är en kombination av en ömsesidigt angenäm princip och nycklar som definierar de säkerhetstjänster och mekanismer som hjälper till att skydda kommunikationen mellan IPsec-peer-datorer.

AuthIP är en förbättrad version av IKE som ger ytterligare flexibilitet, inklusive stöd för användarbaserad autentisering och autentisering med flera autentiseringsuppgifter. Det ger också förbättrad förhandling av autentiseringsmetoder och stöder asymmetrisk autentisering. Liksom IKE stöder AuthIP förhandlingar i huvudläge och snabbläge. AuthIP stöder även utökat läge, en del av IPsec-peer-förhandling under vilken en andra autentiseringsrunda kan utföras. Utökat läge, som är valfritt, kan användas för flera autentiseringar. Med utökat läge kan du till exempel utföra separata datorbaserade och användarbaserade autentiseringar.

Händelse-ID	Händelsemeddelande
4978	Under förhandlingen om utökat läge mottog IPsec ett ogiltigt förhandlingspaket. Om det här problemet kvarstår kan det tyda på ett nätverksproblem eller ett försök att ändra eller spela upp den här förhandlingen igen.
4979	Säkerhetsassociationer för IPsec-huvudläge och utökat läge upprättades. Den här händelsen innehåller händelsedata i följande kategorier: Lokal slutpunkt för huvudläge, fjärrslutpunkt för huvudläge, kryptografiinformation för huvudläge, säkerhetsassociation för huvudläge, ytterligare information i huvudläge och information om utökat läge.
4980	Säkerhetsassociationer för IPsec-huvudläge och utökat läge upprättades. Den här händelsen innehåller händelsegranskningsdata i följande kategorier: huvudläge lokal slutpunkt, huvudläge fjärrslutpunkt. Kryptografiinformation för huvudläge, säkerhetsassociation för huvudläge, ytterligare information i huvudläge, lokal slutpunkt för utökat läge, fjärrslutpunkt för utökat läge och ytterligare information i utökat läge.
4981	Säkerhetsassociationer för IPsec-huvudläge och utökat läge upprättades. Den här händelsen tillhandahåller händelsegranskningsdata i följande kategorier: Lokal slutpunkt, lokalt certifikat, fjärrslutpunkt, fjärrcertifikat, kryptografisk information, information om säkerhetsassociation, ytterligare information och information om utökat läge.
4982	Säkerhetsassociationer för IPsec-huvudläge och utökat läge upprättades. Den här händelsen tillhandahåller händelsegranskningsdata i följande kategorier: Lokal slutpunkt, lokalt certifikat, fjärrslutpunkt, fjärrcertifikat, kryptografisk information, information om säkerhetsassociation, ytterligare information, lokal slutpunkt för utökat läge, fjärrslutpunkt för utökat läge och utökat läge ytterligare information.
4983	En IPsec Extended Mode-förhandling misslyckades. Den motsvarande säkerhetsassociationen för Main Mode har tagits bort. Den här händelsen tillhandahåller händelsegranskningsdata i följande kategorier: Lokal slutpunkt, lokalt certifikat, fjärrslutpunkt, fjärrcertifikat och felinformation.
4984	En IPsec Extended Mode-förhandling misslyckades. Den motsvarande säkerhetsassociationen för Main Mode har tagits bort. Den här händelsen tillhandahåller händelsegranskningsdata i följande kategorier: Lokal slutpunkt, fjärrslutpunkt, ytterligare information och felinformation.

Händelsevolym: Hög.
Standard: Ingen granskning.

Expandera princip för granskning av IPsec-huvudläge

Policyn Audit IPsec Main Mode avgör om operativsystemet genererar revisionshändelser för resultaten av IKE-protokollet och AuthIP vid förhandlingar i Snabbläge. Liksom IKE stöder AuthIP förhandlingar i huvudläge och snabbläge.

IKE-förhandling i huvudläge upprättar en säker kanal, känd som en ISAKMP-säkerhetsassociation (Internet Security Association and Key Management Protocol), mellan två datorer. För att upprätta den säkra kanalen avgör main mode-förhandlingen en uppsättning kryptografiska skyddspaket, utbyter nyckelmaterial för att upprätta den delade hemliga nyckeln och autentiserar datoridentiteter.

Händelse-ID	Händelsemeddelande
4646	Säkerhets-ID: %1.
4650	En säkerhetsassociation för IPsec Main Mode upprättades. Utökat läge har inte aktiverats. Certifikatautentisering användes inte.
4651	En säkerhetsassociation för IPsec Main Mode upprättades. Utökat läge har inte aktiverats. Ett certifikat användes för autentisering.
4652	En IPsec Main Mode-förhandling misslyckades. Den här granskningshändelsen returnerar detaljerade granskningsdata i följande kategorier: Lokal slutpunkt, lokalt certifikat, fjärrslutpunkt, fjärrcertifikat, ytterligare information och felinformation.
4653	En IPsec Main Mode-förhandling misslyckades. Den här granskningshändelsen returnerar detaljerade granskningsdata i följande kategorier: lokal slutpunkt, fjärrslutpunkt, ytterligare information och felinformation.
4655	Säkerhetsassociationen för IPsec Main Mode har avslutats.
4976	Under main mode-förhandlingen mottog IPsec ett ogiltigt förhandlingspaket. Om det här problemet kvarstår kan det tyda på ett nätverksproblem eller ett försök att ändra eller spela upp den här förhandlingen igen.
5049	En IPsec-säkerhetsassociation har tagits bort.
5453	En IPsec-förhandling med en fjärrdator misslyckades eftersom IKE- och AuthIP IPsec Keying Modules-tjänsten (IKEEXT) inte har startats.

Händelsevolym: Hög.
Standard: Ingen granskning.

Expandera IPsec-policy för granskning i snabbläge

Principen Granskning av IPsec Snabbläge avgör om operativsystemet genererar granskningshändelser för resultaten av IKE-protokollet och AuthIP under snabblägesförhandlingar. Liksom IKE stöder AuthIP förhandlingar i huvudläge och snabbläge.

Snabbläge (kallas även fas 2) IKE-förhandling upprättar en säker kanal mellan två datorer för att skydda data. Snabbläge skapar IPsec-säkerhetsassociationer, som är avtal mellan datorer om hur du skyddar nätverkstrafik. Dessa associationer förhandlas fram av IPsec-tjänsten.

Under snabbläge uppdateras nyckelmaterial eller, om det behövs, nya nycklar genereras. En skyddssvit som skyddar angiven IP-trafik väljs också. En skyddssvit är en definierad uppsättning inställningar för dataintegritet eller datakryptering. Snabbläge anses inte vara ett fullständigt utbyte eftersom det är beroende av ett main mode-utbyte.

Händelse-ID	Händelsemeddelande
4977	Under snabblägesförhandlingen mottog IPsec ett ogiltigt förhandlingspaket. Om det här problemet kvarstår kan det tyda på ett nätverksproblem eller ett försök att ändra eller spela upp den här förhandlingen igen.
5451	En säkerhetsassociation för snabbläge i IPsec upprättades.
5452	En säkerhetsassociation för snabbläge i IPsec avslutades.

Händelsevolym: Hög.
Standard: Ingen granskning.

Expandera granskningsloggningsprincip

Principen för granskningsloggning avgör om operativsystemet genererar granskningshändelser när inloggningssessioner avslutas. Dessa händelser inträffar på den dator som användes. När en interaktiv inloggning inträffar genereras dessa händelser på den dator som loggades in på.

Note

Det finns ingen felhändelse i den här underkategorin eftersom misslyckade utloggningar (till exempel när ett system plötsligt stängs av) inte genererar någon granskningspost.

Inloggningshändelser är viktiga för att förstå användaraktivitet och identifiera potentiella attacker. Utloggningshändelser är inte 100 procent tillförlitliga. Datorn kan till exempel stängas av utan korrekt utloggning och avstängning. I det här fallet genereras inte någon utloggningshändelse.

Händelse-ID	Händelsemeddelande
4634	Ett konto loggades ut.
4647	Användarinitierad utloggning.

Händelsevolym: Låg.
Standard: Lyckades.

Expandera princip för granskningsinloggning

Principen för granskningsinloggning avgör om operativsystemet genererar granskningshändelser när en användare försöker logga in på en dator.

Dessa händelser är relaterade till skapandet av inloggningssessioner och inträffar på den dator som användes. För en interaktiv inloggning genereras händelser på den dator som loggades in på. För en nätverksinloggning, till exempel åtkomst till en resurs, genereras händelser på den dator som är värd för resursen som användes. Inloggningshändelser är viktiga för att spåra användaraktivitet och identifiera potentiella attacker. Följande händelser registreras:

Lyckade och misslyckade inloggningar.
Inloggningsförsök med explicita autentiseringsuppgifter. Den här händelsen genereras när en process försöker logga in på ett konto genom att uttryckligen ange kontots autentiseringsuppgifter. Detta inträffar oftast i batchkonfigurationer, till exempel schemalagda aktiviteter, eller när du använder runas kommandot .

Händelse-ID	Händelsemeddelande
4624	Ett konto har loggats in.
4625	Det gick inte att logga in på ett konto.
4648	Ett inloggningsförsök gjordes med explicita autentiseringsuppgifter.
4675	SID:er filtrerades.

Händelsevolym: Låg på en klientdator. Medel på en domänkontrollant eller nätverksserver.
Standard: Lyckades för klientdatorer. Lyckade och misslyckade servrar.

Expandera princip för granskning av nätverkspolicyserver

Principen Granska nätverksprincipserver avgör om operativsystemet genererar granskningshändelser för RADIUS-aktivitet (IAS) och NAP-aktivitet (Network Access Protection) för användaråtkomstbegäranden. Dessa begäranden är:

Grant
Deny
Discard
Quarantine
Lock
Unlock

NAP-händelser kan användas för att förstå nätverkets övergripande hälsa.

Händelse-ID	Händelsemeddelande
6272	Nätverksprincipserver beviljad åtkomst till en användare.
6273	Nätverksprincipservern nekade en användare åtkomst.
6274	Nätverksprincipservern ignorerade begäran för en användare.
6275	Nätverksprincipservern har ignorerat redovisningsbegäran för en användare.
6276	Nätverkspolicyservern satte en användare i karantän.
6277	Network Policy Server beviljade åtkomst till en användare men satte den på villkor eftersom värden inte uppfyllde den definierade hälsopolicyn.
6278	Nätverkspolicyserver gav fullständig åtkomst till en användare eftersom värden uppfyllde den definierade hälsopolicyn.
6279	Nätverksprincipservern låste användarkontot på grund av upprepade misslyckade autentiseringsförsök.
6280	Nätverksprincipservern låste upp användarkontot.

Händelsevolym: Medelhög eller Hög på NPS- och IAS-servrar. Moderera på andra servrar eller på klientdatorer.
Standard: Lyckades och misslyckades.

Utöka policyn Granska andra inloggnings-/utloggningshändelser

Principen Granska andra inloggnings-/utloggningshändelser avgör om Windows genererar granskningshändelser för andra inloggnings- eller utloggningshändelser. Följande andra inloggnings- eller utloggningshändelser är:

En fjärrskrivbordssession ansluter eller kopplas bort.
En arbetsstation är låst eller olåst.
En skärmsläckare anropas eller stängs av.
En återuppspelningsattack har identifierats. Den här händelsen anger att en Kerberos-begäran togs emot två gånger med identisk information. En felkonfiguration av nätverket kan också orsaka detta.
En användare beviljas åtkomst till ett trådlöst nätverk. Det kan antingen vara ett användarkonto eller datorkontot.
En användare beviljas åtkomst till ett kabelanslutet 802.1x-nätverk. Det kan antingen vara ett användarkonto eller datorkontot.

Händelse-ID	Händelsemeddelande
4649	En reprisattack upptäcktes.
4778	En session återanslöts till en fönsterstation.
4779	En session kopplades från en Window Station.
4800	Arbetsstationen var låst.
4801	Arbetsstationen var olåst.
4802	Skärmsläckaren anropades.
4803	Skärmsläckaren avfärdades.
5378	Den begärda delegeringen av autentiseringsuppgifter tilläts inte av principen.
5632	En begäran gjordes om att autentisera till ett trådlöst nätverk.
5633	En begäran gjordes om att autentisera till ett kabelanslutet nätverk.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera granskningsprincip för speciell inloggning

Principen Granskning av särskild inloggning fastställer om operativsystemet genererar granskningshändelser under speciella inloggningsomständigheter. Den här säkerhetsprincipinställningen avgör om operativsystemet genererar granskningshändelser när:

En särskild inloggning används. En särskild inloggning är en inloggning som har administratörsekvivalenter och kan användas för att höja en process till en högre nivå.
En medlem i en särskild grupp loggar in. Specialgrupper är en Windows-funktion som gör det möjligt för administratören att ta reda på när en medlem i en viss grupp har loggat in. Administratören kan ange en lista över gruppsäkerhetsidentifierare (SID) i registret. Om någon av dessa SID:er läggs till i en token under inloggningen och den här granskningsunderkategorin är aktiverad loggas en säkerhetshändelse.

Användare som har särskilda privilegier kan eventuellt göra ändringar i systemet. Vi rekommenderar att du spårar deras aktivitet.

Händelse-ID	Händelsemeddelande
4964	Särskilda grupper har tilldelats en ny inloggning.

Händelsevolym: Låg
Standard: Lyckades

Objektåtkomst

Med principinställningar för objektåtkomst och granskningshändelser kan du spåra försök att komma åt specifika objekt eller typer av objekt i ett nätverk eller en dator. Om du vill granska försök att komma åt en fil, katalog, registernyckel eller något annat objekt måste du aktivera lämplig underkategori för objektåtkomstgranskning för lyckade och/eller misslyckade händelser. Underkategorin Filsystem måste till exempel vara aktiverad för granskning av filåtgärder, och underkategorin Register måste vara aktiverad för att granska registeråtkomster. Den här kategorin innehåller följande underkategorier:

Expandera Granska applikationsgenererad policy

Principen Audit Application Generated avgör om operativsystemet genererar granskningshändelser när program försöker använda Programmeringsgränssnitt för Windows-granskningsprogram (API:er).

Följande händelser kan generera granskningsaktivitet:

Skapa, ta bort eller initiera en programklientkontext
Programåtgärder

Program som är utformade för att använda WINDOWS-gransknings-API:er kan använda den här underkategorin för att logga granskningshändelser som är relaterade till dessa API:er. Nivån, volymen, relevansen och betydelsen av dessa granskningshändelser beror på vilket program som genererar dem. Operativsystemet loggar händelserna när de genereras av programmet.

Händelse-ID	Händelsemeddelande
4665	Ett försök gjordes att skapa en programklientkontext.
4666	Ett program försökte utföra en åtgärd.
4667	En programklientkontext har tagits bort.
4668	En ansökan startades.

Händelsevolym: Varierar beroende på det installerade programmets användning av Windows-granskning

Expandera policyn för granskningscertifieringstjänster

Policyn För granskningscertifieringstjänster avgör om operativsystemet genererar händelser när Active Directory Certificate Services-åtgärder (AD CS) utförs. Det är viktigt att övervaka dessa driftshändelser för att säkerställa att AD CS-rolltjänsterna fungerar korrekt. Exempel på AD CS-åtgärder är:

AD CS startar, stängs av, säkerhetskopieras eller återställs.
Uppgifter relaterade till listan över återkallade certifikat (CRL) utförs.
Certifikat begärs, utfärdas eller återkallas.
Inställningarna för certifikathanteraren för AD CS ändras.
Konfigurationen och egenskaperna för certifikatutfärdare (CA) ändras.
AD CS-mallar ändras.
Certifikat importeras.
Ett CA-certifikat publiceras till Active Directory Domain Services.
Säkerhetsbehörigheter för AD CS-rolltjänster ändras.
Nycklar arkiveras, importeras eller hämtas.
OCSP-svarartjänsten startas eller stoppas.

Händelse-ID	Händelsemeddelande
4868	Certifikathanteraren nekade en väntande certifikatbegäran.
4869	Certificate Services tog emot en begäran om att skicka certifikatet på nytt.
4870	Certificate Services återkallade ett certifikat.
4871	Certificate Services tog emot en begäran om att publicera listan över återkallade certifikat (CRL).
4872	Certificate Services publicerade listan över återkallade certifikat (CRL).
4873	Ett certifikatbegäranstillägg har ändrats.
4874	Ett eller flera attribut för certifikatbegäran har ändrats.
4875	Certificate Services tog emot en begäran om att stängas av.
4876	Säkerhetskopieringen av Certificate Services har startats.
4877	Säkerhetskopian av Certificate Services har slutförts.
4878	Återställningen av Certifikattjänster har startats.
4879	Återställningen av Certifikattjänster har slutförts.
4880	Certificate Services har startats.
4881	Certificate Services har stoppats.
4882	Säkerhetsbehörigheterna för Certificate Services har ändrats.
4883	Certificate Services hämtade en arkiverad nyckel.
4884	Certificate Services importerade ett certifikat till databasen.
4885	Granskningsfiltret för Certificate Services har ändrats.
4886	Certificate Services tog emot en certifikatbegäran.
4887	Certificate Services godkände en certifikatbegäran och utfärdade ett certifikat.
4888	Certificate Services nekade en certifikatbegäran.
4889	Certifikattjänster anger statusen för en certifikatbegäran till väntande.
4890	Inställningarna för certifikathanteraren för Certificate Services har ändrats.
4891	En konfigurationspost har ändrats i Certificate Services.
4892	En egenskap för Certificate Services har ändrats.
4893	Certificate Services arkiverade en nyckel.
4894	Certificate Services importerade och arkiverade en nyckel.
4895	Certificate Services publicerade CA-certifikatet till Active Directory Domain Services.
4896	En eller flera rader har tagits bort från certifikatdatabasen.
4897	Rollavgränsning aktiverad.
4898	Certificate Services har läst in en mall.

Händelsevolym: Medelhög eller låg på servrar som är värdar för AD CS-tjänster

Expandera Granska detaljerad filresursprincip

Med policyn Granska detaljerad Filresursdelning kan du övervaka försök att få åtkomst till filer och mappar i en delad mapp. Inställningen Detaljerad filresurs loggar en händelse varje gång en fil eller mapp används, medan inställningen Filresurs endast registrerar en händelse för alla anslutningar som upprättas mellan en klientdator och filresurs. Detaljerade granskningshändelser för filresurser innehåller detaljerad information om de behörigheter eller andra kriterier som används för att bevilja eller neka åtkomst.

Note

Delade mappar har inga SACL:er. När du aktiverar den här principinställningen granskas all åtkomst till delade filer och mappar i systemet.

Händelse-ID	Händelsemeddelande
5145	Ett nätverksresursobjekt kontrollerades för att se om klienten kan beviljas önskad åtkomst.

Händelsevolym: Hög på en filserver eller domänkontrollant på grund av SYSVOL-nätverksåtkomst som krävs av grupprincip

Expandera granskningsfilresursprincip

Principen Granska filresurs avgör om operativsystemet genererar granskningshändelser när en filresurs används. Granskningshändelser genereras inte när resurser skapas, tas bort eller när resursbehörigheter ändras. I kombination med filsystemgranskning kan du spåra vilket innehåll som användes, källan (IP-adressen och porten) för begäran och det användarkonto som användes för åtkomsten.

Note

Det finns inga SACL:er för resurser. När den här inställningen har aktiverats granskas därför åtkomsten till alla resurser i systemet.

Händelse-ID	Händelsemeddelande
5140	Ett nätverksresursobjekt åtkomstes. Den här händelsen loggas på datorer som kör Windows Server 2008 R2, Windows Server 2008, Windows 7 eller Windows Vista.
5142	Ett nätverksdelningsobjekt har lagts till.
5143	Ett nätverksresursobjekt ändrades.
5144	Ett nätverksresursobjekt har tagits bort.
5168	SPN-kontrollen för SMB/SMB2 misslyckades.

Händelsevolym: Hög på en filserver eller domänkontrollant på grund av SYSVOL-nätverksåtkomst som krävs av grupprincipen.

Expandera princip för granskningsfilsystem

Policyn Revisionsfilsystem avgör om operativsystemet genererar revisionära händelser när användare försöker komma åt filsystemobjekt. Granskningshändelser genereras endast för objekt som har konfigurerat SACL:er och endast om den typ av åtkomst som begärs (till exempel Skriv, Läsa eller Ändra) och kontot som gör begäran matchar inställningarna i SACL.

Om granskning av framgångar har aktiverats genereras en granskningspost varje gång ett konto framgångsrikt har åtkomst till ett filsystemobjekt som har en matchande SACL. Om felgranskning är aktiverat genereras en granskningspost varje gång en användare utan framgång försöker komma åt ett filsystemobjekt som har en matchande SACL. Dessa händelser är viktiga för spårningsaktivitet för filobjekt som är känsliga eller värdefulla och kräver extra övervakning.

Händelse-ID	Händelsemeddelande
4664	Ett försök gjordes att skapa en hård länk.
4985	Statusen för en transaktion har ändrats.
5051	En fil virtualiserades.

Händelsevolym: Varierar beroende på hur filsystems-SACL:er konfigureras.

Expandera princip för granskningsfiltrering av plattformsanslutning

Principen för anslutning till granskningsfiltreringsplattformen avgör om operativsystemet genererar granskningshändelser när anslutningar tillåts eller blockeras av Windows-filtreringsplattformen. Windows Filtering Platform (WFP) introducerades i Windows Server 2008 och Windows Vista. Det gör det möjligt för oberoende programvaruleverantörer att filtrera och ändra TCP/IP-paket, övervaka eller auktorisera anslutningar, filtrera IPsec-skyddad trafik (Internet Protocol Security) och filtrera RPC:er. Med den här säkerhetsprincipen kan du granska följande typer av åtgärder:

Windows-brandväggstjänsten blockerar ett program från att acceptera inkommande anslutningar i nätverket.
Windows-filtreringsplattformen tillåter eller blockerar en anslutning.
Windows-filtreringsplattformen tillåter eller blockerar en bindning till en lokal port.
Windows-filtreringsplattformen tillåter eller blockerar ett program eller en tjänst från att lyssna efter inkommande anslutningar på en port.

Händelse-ID	Händelsemeddelande
5031	Windows-brandväggstjänsten blockerade ett program från att acceptera inkommande anslutningar i nätverket.
5140	Ett nätverksresursobjekt åtkomstes. Den här händelsen loggas endast på datorer som kör de versioner av Windows-operativsystemet som stöds enligt beskrivningen i listan Gäller för.
5150	Windows-filtreringsplattformen blockerade ett paket.
5151	Ett mer restriktivt Windows Filtering Platform-filter har blockerat ett paket.
5154	Windows-filtreringsplattformen har tillåtit ett program eller en tjänst att lyssna på en port för inkommande anslutningar.
5155	Windows-filtreringsplattformen har blockerat ett program eller en tjänst från att lyssna på en port för inkommande anslutningar.
5156	Windows-filtreringsplattformen har tillåtit en anslutning.
5157	Windows-filtreringsplattformen har blockerat en anslutning.
5158	Windows-filtreringsplattformen har tillåtit en bindning till en lokal port.
5159	Windows-filtreringsplattformen har blockerat en bindning till en lokal port.

Händelsevolym: Hög.

Expandera policyn för paketdropsauditfiltreringsplattformen

Principen Granskningsplattform för paketborttagning avgör om operativsystemet genererar händelser för granskning när paket tas bort av Windows filtreringsplattform. Windows Filtering Platform (WFP) introducerades i Windows Server 2008 och Windows Vista. Med WFP kan oberoende programvaruleverantörer filtrera och ändra TCP/IP-paket, övervaka eller auktorisera anslutningar, filtrera IPsec-skyddad trafik (Internet Protocol Security) och filtrera RPC:er. En hög frekvens av borttagna paket kan tyda på att det har gjorts försök att få obehörig åtkomst till datorer i nätverket.

Händelse-ID	Händelsemeddelande
5152	Windows-filtreringsplattformen blockerade ett paket.
5153	Ett mer restriktivt Windows Filtering Platform-filter har blockerat ett paket.

Händelsevolym: Hög.

Expandera policy för manipulation av revisionskontrollhandtag

Principen för hantering av granskningshandtag avgör om operativsystemet genererar granskningshändelser när en handtag till ett objekt öppnas eller stängs. Endast objekt med konfigurerade SACL:er genererar dessa händelser, och endast om försöket att hantera åtgärden matchar SACL.

Note

Hantera manipulationshändelser genereras endast för objekttyper där motsvarande underkategori för filsystem- eller registerobjektåtkomst är aktiverad. Se principerna för granskningsfilsystem eller granskningsregister .

Händelse-ID	Händelsemeddelande
4656	Ett handtag till ett objekt begärdes.
4658	Handtaget till ett objekt stängdes.
4690	Ett försök gjordes att duplicera ett handtag till ett objekt.

Händelsevolym: Varierar beroende på hur SACL:er konfigureras.

Expandera granskningsprincip för kernelobjekt

Policyn Granskning av kernelobjekt avgör om operativsystemet genererar revisionsevent när användare försöker komma åt operativsystemets kärna, vilket inkluderar mutexar och semaforer. Endast kernelobjekt med matchande SACL genererar säkerhetsgranskningshändelser. De granskningar som genereras är endast användbara för utvecklare. Normalt får kernelobjekt endast SACLs om granskningsalternativen AuditBaseObjects eller AuditBaseDirectories är aktiverade.

Note

Principinställningen Granska: Granska åtkomsten för globala systemobjekt styr standard-SACL för kernelobjekt.

Händelse-ID	Händelsemeddelande
4659	En referens till ett objekt begärdes med avsikt att ta bort.
4660	Ett objekt har tagits bort.
4661	Ett handtag till ett objekt begärdes.
4663	Ett försök gjordes att komma åt ett objekt.

Händelsevolym: Hög om granskningsåtkomst för globala systemobjekt är aktiverat.

Utöka policyn för att granska andra objektåtkomsthändelser

Principen Granska andra objektåtkomsthändelser avgör om operativsystemet genererar granskningshändelser för hantering av schemaläggarjobb eller COM+-objekt.

För schemaläggarjobb granskas följande åtgärder:

Ett jobb skapas, tas bort, aktiveras, inaktiveras eller uppdateras.

För COM+-objekt granskas följande åtgärder:

Ett katalogobjekt läggs till, tas bort eller uppdateras.

Händelse-ID	Händelsemeddelande
4671	Ett program försökte komma åt ett blockerat ordinal genom TBS.
4691	Indirekt åtkomst till ett objekt begärdes.
4698	En schemalagd aktivitet skapades.
4699	En schemalagd aktivitet har tagits bort.
4700	En schemalagd aktivitet har aktiverats.
4701	En schemalagd aktivitet har inaktiverats.
4702	En schemalagd aktivitet uppdaterades.
5148	Windows-filtreringsplattformen har identifierat en DoS-attack och gått in i ett defensivt läge. paket som är associerade med den här attacken tas bort. Den här händelsen loggas endast på datorer som kör de versioner av Windows-operativsystemet som stöds.
5149	DoS-attacken har minskat och normal bearbetning återupptas. Den här händelsen loggas endast på datorer som kör de versioner av Windows-operativsystemet som stöds.
5888	Ett objekt i COM+-katalogen ändrades.
5889	Ett objekt har tagits bort från COM+-katalogen.
5890	Ett objekt har lagts till i COM+-katalogen.

Händelsevolym: Låg.

Utöka princip för granskningsregister

Principen Granskningsregister avgör om operativsystemet genererar granskningshändelser när användare försöker komma åt registerobjekt. Granskningshändelser genereras endast för objekt som har konfigurerat ANGIVNA SACL:er och endast om den typ av åtkomst som begärs (till exempel Skriv, Läsa eller Ändra) och det konto som gör begäran matchar inställningarna i SACL.

Om framgångsgranskning har aktiverats genereras en granskningspost varje gång ett konto framgångsrikt får åtkomst till ett registerobjekt som har en matchande SACL. Om felgranskning är aktiverat genereras en granskningspost varje gång en användare utan framgång försöker komma åt ett registerobjekt som har en matchande SACL.

Händelse-ID	Händelsemeddelande
4657	Ett registervärde ändrades.
5039	En registernyckel virtualiserades.

Händelsevolym: Varierar beroende på hur register-SACL:er konfigureras.

Utöka granskningspolicyn för flyttbar lagring

Principen Granska flyttbar lagring avgör om operativsystemet genererar granskningshändelser när användare försöker komma åt filsystemobjekt på flyttbara lagringsenheter. Granskningshändelser genereras för alla typer av åtkomst till alla objekt på flyttbar lagring.

När den här principen är aktiverad loggas en granskningshändelse varje gång ett konto får åtkomst till ett filsystemobjekt på en flyttbar lagringsenhet. Lyckade granskningar samlar in lyckade åtkomstförsök, medan misslyckade granskningar samlar in misslyckade försök. Om den här principen inte har konfigurerats genereras inga granskningshändelser för åtkomst till filsystemobjekt på flyttbara lagringsenheter.

Händelse-ID	Händelsemeddelande
4656	Ett handtag till ett objekt begärdes.
4658	Handtaget till ett objekt stängdes.
4663	Ett försök gjordes att komma åt ett objekt.

Expandera SAM-princip för granskning

Gransknings-SAM, som gör att du kan granska händelser som genereras av försök att komma åt SAM-objekt. SAM är en databas som finns på datorer som kör Windows-operativsystem som lagrar användarkonton och säkerhetsbeskrivningar för användare på den lokala datorn. SAM-objekt inkluderar:

SAM_ALIAS: En lokal grupp
SAM_GROUP: En grupp som inte är en lokal grupp
SAM_USER: Ett användarkonto
SAM_DOMAIN: En domän
SAM_SERVER: Ett datorkonto

Om du konfigurerar den här principinställningen genereras en granskningshändelse när ett SAM-objekt används. Lyckade granskningar registrerar lyckade försök och misslyckade granskningar registrerar misslyckade försök. Endast SACL för SAM_SERVER kan ändras.

Ändringar av användar- och gruppobjekt spåras av granskningskategorin Kontohantering. Användarkonton med tillräcklig behörighet kan dock eventuellt ändra de filer där konto- och lösenordsinformation lagras i systemet och kringgå eventuella kontohanteringshändelser.

Händelse-ID	Händelsemeddelande
4659	En referens till ett objekt begärdes med avsikt att ta bort.
4660	Ett objekt har tagits bort.
4661	Ett handtag till ett objekt begärdes.
4663	Ett försök gjordes att komma åt ett objekt.

Händelsevolym: Hög på domänkontrollanter.

Expandera Granskningsprincip för mellanlagring av central åtkomstprincip

Policyn Audit Central Access Policy Staging möjliggör revidering av åtkomstförsöksgranskning där de beviljade eller nekade behörigheterna av en föreslagen central åtkomstprincip skiljer sig från de som gäller för den aktuella policyn för ett objekt. När den här principen har konfigurerats genereras en granskningshändelse varje gång en användare kommer åt ett objekt och behörigheterna som beviljas av den aktuella centrala åtkomstprincipen skiljer sig från de som beviljas av den föreslagna principen. Granskningshändelser genereras på följande sätt:

Lyckade granskningar (när aktiverade) loggåtkomstförsök där den aktuella principen beviljar åtkomst men den föreslagna principen nekar den.
Misslyckade granskningar (när det är aktiverat) loggåtkomstförsök i följande scenarier:
- Den aktuella principen beviljar inte åtkomst, men den föreslagna principen beviljar den.
- En huvudansvarig begär sina maximalt tillåtna åtkomsträttigheter, och de rättigheter som beviljas av den aktuella policyn skiljer sig från de som beviljas av den föreslagna policyn.

Händelse-ID	Händelsemeddelande
4818	Den föreslagna principen för central åtkomst beviljar inte samma åtkomstbehörigheter som den aktuella principen för central åtkomst.

Händelsevolym: Potentiellt hög på en filserver när den föreslagna principen skiljer sig avsevärt från den aktuella centrala åtkomstprincipen.
Standard: Ingen granskning.

Principändring

Med granskningshändelser för principändringar kan du spåra ändringar i viktiga säkerhetsprinciper i ett lokalt system eller nätverk. Eftersom principer vanligtvis upprättas av administratörer för att skydda nätverksresurser kan övervakning av ändringar eller försök att ändra dessa principer vara en viktig aspekt av säkerhetshanteringen för ett nätverk. Den här kategorin innehåller följande underkategorier:

Expandera policy för ändring av granskningspolicy

Princip för ändring av granskningsprincip avgör om operativsystemet genererar granskningshändelser när ändringar görs i granskningsprincipen. Ändringar i granskningsprincipen är kritiska säkerhetshändelser. Ändringar i granskningsprincipen som granskas är:

Ändra behörigheter och granskningsinställningar för granskningsprincipobjektet (med hjälp av auditpol /set /sd).
Ändra systemgranskningsprincipen.
Registrera och avregistrera säkerhetshändelsekällor.
Ändra granskningsinställningar per användare.
Ändra värdet för CrashOnAuditFail.
Att ändra något i listan över specialgrupper.
Ändra granskningsinställningar för ett objekt (till exempel ändra SACL för en fil eller registernyckel).

Note

SACL-ändringsgranskning utförs när en SACL för ett objekt har ändrats och kategorin Principändring har konfigurerats. Granskning av diskretionär åtkomstkontroll (DACL) och granskning av ägarändringar utförs när granskning av objektåtkomst konfigureras och objektets SACL har angetts för granskning av DACL eller ägarändring.

Händelse-ID	Händelsemeddelande
4715	Granskningsprincipen (SACL) för ett objekt har ändrats.
4719	Systemgranskningsprincipen har ändrats.
4817	Granskningsinställningarna för ett objekt har ändrats. Den här händelsen loggas endast på datorer som kör de versioner av Windows-operativsystemet som stöds.
4902	Tabellen Granskningsprincip per användare skapades.
4904	Ett försök gjordes att registrera en säkerhetshändelsekälla.
4905	Ett försök gjordes att avregistrera en säkerhetshändelsekälla.
4906	Värdet CrashOnAuditFail har ändrats.
4907	Granskningsinställningarna för objektet har ändrats.
4908	Tabellen För specialgrupper för inloggning har ändrats.
4912	Per användargranskningsprincip har ändrats.

Händelsevolym: Låg.
Standard: Lyckades.

Expandera Policyn för ändring av granskningsautentisering

Principändringsprincipen för granskningsautentisering avgör om operativsystemet genererar granskningshändelser när ändringar görs i autentiseringsprincipen. Den här inställningen är användbar för att spåra ändringar i förtroende och behörigheter på domännivå och skogsnivå som beviljas användarkonton eller grupper. Ändringar som gjorts i autentiseringsprincipen är:

Skapa, ändra och ta bort förtroenden för skogar och domäner.
Ändringar i Kerberos-principen under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper\Kerberos-princip.

Note

Granskningshändelsen loggas när principen tillämpas, inte när inställningarna ändras av administratören.

När någon av följande användarrättigheter beviljas en användare eller grupp:

Få åtkomst till den här datorn från nätverket.
Tillåt inloggning lokalt.
Tillåt inloggning via Fjärrskrivbord.
Logga in som ett batchjobb.
Logga in som en tjänst.

Namnområdeskollision, till exempel när ett tillagt förtroende kolliderar med ett befintligt namnområdesnamn.

Händelse-ID	Händelsemeddelande
4713	Kerberos-principen har ändrats.
4716	Den betrodda domäninformationen ändrades.
4717	Systemsäkerhetsåtkomst har beviljats till ett konto.
4718	Systemsäkerhetsåtkomsten har tagits bort från ett konto.
4739	Domänprincipen har ändrats.
4864	En namnområdeskollision upptäcktes.
4865	En betrodd skogsinformationspost har lagts till.
4866	En betrodd skogsinformationspost har tagits bort.
4867	En betrodd skogsinformationspost ändrades.

Händelsevolym: Låg.
Standard: Lyckades.

Expandera ändringsprincip för granskningsbehörighet

Principändringsprincipen för granskningsauktorisering avgör om operativsystemet genererar granskningshändelser när specifika ändringar görs i auktoriseringsprincipen. Auktoriseringsprincipändringar som kan granskas är:

Tilldela eller ta bort användarrättigheter (behörigheter) som SeCreateTokenPrivilege, förutom de systemåtkomsträttigheter som granskas med hjälp av underkategorin Granska autentiseringsprincipändring .
Ändra EFS-principen (Encrypting File System).

Händelse-ID	Händelsemeddelande
4704	En användarrätt har tilldelats.
4705	En användarbehörighet har tagits bort.
4706	Ett nytt förtroende har skapats för en domän.
4707	Ett förtroende för en domän har tagits bort.
4714	Principen för återställning av krypterade data har ändrats.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera policyändring för granskningsfiltreringsplattform

Policyn för förändring av granskningsfiltreringsplattform avgör om operativsystemet ska generera granskningshändelser för vissa IPsec- och åtgärder i Windows-filtreringsplattformen. Med Windows Filtering Platform (WFP) kan oberoende programvaruleverantörer filtrera och ändra TCP/IP-paket, övervaka eller auktorisera anslutningar, filtrera IPsec-skyddad trafik (Internet Protocol Security) och filtrera RPC:er. Den här säkerhetsprincipinställningen avgör om operativsystemet genererar granskningshändelser för:

Status för IPsec-tjänster.
Ändringar i IPsec-inställningar.
Status och ändringar i Windows Filtering Platform-motorn och -leverantörerna.
IPsec Policy Agent-tjänstaktiviteter.

Händelse-ID	Händelsemeddelande
4709	IPsec Services startades.
4710	IPsec Services har inaktiverats.
4711	Kan innehålla något av följande meddelanden: PAStore Engine tillämpade lokalt cachelagrad kopia av Active Directory Storage IPsec-principen på datorn. PAStore Engine tillämpade Active Directory Storage IPsec-princip på datorn. PAStore Engine tillämpade IPsec-principen för lokal registerlagring på datorn. PAStore Engine kunde inte tillämpa lokalt cachelagrad kopia av Active Directory Storage IPsec-principen på datorn. PAStore Engine kunde inte tillämpa IPsec-principen för Active Directory-lagring på datorn. PAStore Engine kunde inte tillämpa IPsec-principen för lokal registerlagring på datorn. PAStore Engine kunde inte tillämpa vissa regler för den aktiva IPsec-principen på datorn. PAStore Engine kunde inte läsa in IPsec-principen för kataloglagring på datorn. PAStore Engine har läst in IPsec-principen för kataloglagring på datorn. PAStore Engine kunde inte läsa in den lokala IPsec-lagringsprincipen på datorn. PAStore Engine har läst in en IPsec-princip för lokal lagring på datorn. PAStore Engine sökte efter ändringar i den aktiva IPsec-principen och identifierade inga ändringar.
4712	IPsec Services påträffade ett potentiellt allvarligt fel.
5040	En ändring har gjorts i IPsec-inställningarna. En autentiseringsuppsättning har lagts till.
5041	En ändring har gjorts i IPsec-inställningarna. En autentiseringsuppsättning har ändrats.
5042	En ändring har gjorts i IPsec-inställningarna. En autentiseringsuppsättning har tagits bort.
5043	En ändring har gjorts i IPsec-inställningarna. En anslutningssäkerhetsregel har lagts till.
5044	En ändring har gjorts i IPsec-inställningarna. En anslutningssäkerhetsregel ändrades.
5045	En ändring har gjorts i IPsec-inställningarna. En anslutningssäkerhetsregel har tagits bort.
5046	En ändring har gjorts i IPsec-inställningarna. En kryptouppsättning har lagts till.
5047	En ändring har gjorts i IPsec-inställningarna. En kryptouppsättning har ändrats.
5048	En ändring har gjorts i IPsec-inställningarna. En kryptouppsättning har tagits bort.
5440	Det följande meddelandet fanns när basfiltreringsmotorn i Windows Filtering Platform startade.
5441	Följande filter fanns när basfiltreringsmotorn för Windows-filtreringsplattformen startade.
5442	Följande provider var närvarande när basfiltreringsmotorn för Windows-filtreringsplattformen startade.
5443	Följande providerkontext fanns när basfiltreringsmotorn för Windows-filtreringsplattformen startade.
5444	Följande underliggande lager fanns när Basfiltreringsmotor för Windows-filtreringsplattformen startade.
5446	En utrop för Windows-filtreringsplattformen har ändrats.
5448	En Windows-filtreringsplattformsprovider har ändrats.
5449	En kontext för Windows Filtering Platform-leverantör har ändrats.
5450	En undernivå i Windows-filtreringsplattformen har ändrats.
5456	PAStore Engine tillämpade Active Directory Storage IPsec-princip på datorn.
5457	PAStore Engine kunde inte tillämpa IPsec-principen för Active Directory-lagring på datorn.
5458	PAStore Engine tillämpade lokalt cachelagrad kopia av Active Directory Storage IPsec-principen på datorn.
5459	PAStore Engine kunde inte tillämpa lokalt cachelagrad kopia av Active Directory Storage IPsec-principen på datorn.
5460	PAStore Engine tillämpade IPsec-principen för lokal registerlagring på datorn.
5461	PAStore Engine kunde inte tillämpa IPsec-principen för lokal registerlagring på datorn.
5462	PAStore Engine kunde inte tillämpa vissa regler för den aktiva IPsec-principen på datorn. Använd snapin-modulen IP Security Monitor för att diagnostisera problemet.
5463	PAStore Engine sökte efter ändringar i den aktiva IPsec-principen och identifierade inga ändringar.
5464	PAStore Engine sökte efter ändringar i den aktiva IPsec-principen, identifierade ändringar och tillämpade dem på IPsec-tjänster.
5465	PAStore Engine tog emot en kontroll för tvingad omläsning av IPsec-principen och bearbetade kontrollen.
5466	PAStore Engine har sökt efter ändringar i Active Directory IPsec-principen, fastställt att Active Directory inte kan nås och använder den cachelagrade kopian av Active Directory IPsec-principen i stället. Alla ändringar som gjorts i Active Directory IPsec-principen sedan den senaste undersökningen inte kunde tillämpas.
5467	PAStore Engine sökte efter ändringar i Active Directory IPsec-principen, fastställde att Active Directory kan nås och hittade inga ändringar i principen. Den cachelagrade kopian av Active Directory IPsec-principen används inte längre.
5468	PAStore Engine sökte efter ändringar i Active Directory IPsec-principen, fastställde att Active Directory kan nås, hittade ändringar i principen och tillämpade dessa ändringar. Den cachelagrade kopian av Active Directory IPsec-principen används inte längre.
5471	PAStore Engine har läst in en IPsec-princip för lokal lagring på datorn.
5472	PAStore Engine kunde inte läsa in den lokala IPsec-lagringsprincipen på datorn.
5473	PAStore Engine har läst in IPsec-principen för kataloglagring på datorn.
5474	PAStore Engine kunde inte läsa in IPsec-principen för kataloglagring på datorn.
5477	PAStore-motorn kunde inte lägga till snabblägesfilter.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera Granska MPSSVC-Rule-Level principändringsprincip

Principen Granska MPSSVC-Rule-Level principändring avgör om operativsystemet genererar granskningshändelser när ändringar görs i principregler för Microsoft Protection Service (MPSSVC.exe).

Microsoft Protection Service, som används av Windows-brandväggen, är en integrerad del av datorns hotskydd mot internetbundna hot som trojaner och spionprogram. De spårade aktiviteterna omfattar:

Aktiva principer när Windows-brandväggstjänsten startar.
Ändringar i Windows-brandväggsregler.
Ändringar i undantagslistan för Windows-brandväggen.
Ändringar i inställningarna för Windows-brandväggen.
Regler som ignoreras eller inte tillämpas av Windows-brandväggstjänsten.
Ändringar i grupprincipinställningar för Windows-brandväggen.

Ändringar i brandväggsregler är viktiga för att förstå datorns säkerhetstillstånd och hur väl den skyddas mot nätverksattacker.

Händelse-ID	Händelsemeddelande
4944	Följande princip var aktiv när Windows-brandväggen startade.
4945	En regel angavs när Windows-brandväggen startade.
4946	En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel har lagts till.
4947	En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel ändrades.
4948	En ändring har gjorts i undantagslistan för Windows-brandväggen. En regel har tagits bort.
4949	Inställningarna för Windows-brandväggen återställdes till standardvärdena.
4950	En Windows-brandväggsinställning har ändrats.
4951	En regel har ignorerats eftersom dess huvudversionsnummer inte kändes igen av Windows-brandväggen.
4952	Delar av en regel har ignorerats eftersom dess mindre versionsnummer inte kändes igen av Windows-brandväggen. De andra delarna av regeln tillämpas.
4953	En regel har ignorerats av Windows-brandväggen eftersom den inte kunde parsa regeln.
4954	Grupprincipinställningarna för Windows-brandväggen har ändrats. De nya inställningarna har tillämpats.
4956	Windows-brandväggen har ändrat den aktiva profilen.
4957	Windows-brandväggen tillämpade inte följande regel.
4958	Windows-brandväggen tillämpade inte följande regel eftersom regeln refererade till objekt som inte har konfigurerats på den här datorn.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera Revidera andra principändringshändelser

Principen Granska andra principändringar avgör om operativsystemet genererar granskningshändelser för ändringar av säkerhetsprinciper som annars inte granskas i kategorin Principändring. Dessa andra aktiviteter i kategorin Principändring som kan granskas är:

TPM-konfigurationsändringar (Trusted Platform Module).
Kryptografiska självtester i kernelläge.
Operationer för kryptografiprovider
Kryptografiska kontextåtgärder eller ändringar.

Händelse-ID	Händelsemeddelande
4670	Behörigheter för ett objekt har ändrats.
4909	De lokala principinställningarna för TBS ändrades.
4910	Grupprincipinställningarna för TBS ändrades.
5063	Ett försök att utföra en kryptografisk operation gjordes.
5064	En kryptografisk kontextåtgärd försökte utföras.
5065	Ett försök gjordes att ändra kryptografikontexten.
5066	En krypteringsfunktionsoperation försöktes utföras.
5067	Ett försök gjordes att ändra kryptografiska funktioner.
5068	Ett försök att utföra en kryptografisk funktionstjänst gjordes.
5069	Ett försök gjordes att utföra en kryptografisk funktionsegenskap.
5070	Ett försök gjordes att ändra en kryptografisk funktionsegenskap.
5447	Ett Windows Filtering Platform-filter har ändrats.
6144	Säkerhetspolicyn i grupppolicyobjekten har tillämpats framgångsrikt.
6145	Ett eller flera fel uppstod vid bearbetning av säkerhetsprinciper i grupprincipobjekten.

Händelsevolym: Låg.
Standard: Ingen granskning.

Behörighetsanvändning

Behörigheter i ett nätverk beviljas för användare eller datorer för att slutföra definierade uppgifter. Behörighet Använd säkerhetsprincipinställningar och granskningshändelser så att du kan spåra användningen av vissa behörigheter på ett eller flera system. Den här kategorin innehåller följande underkategorier:

Expandera Revidera policy för användning av icke-känsliga behörigheter

Policyn Granskning av icke-känsliga användarprivilegier avgör om operativsystemet genererar granskningshändelser när icke-känsliga privilegier (användarrättigheter) används. Följande behörigheter är icke-känsliga:

Lägga till arbetsstationer i domänen
Justera minneskvoter för en process
Tillåt lokal inloggning
Tillåt inloggning via Terminal Services
Kringgå bläddringskontroll
Ändra datorns tid
Skapa en sidfil
Skapa globala objekt
Skapa permanent delade objekt
Skapa symboliska länkar
Neka åtkomst till den här datorn från nätverket
Neka inloggning som batchjobb
Neka inloggning som en tjänst
Neka inloggning lokalt
Neka inloggning via Terminal Services
Tvångsavsluta från ett fjärrsystem
Öka en process arbetsmängd
Öka schemaläggning prioritet
Låsa sidor i minnet
Logga in för ett batchjobb
Logga in som en tjänst
Ändra etikett för ett objekt
Utföra volymunderhållsuppgifter
Profilera enskild process
Profilera systemprestanda
Ta bort datorn från dockningsstation
Stänga av systemet
Synkronisera data i katalogtjänsten

Om du konfigurerar den här principinställningen genereras en granskningshändelse när en icke-känslig behörighet anropas. Lyckade granskningar registrerar lyckade försök och misslyckade granskningar registrerar misslyckade försök.

Händelse-ID	Händelsemeddelande
4672	Särskilda behörigheter som tilldelats till ny inloggning.
4673	En exklusiv tjänst anropades.
4674	En åtgärd försökte genomföras på ett privilegierat objekt.

Händelsevolym: Mycket hög.

Expandera granskningspolicy för användning av andra privilegiehändelser

Policyn Övervaka andra behörighetsanvändningshändelser används inte.

Expandera granskningsprincip för känslig behörighetsanvändning

Principen Granska känslig behörighetsanvändning avgör om operativsystemet genererar granskningshändelser när känsliga privilegier (användarrättigheter) används. Åtgärder som kan granskas är:

En privilegierad tjänst anropas.
En av följande behörigheter kallas:
- Agera som en del av operativsystemet
- Säkerhetskopiera filer och kataloger
- Skapa token-objekt
- Felsöka program
- Gör dator- och användarkonton betrodda för delegering
- Generera säkerhetsgranskningar
- Personifiera en klient efter autentisering
- Läsa in och ta bort drivrutiner
- Hantera granskning- och säkerhetsloggar
- Ändra maskinvarumiljö
- Ersätt en token på processnivå
- Återställa filer och kataloger
- Bli ägare till filer eller andra objekt

Om du konfigurerar den här principinställningen genereras en granskningshändelse när känsliga behörighetsbegäranden görs. Lyckade granskningar registrerar lyckade försök och misslyckade granskningar registrerar misslyckade försök.

Händelse-ID	Händelsemeddelande
4672	Särskilda behörigheter som tilldelats till ny inloggning.
4673	En exklusiv tjänst anropades.
4674	En åtgärd försökte genomföras på ett privilegierat objekt.

Händelsevolym: Hög.

System

Med inställningar för systemsäkerhetsprinciper och granskningshändelser kan du spåra ändringar på systemnivå på en dator som inte ingår i andra kategorier och som har potentiella säkerhetskonsekvenser. Den här kategorin innehåller följande underkategorier:

Utöka granskningsprincipen för IPsec-drivrutin

Policyn Övervaka IPsec Driver avgör om operativsystemet genererar övervakningshändelser för IPsec-drivarens aktiviteter. IPsec-drivrutinen, som använder IP-filterlistan från den aktiva IPsec-principen, bevakar efter utgående IP-paket som måste skyddas och inkommande IP-paket som måste verifieras och dekrypteras. Den här inställningen för säkerhetsprinciper rapporterar om följande aktiviteter för IPsec-drivrutinen:

Start och avstängning av IPsec-tjänster.
Paket släpptes på grund av fel i integritetskontrollen.
Paket droppade på grund av fel vid replay-kontroll.
Paket som förkastats på grund av att de är i klartext.
Paket som tagits emot med ett felaktigt SÄKERHETSparameterindex (SPI). Detta kan tyda på felaktiga maskinvaru- eller samverkansproblem.
Det gick inte att bearbeta IPsec-filter.

En hög mängd paket som släpps av IPsec-filterdrivrutinen kan tyda på försök att få åtkomst till nätverket av obehöriga system. Underlåtenhet att bearbeta IPsec-filter utgör en potentiell säkerhetsrisk eftersom vissa nätverksgränssnitt kanske inte får det skydd som tillhandahålls av IPsec-filtret.

Händelse-ID	Händelsemeddelande
4960	IPsec släppte ett inkommande paket som misslyckades med en integritetskontroll. Om det här problemet kvarstår kan det tyda på ett nätverksproblem eller att paket ändras under överföring till den här datorn. Kontrollera att paketen som skickas från fjärrdatorn är desamma som de som tas emot av den här datorn. Det här felet kan också tyda på samverkansproblem med andra IPsec-implementeringar.
4961	IPsec släppte ett inkommande paket som misslyckades med en omspelningskontroll. Om det här problemet kvarstår kan det tyda på en reprisattack mot den här datorn.
4962	IPsec släppte ett inkommande paket som misslyckades med en omspelningskontroll. Det inkommande paketet hade ett för lågt sekvensnummer för att säkerställa att det inte var en repris.
4963	IPsec släppte ett inkommande clear text-paket som borde ha skyddats. Detta beror vanligtvis på att fjärrdatorn ändrar sin IPsec-princip utan att informera den här datorn. Detta kan också vara ett förfalskningsattackförsök.
4965	IPsec tog emot ett paket från en fjärrdator med ett felaktigt SÄKERHETSparameterindex (SPI). Detta orsakas vanligtvis av felaktig maskinvara som skadar paket. Om dessa fel kvarstår kontrollerar du att paketen som skickas från fjärrdatorn är desamma som de som tas emot av den här datorn. Det här felet kan också tyda på samverkansproblem med andra IPsec-implementeringar. I så fall kan dessa händelser ignoreras om anslutningen inte hindras.
5478	IPsec-tjänster har startats framgångsrikt.
5479	IPsec Services har stängts av. Avstängningen av IPsec Services kan utsätta datorn för större risk för nätverksattacker eller utsätta datorn för potentiella säkerhetsrisker.
5480	IPsec Services kunde inte hämta den fullständiga listan över nätverksgränssnitt på datorn. Detta utgör en potentiell säkerhetsrisk eftersom vissa av nätverksgränssnitten kanske inte får det skydd som tillhandahålls av de tillämpade IPsec-filtren. Använd snapin-modulen IP Security Monitor för att diagnostisera problemet.
5483	IPsec Services kunde inte initiera RPC-servern. Det gick inte att starta IPsec Services.
5484	IPsec Services har drabbats av ett kritiskt fel och har stängts av. Avstängningen av IPsec Services kan utsätta datorn för större risk för nätverksattacker eller utsätta datorn för potentiella säkerhetsrisker.
5485	IPsec Services kunde inte bearbeta vissa IPsec-filter på en plug-and-play-händelse för nätverksgränssnitt. Detta utgör en potentiell säkerhetsrisk eftersom vissa av nätverksgränssnitten kanske inte får det skydd som tillhandahålls av de tillämpade IPsec-filtren. Använd snapin-modulen IP Security Monitor för att diagnostisera problemet.

Händelsevolym: Låg.
Standard: Ingen granskning.

Expandera Granska princip för andra systemhändelser

Principen Granska andra systemhändelser avgör om operativsystemet granskar olika systemhändelser. Systemhändelserna i den här kategorin omfattar:

Start och avslutning av tjänsten och drivrutinen för Windows-brandväggen.
Bearbetning av säkerhetspolicy av Windows-brandväggstjänsten.
Krypteringsnyckelfil- och migreringsåtgärder.

Important

Om windows-brandväggstjänsten inte startas kan det leda till en dator som inte är helt skyddad mot nätverkshot.

Händelse-ID	Händelsemeddelande
5024	Windows-brandväggstjänsten har startats.
5025	Windows-brandväggstjänsten har stoppats.
5027	Windows Brandvägg-tjänsten kunde inte hämta säkerhetspolicyn från den lokala lagringen. Tjänsten fortsätter att framtvinga den aktuella principen.
5028	Windows-brandväggstjänsten kunde inte parsa den nya säkerhetsprincipen. Tjänsten fortsätter med den princip som tillämpas för närvarande.
5029	Windows-brandväggstjänsten kunde inte initiera drivrutinen. Tjänsten fortsätter att tillämpa den aktuella principen.
5030	Windows-brandväggstjänsten kunde inte starta.
5032	Windows-brandväggen kunde inte meddela användaren att den blockerade ett program från att acceptera inkommande anslutningar i nätverket.
5033	Drivrutinen för Windows-brandväggen har startats framgångsrikt.
5034	Windows-brandväggsdrivrutinen har stoppats.
5035	Det gick inte att starta Windows-brandväggsdrivrutinen.
5037	Windows-brandväggsdrivrutinen upptäckte ett kritiskt körningsfel. Terminating.
5058	Nyckelfilsåtgärd.
5059	Nyckelmigreringsåtgärd.
6400	BranchCache: Fick ett felaktigt formaterat svar under upptäckandet av innehållets tillgänglighet. Den här händelsen loggas endast på datorer som kör versioner av Windows-operativsystemet som stöds.
6401	BranchCache: Tog emot ogiltiga data från en peer. Data har ignorerats. ¹
6402	BranchCache: Meddelandet till den värdbaserade cachen som erbjuder data är felaktigt formaterat. ¹
6403	BranchCache: Den värdbaserade cachen skickade ett felaktigt formaterat svar till klienten. ¹
6404	BranchCache: Värdbaserad cache kunde inte autentiseras med det tillhandahållna SSL-certifikatet. ¹
6405	BranchCache: %2 instanser av händelse-ID %1 inträffade. ¹
6406	%1 registrerad i Windows-brandväggen för att styra filtreringen för följande: %2 ¹
6407	1% ¹
6408	Den registrerade produkten %1 misslyckades och Windows-brandväggen styr nu filtreringen för %2 ¹

Note

¹ Den här händelsen loggas endast på datorer som kör versioner av Windows-operativsystemet som stöds.

Händelsevolym: Låg.
Standard: Lyckades och misslyckades.

Expandera Princip för ändring av granskningssäkerhetstillstånd

Princip för ändring av granskningssäkerhetstillstånd avgör om Windows genererar granskningshändelser för ändringar i säkerhetstillståndet för ett system. Ändringar i säkerhetstillståndet för operativsystemet är:

Systemstart och avstängning.
Ändring av systemtid.
Systemåterställning från CrashOnAuditFail. Den här händelsen loggas efter att ett system startas om efter CrashOnAuditFail. Vissa granskningsbara aktiviteter kanske inte registreras när ett system startas om på grund av CrashOnAuditFail.

Händelse-ID	Händelsemeddelande
4608	Windows startar upp.
4609	Windows stängs av.
4616	Systemtiden har ändrats.
4621	Administratören återställde systemet från CrashOnAuditFail. Användare som inte är administratörer får nu logga in. Vissa granskningsbara aktiviteter kanske inte har registrerats.

Händelsevolym: Låg.
Standard: Lyckades.

Expandera principen för säkerhetsövervakningssystemtillägg

Principen Audit Security System Extension avgör om operativsystemet genererar granskningshändelser relaterade till säkerhetssystemtillägg. Ändringar av säkerhetssystemtillägg i operativsystemet omfattar följande aktiviteter:

En kod för säkerhetstillägg läses in (till exempel ett autentiserings-, meddelande- eller säkerhetspaket). En kod för säkerhetstillägg registreras hos den lokala säkerhetsmyndigheten och kommer att användas och vara betrodd för att autentisera inloggningsförsök, skicka inloggningsbegäranden och meddelas om eventuella konto- eller lösenordsändringar. Exempel på den här tilläggskoden är leverantörer av säkerhetssupport, till exempel Kerberos och NTLM.
En tjänst är installerad. En granskningslogg genereras när en tjänst registreras med Service Control Manager. Granskningsloggen innehåller information om tjänstnamnet, binärfilen, typen, starttypen och tjänstkontot.

Important

Försök att installera eller läsa in säkerhetssystemtillägg eller tjänster är kritiska systemhändelser som kan tyda på en säkerhetsöverträdelse.

Händelse-ID	Händelsemeddelande
4610	Ett autentiseringspaket har lästs in av den lokala säkerhetsmyndigheten.
4611	En betrodd inloggningsprocess har registrerats hos den lokala säkerhetsmyndigheten.
4614	Ett meddelandepaket har lästs in av Säkerhetskontohanteraren.
4622	Ett säkerhetspaket har lästs in av den lokala säkerhetsmyndigheten.
4697	En tjänst installerades i systemet.

Händelsevolym: Låg. Händelser för säkerhetssystemtillägg genereras oftare på en domänkontrollant än på klientdatorer eller medlemsservrar.
Standard: Ingen granskning.

Expandera policyn för granskningssystemintegritet

Policyn För granskningssystemintegritet bestämmer om operativsystemet granskar händelser som bryter mot säkerhetsundersystemets integritet. Aktiviteter som bryter mot integriteten i säkerhetsundersystemet är:

Granskade händelser går förlorade på grund av ett fel i granskningssystemet.
En process använder en ogiltig LPC-port (local procedure call) i ett försök att personifiera en klient, svara på ett klientadressutrymme, läsa till ett klientadressutrymme eller skriva från ett klientadressutrymme.
En RPC-integritetsöverträdelse har identifierats.
En kodintegritetsöverträdelse med ett ogiltigt hashvärde för en körbar fil identifieras.
Kryptografiska uppgifter utförs.

Important

Överträdelser av säkerhetsundersystemets integritet är kritiska och kan tyda på en potentiell säkerhetsattack.

Händelse-ID	Händelsemeddelande
4612	Interna resurser som allokerats för köer av granskningsmeddelanden har uttömts, vilket ledde till att vissa granskningar gick förlorade.
4615	Ogiltig användning av LPC-port.
4618	Ett övervakat säkerhetshändelsemönster har inträffat.
4816	RPC upptäckte en integritetsöverträdelse när ett inkommande meddelande dekrypterades.
5038	Kodintegriteten fastställde att avbildningshashen för en fil inte är giltig. Filen kan vara skadad på grund av obehörig ändring eller så kan den ogiltiga hashen tyda på ett potentiellt diskenhetsfel.
5056	Ett kryptografiskt självtest utfördes.
5057	En kryptografisk primitiv åtgärd misslyckades.
5060	Verifieringsåtgärden misslyckades.
5061	Kryptografisk åtgärd.
5062	Ett kryptografiskt självtest i kernelläge utfördes.
6281	Kodintegritet har fastställt att sid-hashvärden för en bildfil inte är giltiga. Filen kan vara felaktigt signerad utan sid-hashar eller skadad på grund av obehörig ändring. Ogiltiga hashvärden kan tyda på ett potentiellt diskenhetsfel. Den här händelsen loggas endast på datorer som kör de versioner av Windows-operativsystemet som stöds.

Händelsevolym: Låg.
Standard: Lyckades och misslyckades.

Global objektåtkomst

Principinställningar för global objektåtkomstgranskning gör det möjligt för administratörer att definiera dator-SACL:er per objekttyp för filsystemet eller för registret. Den angivna SACL:en tillämpas sedan automatiskt på alla objekt av den typen.

Granskare kan bevisa att varje resurs i systemet skyddas av en granskningsprincip genom att visa innehållet i principinställningarna för global objektåtkomstgranskning. Om granskarna till exempel ser en principinställning med namnet "Spåra alla ändringar som gjorts av gruppadministratörer" vet de att den här principen är i kraft.

Resurs-SACL:er är också användbara för diagnostikscenarier. Om du till exempel anger principen för global objektåtkomstgranskning för att logga all aktivitet för en specifik användare och aktivera principen för att spåra "Åtkomst nekad" händelser för filsystemet eller registret kan administratörer snabbt identifiera vilket objekt i ett system som nekar en användare åtkomst.

Om du markerar kryssrutan Definiera den här principinställningen på principens egenskapssida väljer du Konfigurera. Du kan lägga till en användare eller grupp i den globala SACL:en. På så sätt kan du definiera dator-SACL:er per objekttyp för filsystemet. Den angivna SACL:en tillämpas sedan automatiskt på varje filsystemobjekttyp.
Expandera filsystemspolicy (granskning av global objektåtkomst)

Med principen För granskning av filsystem (global objektåtkomst) kan du konfigurera en global SACL på filsystemet för en hel dator.

Om både en fil- eller mapp-SACL och en global SACL har konfigurerats på en dator, härleds den effektiva SACL:en genom att kombinera filen eller mappen SACL och den globala SACL:en. Det innebär att en granskningshändelse genereras om en aktivitet matchar antingen fil- eller mapp-SACL:en eller den globala SACL:en.
- Händelsevolym: Varierar på den effektiva SACL:en och användaraktivitetsnivån.
Expandera registerpolicy (global objektåtkomstgranskning)

Med principen Register (global objektåtkomstgranskning) kan du konfigurera en global SACL i registret på en dator.

Om både en register-SACL och en global SACL konfigureras på en dator härleds den effektiva SACL:en genom att kombinera registrets SACL och den globala SACL:en. Det innebär att en granskningshändelse genereras när en aktivitet matchar antingen registernyckeln SACL eller den globala SACL:en.
- Händelsevolym: Varierar på den effektiva SACL:en och användaraktivitetsnivån.

Feedback

Var den här sidan till hjälp?

Last updated on 2025-08-16

Konfiguration av avancerad granskningsprincip

Feedback

Ytterligare resurser