Microsoft windows security auditing 6281

Вопрос

I am having problems with Windows 7 security alerts and ZASS on an ASUS M51Sn computer (Windows 7 not supported by ASUS on this particular model):

In my windows logs I get this event:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 28/12/2009 5:29:45 PM
Event ID: 6281
Task Category: System Integrity
Level: Information
Keywords: Audit Failure
User: N/A
Computer: xxxx-PC
Description:
Code Integrity determined that the page hashes of an image file are not valid. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. The invalid hashes could indicate a potential disk device error.

File Name: \Device\HarddiskVolume1\Program Files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

It is a brand new hard drive and I ran CHKDSK with no errors. I installed the new disk on 24/12 and the error has occurred 153 times. I have also posted same question on Zpne Alarm forums as file affected appears to be a Zone Alarm file.

I also have Zone Alarm installed on two Windows 7 Home Premium desk top computers and this error does not occur, only on my laptop.

6281(F). Целостность кода определяет, что хеши страницы файла изображений не допустимы. 6281(F): Code Integrity determined that the page hashes of an image file are not valid. Файл может быть неправильно подписан без хеши страницы или поврежден из-за несанкционированной модификации. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. Недействительные хеши могут указывать на потенциальную ошибку устройства диска. The invalid hashes could indicate a potential disk device error.

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Файл может быть неправильно подписан без хеши страницы или поврежден из-за несанкционированной модификации. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. Недействительные хеши могут указывать на потенциальную ошибку устройства диска. The invalid hashes could indicate a potential disk device error.

Целостность кода — это функция, которая повышает безопасность операционной системы путем проверки целостности файла драйвера или системы при каждом загрузке в память. Code Integrity is a feature that improves the security of the operating system by validating the integrity of a driver or system file each time it is loaded into memory. Целостность кода определяет, загружается ли неподписанный драйвер или системный файл в ядро или был ли системный файл изменен вредоносным программным обеспечением, которое управляется учетной записью пользователя с административными разрешениями. Code Integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrative permissions. В версиях операционной системы на основе x64 драйверы в режиме ядра должны быть подписаны в цифровом формате. On x64-based versions of the operating system, kernel-mode drivers must be digitally signed.

Это событие создается, когда целостность кода определяет, что хеши страницы файла изображений не допустимы. This event generates when code Integrity determined that the page hashes of an image file are not valid. Файл может быть неправильно подписан без хеши страницы или поврежден из-за несанкционированной модификации. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. Это событие также создается при отзыве сертификата подписи. This event also generates when signing certificate was revoked. Недействительные хеши могут указывать на потенциальную ошибку устройства диска. The invalid hashes could indicate a potential disk device error.

В этом документе нет примера этого события. There is no example of this event in this document.

Схема событий: Event Schema:

Целостность кода определяет, что хеши страницы файла изображений не допустимы. Code Integrity determined that the page hashes of an image file are not valid. Файл может быть неправильно подписан без хеши страницы или поврежден из-за несанкционированной модификации. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. Недействительные хеши могут указывать на потенциальную ошибку устройства диска. The invalid hashes could indicate a potential disk device error.

Имя файла:%1 File Name:%1

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008 R2 Windows 7. Minimum OS Version: Windows Server 2008 R2, Windows 7.

Версии события: 0. Event Versions: 0.

Аудит целостности системы Audit System Integrity

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Целостность системы аудита определяет, проводит ли операционная система аудит событий, нарушающих целостность подсистемы безопасности. Audit System Integrity determines whether the operating system audits events that violate the integrity of the security subsystem.

Действия, нарушающие целостность подсистемы безопасности, включают следующие действия: Activities that violate the integrity of the security subsystem include the following:

Проверенные события теряются из-за сбоя системы аудита. Audited events are lost due to a failure of the auditing system.

Процесс использует недействительный локальный вызов процедуры (LPC) для попытки выдать себя за клиента, ответить на адресное пространство клиента, прочитать в адресное пространство клиента или написать из клиентского адресного пространства. A process uses an invalid local procedure call (LPC) port in an attempt to impersonate a client, reply to a client address space, read to a client address space, or write from a client address space.

Обнаружено нарушение целостности удаленного вызова процедуры (RPC). A remote procedure call (RPC) integrity violation is detected.

Обнаружено нарушение целостности кода с недопустимым значением hash для исполняемого файла. A code integrity violation with an invalid hash value of an executable file is detected.

Выполняются криптографические задачи. Cryptographic tasks are performed.

Нарушения целостности подсистем безопасности имеют решающее значение и могут указывать на потенциальную атаку безопасности. Violations of security subsystem integrity are critical and could indicate a potential security attack.

Объем событий: низкий. Event volume: Low.

Тип компьютера Computer Type	Общий успех General Success	Общий сбой General Failure	Более сильный успех Stronger Success	Более сильный сбой Stronger Failure	Комментарии Comments
Контроллер домена Domain Controller	Да Yes	Да Yes	Да Yes	Да Yes	Основная причина, по которой мы рекомендуем аудит успешности для этой подкатегории, заключается в том, чтобы иметь возможность получения ошибок нарушения целостности RPC и ошибок подсистем аудита (событие 4612). The main reason why we recommend Success auditing for this subcategory is to be able to get RPC integrity violation errors and auditing subsystem errors (event 4612). Однако если вы планируете вручную вызвать»4618(S): произошла схема отслеживаемого события безопасности», необходимо также включить аудит успешности для этой подкатегории. However, if you are planning to manually invoke “4618(S): A monitored security event pattern has occurred”, then you also need to enable Success auditing for this subcategory. Основная причина, по которой мы рекомендуем аудит сбоя для этой подкатегории, заключается в том, чтобы иметь возможность получать события сбоя целостности кода. The main reason why we recommend Failure auditing for this subcategory is to be able to get Code Integrity failure events.
Сервер участника Member Server	Да Yes	Да Yes	Да Yes	Да Yes	Основная причина, по которой мы рекомендуем аудит успешности для этой подкатегории, заключается в том, чтобы иметь возможность получения ошибок нарушения целостности RPC и ошибок подсистем аудита (событие 4612). The main reason why we recommend Success auditing for this subcategory is to be able to get RPC integrity violation errors and auditing subsystem errors (event 4612). Однако если вы планируете вручную вызвать»4618(S): произошла схема отслеживаемого события безопасности», необходимо также включить аудит успешности для этой подкатегории. However, if you are planning to manually invoke “4618(S): A monitored security event pattern has occurred”, then you also need to enable Success auditing for this subcategory. Основная причина, по которой мы рекомендуем аудит сбоя для этой подкатегории, заключается в том, чтобы иметь возможность получать события сбоя целостности кода. The main reason why we recommend Failure auditing for this subcategory is to be able to get Code Integrity failure events.
Workstation Workstation	Да Yes	Да Yes	Да Yes	Да Yes	Основная причина, по которой мы рекомендуем аудит успешности для этой подкатегории, заключается в том, чтобы иметь возможность получения ошибок нарушения целостности RPC и ошибок подсистем аудита (событие 4612). The main reason why we recommend Success auditing for this subcategory is to be able to get RPC integrity violation errors and auditing subsystem errors (event 4612). Однако если вы планируете вручную вызвать»4618(S): произошла схема отслеживаемого события безопасности», необходимо также включить аудит успешности для этой подкатегории. However, if you are planning to manually invoke “4618(S): A monitored security event pattern has occurred”, then you also need to enable Success auditing for this subcategory. Основная причина, по которой мы рекомендуем аудит сбоя для этой подкатегории, заключается в том, чтобы иметь возможность получать события сбоя целостности кода. The main reason why we recommend Failure auditing for this subcategory is to be able to get Code Integrity failure events.

Список событий: Events List:

4612(S): Внутренние ресурсы, выделенные для очереди сообщений аудита, исчерпаны, что приводит к потере некоторых проверок. 4612(S): Internal resources allocated for the queuing of audit messages have been exhausted, leading to the loss of some audits.

4615(S). Недействительным использование порта LPC. 4615(S): Invalid use of LPC port.

4618(S): имеет место отслеживаемая модель событий безопасности. 4618(S): A monitored security event pattern has occurred.

4816(S): RPC обнаружил нарушение целостности при расшифровке входящих сообщений. 4816(S): RPC detected an integrity violation while decrypting an incoming message.

5038(F). Целостность кода определяет, что хаш изображения файла не является допустимым. 5038(F): Code integrity determined that the image hash of a file is not valid. Файл может быть поврежден из-за несанкционированной модификации или недействительный хаш может указывать на потенциальную ошибку устройства диска. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

5056(S): было выполнено криптографическое самопроверка. 5056(S): A cryptographic self-test was performed.

5062(S): было выполнено криптографическое самопроверка в режиме ядра. 5062(S): A kernel-mode cryptographic self-test was performed.

5057(F): операция криптографических примитивов не удалась. 5057(F): A cryptographic primitive operation failed.

5060(F): операция проверки не удалась. 5060(F): Verification operation failed.

5061(S, F): криптографическая операция. 5061(S, F): Cryptographic operation.

6281(F): Целостность кода определяет, что хеши страницы файла изображений не допустимы. 6281(F): Code Integrity determined that the page hashes of an image file are not valid. Файл может быть неправильно подписан без хеши страницы или поврежден из-за несанкционированной модификации. The file could be improperly signed without page hashes or corrupt due to unauthorized modification. Недействительные хеши могут указывать на потенциальную ошибку устройства диска. The invalid hashes could indicate a potential disk device error.

6410(F). Целостность кода определяет, что файл не соответствует требованиям безопасности для загрузки в процесс. 6410(F): Code integrity determined that a file does not meet the security requirements to load into a process.

Аудит отказа в журнале безопасности Windows

установленная ос windows 8.1 x64

Журнал безопасности виндовс фиксирует:

Предмет:
Идентификатор безопасности:
ALIENWARE\xxxxxx
Имя учетной записи:
xxxxxx
Домен учетной записи:
ALIENWARE
Идентификатор входа в систему:
0x35426

Криптографические параметры:
Имя поставщика:
Microsoft Software Key Storage Provider
Имя алгоритма:
UNKNOWN
Имя ключа:
CD1CC265-0DA0-4230-8419-CB6F808FE688
Тип ключа: Ключ пользователя.

Операция шифрования:
Операция: Открыть ключ.
Код возврата: 0x80090016

Код события 5061

— System
— Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] <54849625-5478-4994-a5ba-3e3b0328c30d>
EventID 5061
Version 0
Level 0
Task 12290
Opcode 0
Keywords 0x8010000000000000
— TimeCreated
[ SystemTime] 2014-02-19T17:59:25.320658500Z
EventRecordID 25063
Correlation
— Execution
[ ProcessID] 712
[ ThreadID] 5528
Channel Security
Computer ALIENWARE
Security
— EventData
SubjectUserSid S-1-5-21-1922952922-4088675602-1580546449-1001
SubjectUserName xxxxxx
SubjectDomainName ALIENWARE
SubjectLogonId 0x35426
ProviderName Microsoft Software Key Storage Provider
AlgorithmName UNKNOWN
KeyName CD1CC265-0DA0-4230-8419-CB6F808FE688
KeyType %%2500
Operation %%2480
ReturnCode
0x80090016

Данный аудит фиксируется при закрытии браузера IE v.11.0.9600.16518 при условии активного параметра «Удаления журнала браузера при выходе

как устранить появление данных ошибок.