Главная » Linux

Microsoft windows security auditing 5038

Содержание
  1. Microsoft windows security auditing 5038
  2. Answered by:
  3. Question
  4. Answers
  5. Microsoft windows security auditing 5038
  6. Answered by:
  7. Question
  8. Answers
  9. All replies
  10. Аудит управления группами безопасности Audit Security Group Management

Microsoft windows security auditing 5038

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

I have this Event Log Audit Failure 5038 on this computer and can’t seem to find a solution online. I have seen the same problem reported by others on Vista SP1 and don’t seem to have a solution for it till today. Can anyone please help?

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 4/19/2012 12:32:12 PM
Event ID: 5038
Task Category: System Integrity
Level: Information
Keywords: Audit Failure
User: N/A
Computer: LXATDxxxxx
Description:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name: \Device\HarddiskVolume2\Windows\System32\drivers\Haspnt.sys
Event Xml:

5038
0
0
12290
0
0x8010000000000000

67547

Security
LXATDxxxxx

\Device\HarddiskVolume2\Windows\System32\drivers\Haspnt.sys

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 4/19/2012 12:32:12 PM
Event ID: 5038
Task Category: System Integrity
Level: Information
Keywords: Audit Failure
User: N/A
Computer: LXATDxxxxx
Description:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name: \Device\HarddiskVolume2\Windows\System32\drivers\Haspnt.sys
Event Xml:

5038
0
0
12290
0
0x8010000000000000

67547

Security
LXATDxxxxx

\Device\HarddiskVolume2\Windows\System32\drivers\Haspnt.sys

  • Moved by Carey Frisch MVP Wednesday, April 25, 2012 8:46 PM Moved to more appropriate forum category (From:Windows Vista Service Packs/Windows Server 2008 Service Packs)

Answers

I noticed that the error is related to Haspnt.sys. And based on my research, Haspnt.sys is provided by Aladdin Knowledge Systems. Please try reinstalling or updating the software and see how it works.

Meanwhile, considering this issue might be related to the specific software, it is recommended to contact Aladdin Knowledge Systems Support for help.

Hope this helps.

TechNet Community Support

Yes, you are right about the error caused by Haspnt.sys a USB Security Dongle Driver provided by Aladdin Knowledge Systems.

The problem with it is by uninstalling and reinstalling the driver will not solve the problem due to the fact that it was caused by the older HASP4 driver when uninstalling left behind a number of files that will cause problem after installing and running the newer HASP5 driver.

The following are the steps that I had taken to resolve this problem:

1) First goto the Aladdin site to download the latest HASP driver, at this moment is the HASP6 driver.

2) I also went to the CNET site to download the free Wise Disk Cleaner as well as the Free Wise Registry Cleaner, which has been verified to be virus and trojen free by CNET as well as by Kaspersky and Norton softwares.

3) Temporary disable any anti-virus protection software until next restart.

4) Next goto C:\Program Files\Common Files\Aladdin Shared\HASP or the equivalent folder for your version of Windows to erase every haspvlib*.dll files.

5) Select START — Control Panel — Programs and Features — to uninstall the «Sentinel HASP Run-Time» program.

6) Select START — Administrative Tools — Services — to stop any services that start with «Hasp» or «HLServer»

7) Goto C:\Windows\System32\Drivers or equivalent folder for your version of Windows to remove any «aks*.*» files, «hardlock.sys» and «haspnt.sys».

8) Next Select START — Control Panel — Device Manager — and select the «View» tab to activate «Show Hidden Devices».

9) Expand the «Non plug and play divers»

10) Uninstall each of the following by right clicking if it exists: «Hardlock», «Haspnt», «HASP fridge» or «aksfridge».

11) At this moment I would have install both the Wise Disk Cleaner and Wise Registry Cleaner onto the computer. Start the Registry Cleaner and select «Backup» to create a «System Restore Point» as well and a»Full Registry Backup» just in case we need it.

12) Select START — All Programs — Accessories — activating the «Command Prompt» by right clicking it using «Run as administrator».

13) Type «regedit» to open the registry editor, and goto HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/, and delete the following files: «aksfridge» or «HASP fridge», «akshasp», «aksusb», «hardlock», «haspnt» and «hasplms».

14) Close all applications and restart the computer.

15) Start the Wise Disk Cleaner to clean all unwanted files that were left over by the previous HASP driver installation and restart the computer.

16) Start the Wise Registry Cleaner to remove all unwanted registries left over by the previous HASP driver installation and restart the computer.

17) Install the latest HASP driver and restart the computer to activate it.

18) Wahlah! Event ID: 5038 is gone for good.

Microsoft windows security auditing 5038

This forum is closed. Thank you for your contributions.

Answered by:

Question

I’ve recently noticed bursts (e.g. 16 in a row, all with the same timestamp) of Event Log entries #5038 in the Security Event Log in Vista SP1 systems:

Code integrity determined that the image hash of a file is not valid. The
file could be corrupt due to unauthorized modification or the invalid hash
could indicate a potential disk device error.

File Name: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

I noticed this the first time about two weeks after installing SP1 to my several-month-old Vista installation. Comparing the event timestamps to other event log entries and verifying against the file system, they began right after I installed Diskeeper 2008, which I did no more than a day or so before I found the entries in the event log. That is, the errors never occurred in the months prior to installing SP1, and following SP1 installation, they didn’t occur for the next couple of weeks prior to installing Diskeeper 2008. I figured Diskeeper was somehow interfering with the OS, but now I think I was mistaken.

Читайте также:  Webdav для mac os

I’ve since installed Vista w/ integrated SP1 from MSDN, and while I didn’t install Diskeeper, the error message began to appear the day after I installed Vista w/ SP1, right after I installed the Realtek HD sound drivers. I believe the error is spurious. The tcpip.sys driver has a valid digital certificate. If anyone wants to check it against their Vista SP1 system, the fciv.exe output is:

X>fciv c:\windows\system32\drivers\tcpip.sys
//
// File Checksum Integrity Verifier version 2.05.
//
fc6e2835d667774d409c7c7021eaf9c4 c:\windows\system32\drivers\tcpip.sys

The event log entries do not appear immediately after booting, or even after I’ve used the computer for some time. They have not appeared so far today, nor did they appear yesterday.

Googling for /»Code integrity» vista hash tcpip.sys/, I found this from
«Jesper»:

http://groups.google.com/group/microsoft.public.windows.vista.security/msg/49f22efdaaa9920b

Submit a bug to Microsoft through whatever mechanism you got the beta
service pack. The problem is that the hash listed for tcpip.sys in the
manifest file is not correct.

There is not much else concerning tcpip.sys, but widening the search to /»Code integrity» vista hash/ turns up a lot more hits, though no explanation.

Again, the computer works fine, and I believe the error is spurious. The SFC program detects no problems. Does anyone have experience with this? Does anyone have this error in their Vista SP1 Security event log?

Answers

Thank you all for reporting this issue.

We are actively investigating this issue and looking into a resolution for SP2 RC.

All replies

I’m getting about the same problem, could it be that it really has nothing to do with that file but something else?

It just started recently also, but I can’t attribute it to any one thing in particular that I can think of.

Here’s what I’m getting:

Log Name: Security

Date: 11/2/2007 9:28:45 AM

Task Category: System Integrity

Keywords: Audit Failure

Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name: \Device\HarddiskVolume1\Windows\System32\APSHook.dll

I’m getting about the same problem, could it be that it really has nothing to do with that file but something else?

I’d bet it’s a bug in whatever’s generating those messages.

Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name: \Device\HarddiskVolume1\Windows\System32\drivers\Mpfp.sys

And I must admit it was different on my last system (yesterday). I did a clean install, nothing but my security suite is installed, and vista of course. My install was completed about 2 hrs ago so it truly is fresh. If it’s a bug, seems to be a vista bug or mcafee since I do have that as part of my security suite. I suppose it could relate to Seagate? I have just installed the same type of hard drive as my alleged failed one. What I find interesting is that I seem to have hard drive errors yet again, errors of the drivers for the hard drives. I had this problem last time and yes my motherboard supports large transfer rates. I’m using an Asus p5nsli motherboard if you’d like to check. I find it strange I get hard drive errors yet again when my last one kept saying my volume was dirty and my driver was going to fail (or my drive) under the reliability and performance or what have you that comes with windows vista.

My last hard drive got to where it would not boot (at times, if you can believe that), I’ve yet to finish my research and begin testing the drive as I still have to get my files off of it. My install is quite fresh and I do have this error. If it’s a bug, it sounds vista related.

My last vista install lasted right at 13 months before I had to replace the hard drive. I had to repair and system restore several times also. Thinking either it was a hard drive driver issue or some other driver or controller issue that was replaced by another mfr with my last hard drive like, for example, a video card’s ata controller or similar. I’m not quite sure how those work, the installs and conflicts with drivers. This time, the new drive does make a noise but least it’s got a 5 year warranty. Strange it makes a noise and it’s brand spanking new. I can say the last vista install last about 8 months before I had to do a restore or a repair so I’m not really sure. Too many things it could be. I think my last disk got some issue with the files not sticking to the boot sector, maybe due to locking up? I’m hoping this error has nothing to do with what crashed my last drive/installation.

Hope this information helps someone

Edit: I’ve found this file belongs to McAfee. (File Name: \Device\HarddiskVolume1\Windows\System32\drivers\Mpfp.sys)

runscanner seems to think it is clean as far as the md5 hash is concerned, it seems.

Аудит управления группами безопасности Audit Security Group Management

Область применения Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Аудит управления группой безопасности определяет, генерирует ли операционная система события аудита при выполнении определенных задач управления группой безопасности. Audit Security Group Management determines whether the operating system generates audit events when specific security group management tasks are performed.

Объем события: низкий. Event volume: Low.

Эта подкатегория позволяет проводить аудит событий, созданных изменениями в группах безопасности, например: This subcategory allows you to audit events generated by changes to security groups such as the following:

Создается, меняется или удаляется группа безопасности. Security group is created, changed, or deleted.

Участник добавляется или удаляется из группы безопасности. Member is added or removed from a security group.

Тип группы изменен. Group type is changed.

Читайте также:  Windows 10 как обновить codec pack
Тип компьютера Computer Type Общий успех General Success Общий сбой General Failure Более успешный успех Stronger Success Более сильное сбой Stronger Failure Комментарии Comments
Контроллер домена Domain Controller Да Yes Нет No Да Yes Нет No Мы рекомендуем проводить аудит успешности групп безопасности, чтобы увидеть новые события создания групп, изменения и удаление критических групп. We recommend Success auditing of security groups, to see new group creation events, changes and deletion of critical groups. Кроме того, вы получите сведения о новых членах групп безопасности, при удалении участника из группы и при ее нумеровом членстве в группе безопасности. Also you will get information about new members of security groups, when a member was removed from a group and when security group membership was enumerated.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Сервер-член Member Server Да Yes Нет No Да Yes Нет No Мы рекомендуем проводить аудит успешности групп безопасности, чтобы увидеть новые события создания групп, изменения и удаление критических групп. We recommend Success auditing of security groups, to see new group creation events, changes and deletion of critical groups. Кроме того, вы получите сведения о новых членах групп безопасности, при удалении участника из группы и при ее нумеровом членстве в группе безопасности. Also you will get information about new members of security groups, when a member was removed from a group and when security group membership was enumerated.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Workstation Workstation Да Yes Нет No Да Yes Нет No Мы рекомендуем проводить аудит успешности групп безопасности, чтобы увидеть новые события создания групп, изменения и удаление критических групп. We recommend Success auditing of security groups, to see new group creation events, changes and deletion of critical groups. Кроме того, вы получите сведения о новых членах групп безопасности, при удалении участника из группы и при ее нумеровом членстве в группе безопасности. Also you will get information about new members of security groups, when a member was removed from a group and when security group membership was enumerated.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.

Список событий: Events List:

4731(S): создана локализованная группа с поддержкой безопасности. 4731(S): A security-enabled local group was created.

4732(S): участник был добавлен в локализованную группу с включенной поддержкой безопасности. 4732(S): A member was added to a security-enabled local group.

4733(S): участник был удален из локальной группы с включенной поддержкой безопасности. 4733(S): A member was removed from a security-enabled local group.

4734(S): удалена локализованная группа с включенной поддержкой безопасности. 4734(S): A security-enabled local group was deleted.

4735(S): изменена локализованная группа с поддержкой безопасности. 4735(S): A security-enabled local group was changed.

4764(S): тип группы был изменен. 4764(S): A group’s type was changed.

4799(S): было енотализовано членство в локальной группе с поддержкой безопасности. 4799(S): A security-enabled local group membership was enumerated.

4727(S): создана глобальная группа с поддержкой безопасности. 4727(S): A security-enabled global group was created. См. событие _ 4731:создана локализованная группа с включенной поддержкой безопасности._ See event 4731: A security-enabled local group was created. Событие 4727 — это то же **** самое, но оно создается для глобальной группы безопасности, а не локальной группы безопасности. Event 4727 is the same, but it is generated for a global security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4727(S) создается только для групп доменов, поэтому локальные разделы в событии 4731 не применяются. Event 4727(S) generates only for domain groups, so the Local sections in event 4731 do not apply.

4737(S): изменена глобальная группа с поддержкой безопасности. 4737(S): A security-enabled global group was changed. См. событие _ 4735:изменена локализованная группа с включенной поддержкой безопасности._ See event 4735: A security-enabled local group was changed. Событие 4737 — это то же **** самое, но оно создается для глобальной группы безопасности, а не локальной группы безопасности. Event 4737 is the same, but it is generated for a global security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4737(S) создается только для групп доменов, поэтому локальные разделы в событии 4735 не применяются. Event 4737(S) generates only for domain groups, so the Local sections in event 4735 do not apply.

4728(S): участник был добавлен в глобальную группу с включенной поддержкой безопасности. 4728(S): A member was added to a security-enabled global group. См. событие _ 4732:участник был добавлен в локализованную группу с включенной поддержкой безопасности._ See event 4732: A member was added to a security-enabled local group. Событие 4728 — это то же **** самое, но оно создается для глобальной группы безопасности, а не локальной группы безопасности. Event 4728 is the same, but it is generated for a global security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4728(S) создается только для групп доменов, поэтому локальные разделы в событии 4732 не применяются. Event 4728(S) generates only for domain groups, so the Local sections in event 4732 do not apply.

4729(S): участник был удален из глобальной группы с включенной поддержкой безопасности. 4729(S): A member was removed from a security-enabled global group. См. событие _ 4733:участник был удален из локальной группы с включенной поддержкой безопасности._ See event 4733: A member was removed from a security-enabled local group. Событие 4729 — это то же **** самое, но оно создается для глобальной группы безопасности, а не локальной группы безопасности. Event 4729 is the same, but it is generated for a global security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4729(S) создается только для групп доменов, поэтому локальные разделы в событии 4733 не применяются. Event 4729(S) generates only for domain groups, so the Local sections in event 4733 do not apply.

4730(S): удалена глобальная группа с включенной поддержкой безопасности. 4730(S): A security-enabled global group was deleted. См. событие _ 4734:удалена локализованная группа с включенной поддержкой безопасности._ See event 4734: A security-enabled local group was deleted. Событие 4730 — это то же **** самое, но оно создается для глобальной группы безопасности, а не локальной группы безопасности. Event 4730 is the same, but it is generated for a global security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4730(S) создается только для групп доменов, поэтому локальные разделы в событии 4734 не применяются. Event 4730(S) generates only for domain groups, so the Local sections in event 4734 do not apply.

4754(S): создана универсальная группа с поддержкой безопасности. 4754(S): A security-enabled universal group was created. См. событие _ 4731:создана локализованная группа с включенной поддержкой безопасности._ See event 4731: A security-enabled local group was created. Событие 4754 — это то же **** самое, но оно создается для универсальной группы безопасности, а не локальной группы безопасности. Event 4754 is the same, but it is generated for a universal security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4754(S) создается только для групп доменов, поэтому локальные разделы в событии 4731 не применяются. Event 4754(S) generates only for domain groups, so the Local sections in event 4731 do not apply.

4755(S): изменена универсальная группа с поддержкой безопасности. 4755(S): A security-enabled universal group was changed. См. событие _ 4735:изменена локализованная группа с включенной поддержкой безопасности._ See event 4735: A security-enabled local group was changed. Событие 4737 — это то же **** самое, но оно создается для универсальной группы безопасности, а не локальной группы безопасности. Event 4737 is the same, but it is generated for a universal security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4755(S) создается только для групп доменов, поэтому локальные разделы в событии 4735 не применяются. Event 4755(S) generates only for domain groups, so the Local sections in event 4735 do not apply.

4756(S): участник был добавлен в универсальную группу с включенной поддержкой безопасности. 4756(S): A member was added to a security-enabled universal group. См. событие _ 4732:участник был добавлен в локализованную группу с включенной поддержкой безопасности._ See event 4732: A member was added to a security-enabled local group. Событие 4756 — это то же **** самое, но оно создается для универсальной группы безопасности, а не локальной группы безопасности. Event 4756 is the same, but it is generated for a universal security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4756(S) создается только для групп доменов, поэтому локальные разделы в событии 4732 не применяются. Event 4756(S) generates only for domain groups, so the Local sections in event 4732 do not apply.

4757(S): участник был удален из универсальной группы с включенной поддержкой безопасности. 4757(S): A member was removed from a security-enabled universal group. См. событие _ 4733:участник был удален из локальной группы с включенной поддержкой безопасности._ See event 4733: A member was removed from a security-enabled local group. Событие 4757 — это то же **** самое, но оно создается для универсальной группы безопасности, а не локальной группы безопасности. Event 4757 is the same, but it is generated for a universal security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4757(S) создается только для групп доменов, поэтому локальные разделы в событии 4733 не применяются. Event 4757(S) generates only for domain groups, so the Local sections in event 4733 do not apply.

4758(S): удалена универсальная группа с включенной поддержкой безопасности. 4758(S): A security-enabled universal group was deleted. См. событие _ 4734:удалена локализованная группа с включенной поддержкой безопасности._ See event 4734: A security-enabled local group was deleted. Событие 4758 — это то же **** самое, но оно создается для универсальной группы безопасности, а не локальной группы безопасности. Event 4758 is the same, but it is generated for a universal security group instead of a local security group. Все поля событий, XML и рекомендации одинаковы. All event fields, XML, and recommendations are the same. Единственным различием является тип группы. The type of group is the only difference.

Событие 4758(S) создается только для групп доменов, поэтому локальные разделы в событии 4734 не применяются. Event 4758(S) generates only for domain groups, so the Local sections in event 4734 do not apply.

Читайте также:  Copying local users in windows
Оцените статью
© 2024 Советы по настройке компьютера