新万博5g|万博manbetx.app安卓|万博下载包

下面是一个描述的元素,类型和属性组成中的Windows特定的系统特征项开放脆弱性和评估语言(椭圆形)。每个项目是标准的扩展项目元素中定义的核心系统特征模式。通过扩展,每一项继承的一组元素和属性之间共享的所有椭圆物品。详细描述每个项目,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。高水平的描述不同的测试及其之间的交互关系核心系统模式不是这里描述特征。椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。 Windows系统特点 5.11:5.11 12/18/2014 09:00:00我版权(c) 2002 - 2014,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到椭圆形的条款许可位于http://oval.mitre.org/oval/about/termsofuse.html。看到特定语言的椭圆形许可证管理权限和限制使用这种模式。当分发拷贝的椭圆模式,本授权头必须包括。访问令牌项目持有个人特权和权利的信息关联到一个特定的访问令牌。重要的是要注意,这些特权是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。数据段中的每个特权和权利接受一个布尔值表示是否授予特权。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 5.11 被userrights_item所取代。accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。看到userrights_item。这个对象已经弃用,可以在未来版本的语言。弃用单品:ID: 安全原则包括用户或组与当地或域账户,和计算机帐户时创建的计算机加入域。在Windows中,安全原则是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。用户权限和权限来访问对象例如Active Directory对象,文件和注册表设置分配给安全原则。在域环境中,安全原则应该被识别的形式:“域\受托人的名字”。对当地安全原则的使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。如果启用了这个特权,它允许父进程相关联的访问令牌替换为一个孩子的过程。如果启用了这个特权,它允许一个过程来生成审计记录在安全日志中。安全日志可用于跟踪系统的未经授权的访问。如果启用了这个特权,它允许用户绕过系统备份文件和目录权限。有幸被选中只有当一个应用程序试图访问使用NTFS备份应用程序编程接口(API)。否则,正常的文件和目录权限申请。如果启用了这个特权,它允许用户通过用户否则没有访问的文件夹路径导航对象在NTFS文件系统或在注册表中。这种特权不允许用户列出文件夹的内容;它只允许用户遍历目录。如果启用了这个特权,它允许用户创建命名文件映射对象的全局名称空间在终端服务会话。如果启用了这个特权,它允许用户创建和修改页面文件的大小。如果启用了这个特权,它允许一个进程创建一个目录对象在对象管理器。是有用的内核组件扩展对象名称空间。组件运行在内核模式本质上有这个特权。如果启用了这个特权,它允许用户创建一个符号链接。如果启用了这个特权,它允许一个进程创建一个访问令牌通过调用NtCreateToken()或其他token-creating api。如果启用了这个特权,它允许用户将调试器附加到任何过程。它提供了访问敏感和关键的操作系统组件。如果启用了这个特权,它允许用户改变信任代表团设置在Active Directory用户或计算机对象。获得这种特权的用户或计算机还必须写访问帐户控制对象上的旗帜。如果启用了这个特权,它允许用户后冒充客户端身份验证。如果启用了这个特权,它允许用户增加基本优先级类的一个过程。如果启用了这个特权,它允许一个进程访问第二个过程增加处理器配额分配给第二个进程。如果启用了这个特权,它允许用户增加一个工作集的过程。如果启用了这个特权,它允许用户安装和删除驱动程序即插即用设备。如果启用了这个特权,它允许一个进程保持物理内存中的数据,它可以防止系统分页虚拟内存磁盘上的数据。如果启用了这个特权,它允许用户添加电脑到一个特定的领域。如果启用了这个特权,它允许一个非管理员或远程用户管理卷或磁盘。如果启用了这个特权,它允许一个用户样本应用程序的性能的过程。如果启用了这个特权,它允许用户修改一个对象标签。如果启用了这个特权,它允许一个用户关闭一个计算机网络从远程位置。如果启用了这个特权,它允许一个用户绕过当恢复备份文件和目录的文件和目录权限和设置任何有效的安全原则作为一个对象的所有者。如果启用了这个特权,它允许用户指定对象访问审计选项等个人资源文件,活动目录对象,注册表键。这种特权的用户也可以从事件查看器查看和清除安全日志。如果启用了这个特权,它允许用户关闭本地计算机。如果启用了这个特权,它允许一个进程读目录中的所有对象和属性,无论保护对象和属性。这是需要为了使用轻量级目录访问协议(LDAP)目录同步(Dirsync)服务。如果启用了这个特权,它允许修改系统环境变量通过一个过程通过一个API或用户通过系统属性。如果启用了这个特权,它允许一个用户样本系统进程的性能。如果启用了这个特权,它允许用户在计算机的内部时钟调整时间。它不需要改变时区或其他显示系统时间的特性。如果启用了这个特权,它允许用户把系统中任何可获得的对象的所有权,包括活动目录对象,NTFS文件和文件夹,打印机,注册表键值、服务、流程和线程。如果启用了这个特权,它允许一个过程假设任何用户的身份,从而获得用户授权访问的资源。如果启用了这个特权,它允许用户改变时区。如果启用了这个特权,它允许用户出坞便携式计算机的计算机通过点击弹出电脑开始菜单。如果启用了这个特权,它允许用户从终端读取的数据的设备。如果这个权利分配一个账户,它可以使用批处理登录登录类型。如果这个权利分配一个账户,它可以使用交互式登录登录类型。如果这个权利分配一个账户,它可以登录使用网络登录类型。如果这个权利分配一个账户,可以登录到计算机通过使用远程桌面连接。如果这个权利分配一个账户,它可以使用服务登录登录类型。如果这个权利分配一个账户,明确否认了登录使用批处理登录类型的能力。如果这个权利分配一个账户,明确否认了登录使用交互式登录类型的能力。如果这个权利分配一个账户,明确否认能够登录使用网络登录类型。如果这个权利分配一个账户,明确否认登录通过终端服务的能力。如果这个权利分配一个账户,明确否认了登录使用服务登录类型的能力。如果这个权利分配一个账户,它可以访问凭据经理为受信任的调用方。活动目录项拥有Windows active directory中的特定条目的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。注意,这尽管只支持简单的基于(string)值集合。看到activedirectory57_item对于更复杂的值。每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有的部分对象的专有名称除命名上下文。如果xsi: nil属性设置为true,那么项目代表的是更高层次的命名上下文。指定了一个名为value包含的对象。类的名称的对象是一个实例。指定的信息的类型代表指定的属性。指定的active directory属性的实际值。 activedirectory57_item拥有Windows Active Directory中的特定条目的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。请注意,这个项目支持复杂的值的形式记录。对于简单的看到activedirectory_item(基于字符串)值集合。每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有的部分对象的专有名称除命名上下文。如果xsi: nil属性设置为true,那么项目代表的是更高层次的命名上下文。指定了一个名为value包含的对象。类的名称的对象是一个实例。指定的信息的类型代表指定的属性。指定的Active Directory属性的实际值。注意,虽然一个Active Directory属性可以包含结构化数据,需要收集多个相关领域,可以“记录”所描述的数据类型,它并非总是如此。它也可能是一个Active Directory属性只能包含一个值或值的数组。在这些情况下,没有一个名字来唯一地标识对应的字段(s)这是一个“记录”中的要求字段数据类型。因此,Active Directory属性的名称将用于唯一地标识字段(s),满足这一要求。如果Active Directory属性包含一个值,“记录”将有一个字段被Active Directory属性的名称。如果Active Directory属性包含一个数组的值,“记录”将有多个字段所有确定的Active Directory属性的名称 ——数据类型属性的价值实体activedirectory57_item必须“记录” auditeventpolicy项列举不同类型的系统应该审计事件。定义的值出现在窗口的POLICY_AUDIT_EVENT_TYPE枚举和访问时通过LsaQueryInformationPolicy InformationClass PolicyAuditEventsInformation参数设置。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。注意,当audinting禁用下面列出的每个实体应该设置为“AUDIT_NONE”。审计试图登录或注销系统。同时,审计试图建立一个网络连接。审计试图创建、删除或更改用户或组帐户。同时,审计密码更改。审计的特定事件,如程序激活,某些形式的处理重复,间接访问对象,进程退出。审计试图访问目录服务。审计试图登录或注销系统。同时,审计试图建立一个网络连接。审计试图访问可获得的对象,如文件。审计试图改变政策对象的规则。审计试图使用特权。审计试图关闭或重新启动计算机。此外,审计事件,影响系统安全或安全日志。 auditeventpolicysubcategories_item是用来保存信息审计事件策略设置在Windows系统。这些设置用于指定要监视的系统和网络活动。例如,如果credential_validation AUDIT_FAILURE元素有一个值,这意味着系统配置来记录所有成功尝试验证系统上的用户帐户。重要的是要注意,这些审计事件策略设置特定于特定版本的Windows。因此,文档版本的Windows应该咨询更多信息在每个设置。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。注意,当audinting禁用下面列出的每个实体应该设置为“AUDIT_NONE”。审计过程中产生的事件验证用户的登录凭据。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审核凭证验证审计产生的事件Kerberos身份验证票据授予请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9242 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerboros身份验证服务审计产生的事件Kerberos服务票证请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9240 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerberos服务票操作审计产生的事件在Kerberos票据的验证提供了一个用户帐户登录请求。 5.11 这个实体不映射到任何已知的审计事件政策子类。这个实体已经弃用,在6.0版本的语言将被删除。弃用元素:ID: 审计事件由更改用户帐户,不受其他帐户登录事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9241 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计其他帐户登录事件审计产生的事件改变应用程序组。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9239 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核应用程序组管理审计产生的事件改变计算机帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9236 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核计算机帐户管理审计事件分布变化所产生的群体。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9238 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核分配账户管理审计事件由其他用户帐户的变化,不受其他帐户管理事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核其他帐户管理事件审计事件由安全组的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9237 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核安全组管理审计事件产生的更改用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9235 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核用户帐户管理审计事件时产生请求的数据保护应用程序接口。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计DPAPI活动审计产生的事件当一个进程创建或开始。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计进程创建审计过程结束时产生的事件。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计过程终止审计事件产生的入站连接远程过程调用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计RPC事件审计事件时产生一个Active Directory域服务对象访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问审计产生的事件发生更改时,将活动目录域服务对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务的变化审计事件时产生两个活动目录域服务域控制器复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问审计产生的事件详细的活动目录域服务域控制器之间的复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计详细目录服务复制审计产生的事件的一个失败的尝试登录一个锁定帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9217 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计帐户锁定审计产生的事件网络密钥交换和验证网络协议谈判在扩展模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec扩展模式审计产生的事件网络密钥交换和验证网络协议谈判期间的主要模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9218 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:Logof /下线:审计IPsec的主要模式审计产生的事件网络密钥交换和验证网络协议在快速模式协商期间。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9219 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec快速模式审计产生的事件关闭一个登录会话。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9216 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计下线审计产生的事件的尝试登录一个用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9215 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计登录审计产生的活动半径和网络访问保护用户访问请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9243 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计网络策略服务器审计事件由其他登录/登出事件中未涉及的登录/注销类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计其他登录/登出事件审计产生的事件特别登录。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计特殊的登录审计用户和设备要求信息在用户的登录令牌。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9247 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计用户/设备要求审计产生的事件使用Windows审计API的应用程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9222 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计应用程序生成的审计产生的事件活动目录的操作证书服务。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9221 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计认证服务审计产生的事件试图访问共享文件夹的文件和文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9244 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计详细的文件共享审计产生的事件试图访问一个共享文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9224 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件共享审计事件产生用户试图访问文件系统对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件系统审计产生的事件连接允许或被Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9226 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台连接审计产生的事件下降了Windows的数据包过滤平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9225 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台丢包审计产生的事件处理时打开或关闭。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9223 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:处理操作审计产生的事件试图访问系统内核。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:内核对象审计任务调度器的事件产生的管理工作或COM +对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9227 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:其他对象访问的事件审计产生的事件试图访问注册表的对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计注册表审计产生的事件试图访问安全帐户管理器对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9220 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计山姆审计事件表明移动存储文件对象访问的图谋。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9245 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计移动存储审计事件表明许可允许还是拒绝了提议的政策不同于当前中央政策对一个对象的访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9246 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:中央访问政策阶段审计产生的事件的安全审计政策的改变设置。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计审计政策变化审计产生的事件改变身份验证策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9230 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计认证政策变化审计产生的事件改变授权策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9231 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计授权策略改变审计产生的事件改变Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9233 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计过滤平台政策变化审计策略规则的变化产生的事件所使用的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9232 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计MPSSVC规则层面上的政策改变审计产生的事件未涉及的其他安全政策变化政策变化的其他事件类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9234 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计其他政策变化的事件审计产生的事件的使用不敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9229 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计非敏感的特权使用这是目前未使用和保留了微软在未来使用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计其他特权使用事件审计产生的事件的使用敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9228 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计敏感的特权使用审计事件产生的IPsec过滤驱动程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9213 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计IPsec司机审计事件产生的启动和关闭,安全策略处理和加密密钥文件和迁移操作的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9214 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计其他系统事件审计产生的事件安全状态的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9210 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全状态变化审计产生的事件或服务保障体系扩展。这种状态符合以下ntsecapi中指定的GUID。h: cce9211 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全系统扩展审计的事件表明,已经违反了完整性安全子系统。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9212 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计系统的完整性 PowerShell cmdlet cmdlet_item代表,提供的参数,并返回值。包含cmdlet模块的名称。模块的全局唯一标识符。模块的版本包含cmdlet主要版本。次要版本。号码的形式 cmdlet动词。 cmdlet名词。一个属性列表(名称和值对)作为输入来调用cmdlet。 ——数据类型属性的参数实体cmdlet_item必须“记录” 字段列表(名称和值对)用作输入Select-Object cmdlet选择特定的输出属性。 ——数据类型属性的选择实体cmdlet_item必须“记录” 预期的值表示为一组字段(名称和值对)。 ——数据类型属性的价值实体cmdlet_item必须“记录” dnscache_item商店信息检索对域名的DNS缓存,它的生存时间,及其对应的IP地址。 domain_name元素包含一个字符串,该字符串代表一个域名的DNS缓存收集本地系统。 ttl元素包含一个整数,代表着时间住在秒的DNS缓存条目。 ip_address元素包含一个字符串,该字符串代表一个IP地址与指定的域名。注意,可以IPv4和IPv6的IP地址。这个元素描述文件元数据。_stst时间信息可以检索的功能。Development_class和其他版本信息(公司内部名称语言、original_filename product_name, product_version)可以使用VerQueryValue检索功能。 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。指定的目录组件的机器上的一个文件的绝对路径。文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。一个字符串,该字符串包含所有者的名称。这个名字应该域\用户名格式中指定。文件的大小,以字节为单位。文件的最后访问时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。创建文件的时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。文件的最后修改时间。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。文件的校验和是由微软MapFileAndCheckSum函数。版本的文件。子元素类型标志是否文件条目描述了一个目录,命名管道,标准文件,等。这些类型的返回值是GetFileType,除了FILE_ATTRIBUTE_DIRECTORY看着GetFileAttributesEx获得的。 development_class元素允许东德开发环境之间的区别和压开发环境。这个领域的文本中发现mmmmmm-nnnn前版本,例如srv03_gdr。这个实体定义公司名称版本信息结构内举行。这个实体定义内部名称版本信息结构内举行。这个实体定义语言版本信息结构内举行。这个实体定义原始文件名版本信息结构内举行。这个实体定义产品名称版本信息结构内举行。这个实体定义产品版本版本信息结构内举行。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。这个条目存储审计文件的访问权限,系统访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。指定一个文件的绝对路径的机器DACL检索。目录不能被指定为一个filepath。该元素指定绝对路径的目录组件的机器上的文件DACL检索。文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。该元素指定受托人的名字与这个特定的SACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 5.3 被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。这个实体已经弃用,在6.0版本的语言将被删除。弃用元素:ID: 删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。授予的权利从文件读取数据。授予的权利写入数据文件。赠款将数据附加到文件的权利。授予的权利阅读扩展属性。授予的权利写扩展属性。授予的权利执行一个文件。删除一个目录和它包含的所有文件(孩子),即使是只读的文件。授予的权利读文件属性。授予的权利更改文件属性。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。这个项目存储文件的有效权利,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。指定一个文件的绝对路径的机器DACL检索。目录不能被指定为一个filepath。该元素指定一个文件的绝对路径的机器DACL检索。文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 5.3 被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。这个实体已经弃用,在6.0版本的语言将被删除。弃用元素:ID: 删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。授予的权利从文件读取数据授予的权利写入数据文件。赠款将数据附加到文件的权利。授予的权利阅读扩展属性。授予的权利写扩展属性。授予的权利执行一个文件。删除一个目录和它包含的所有文件(孩子),即使是只读的文件。授予的权利读文件属性。授予的权利更改文件属性。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。窗户group_item允许不同的用户和组,直接属于特定群体(由名称标识),收集。收集到的子组不会找到间接得到解决用户或群成员。如果子组需要解决,它使用sid_object应该做的。注意,用户和组元素可以出现,次数不限。如果一个用户没有找到指定的组,一个用户元素应该存在状态的“不存在”。如果有一个错误确定一组的用户,一个用户元素应该存在一个“错误”的地位。如果小组中没有指定的组,一个组元素应该存在一个“不存在”的地位。如果有一个错误决定的子组,一组,一个组元素应该存在一个“错误”的地位。 5.11 被group_sid_item所取代。这个项目使用受托人名称识别系统上的账户。受托人姓名和group_sid_item并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到group_sid_item。这个对象已经弃用,可以在未来版本的语言。弃用单品:ID: 一个字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。对于内置的系统上的账户,使用用户名没有一个域。如果指定的组有多个用户作为一个成员,那么多个用户元素应该存在。如果指定的组不包含一个用户,然后单个用户元素应该存在状态的“不存在”。如果有一个错误决定的用户组的成员,那么单个用户元素应该包含在“错误”的地位。一个字符串,该字符串代表一个特定的子群的名称在指定的组。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,首先应确定子组的形式:“域\组名称”。在当地环境中,首先应确定子组的形式:“计算机名称\组名称”。如果子组内建组,首先应确定子组的形式:“组名”没有一个域组件。如果指定的组有超过一个小组成员,那么多个群元素应该存在。如果指定的组不包含一个群,然后一群元素应该存在状态的“不存在”。如果有一个错误决定的子组的成员,那么一个群元素应该包含在“错误”的地位。窗户group_sid_item允许不同的用户和组,直接属于特定群体(SID),收集。收集到的子组不会找到间接得到解决用户或群成员。如果子组需要解决,它使用sid_sid_object应该做的。注意,用户和组元素可以出现,次数不限。如果一个用户没有找到指定的组,一个用户元素应该存在状态的“不存在”。如果有一个错误确定一组的用户,一个用户元素应该存在一个“错误”的地位。如果小组中没有指定的组,一个组元素应该存在一个“不存在”的地位。如果有一个错误决定的子组,一组,一个组元素应该存在一个“错误”的地位。一个字符串代表一个特定的SID组。一个字符串,该字符串代表一个特定用户的SID。如果指定的组有多个用户作为一个成员,那么多个user_sid实体应该存在。如果指定的组不包含单个用户,那么一个user_sid实体应该存在状态的“不存在”。如果有一个错误决定的用户组的成员,那么一个user_sid实体应该包含在“错误”的地位。一个字符串,该字符串代表一个特定的子群的SID。如果指定的组有超过一个小组成员,那么多个subgroup_sid实体应该存在。如果指定的组不包含一个群,一个subgroup_sid实体应该存在状态的“不存在”。如果有一个错误决定的子组的成员,那么一个subgroup_sid实体应该包含在“错误”的地位。列举各种属性的接口系统上。该元素指定一个接口的名称。该元素指定索引标识接口。该元素指定了类型的接口,仅限于特定的值。该元素指定硬件或物理网卡的MAC地址。MAC地址应该显示格式化的IEEE 802 - 2001标准即一个MAC地址是六个八位字节的序列值,由连字符分隔,每个八隅体由两个十六进制数字。还应使用大写字母来表示十六进制数字A到F。该元素指定了特定的接口的IP地址。注意,可以IPv4和IPv6的IP地址。如果IPv6地址的IP地址,这个实体应该表示为IPv6地址前缀使用CIDR标记和子网掩码实体不应该收集。该元素指定了广播地址。一个广播地址通常是IP地址的主机部分设置为0或1。注意,可以IPv4和IPv6的IP地址。该元素指定IP地址的子网掩码。注意,如果inet_addr实体包含一个IPv6地址前缀,这个实体不应该收集。该元素指定一个特定接口的地址类型或状态。每个接口可以与多个值关联意义addr_type元素可以发生很多次了。 license_item元素存储不同的信息,可以发现在Windows许可证注册表值。请参阅模式中各个元素的更多细节每一个代表什么。这个元素描述许可条目的名称。指定许可证存储的数据条目的类型。有效值是REG_BINARY REG_DWORD REG_SZ。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。价值实体持有指定的许可条目的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在许可条目。如果指定的许可条目REG_BINARY类型,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果REG_DWORD类型的注册表键,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。 lockoutpolicy项列举了各种属性与锁定信息为用户和全球组织在安全数据库。在几秒钟内,指定的时间之间有效的登录时间和结束时间当用户被迫注销网络。值TIMEQ_FOREVER表明用户永远不会被迫注销。零值表明,用户将被迫注销时立即有效的登录时间到期。看到调用返回的USER_MODALS_INFO_0结构NetUserModalsGet ()。指定,在几秒钟内,锁定账户仍然锁多久之前自动解锁。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。指定的最长时间,以秒为单位,可以在任意两个之间流逝停摆发生之前失败的登录尝试。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。指定了无效的密码身份验证的数量可以发生在一个帐户被标记“锁定”。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。这个项目收集信息从指定metabase钥匙。这个元素描述了metabase收集的关键。下的id元素指定一个特定对象metabase键。如果xsi: nil属性设置为true,然后要代表的项目是更高层次metabase关键。使用xsi: nil这里将导致“不收集”的状态与此项目相关的其他实体,因为这些实体本身没有相关联的键。这个元素描述metabase指定对象的名称。 user_type元素是一个32位无符号整数(字),指定数据的用户类型。看到METADATA_RECORD结构。 data_type元素标识metabase条目的类型的数据。看到METADATA_RECORD结构。命名的实际数据项下指定metabase关键。如果指定的metabase关键是多种类型的字符串,那么多个值应该存在描述字符串的数组元素。 windows ntuser_item指定可以从特定ntuser收集的信息。dat文件。这个元素描述了一个注册表键通常HKCU蜂巢中进行测试。这个元素描述了注册表键的名称。如果xsi: nil属性设置为true,然后要代表的项目是更高层次的关键。这里使用xsi: nil将导致“不存在”的状态类型,因为这些实体和价值实体本身没有相关联的键。这个元素有一个字符串,该字符串代表一个特定用户的SID。用户名实体持有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。 account_type元素描述了如果用户帐户是本地帐户或域帐户。 logged_on元素描述了如果用户帐户目前登录到计算机。启用元素描述了如果用户帐户启用或禁用。文件的最后修改时间。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 ntuser以来的天数。dat文件最后修改。值应该是围捕到下一个整数。这个元素描述了filepath ntuser。dat文件。最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询在一个蜂巢,钥匙,或名称。当只收集信息注册表项最后写时间将蜂巢或它的任何entiries写入。当只收集信息注册表项和关键最后写时间将键或它的任何entiries写入。当只收集信息注册表的名字最后写时间将名字写入的时候。看到RegQueryInfoKey lpftLastWriteTime函数。指定注册表键存储的数据的类型。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。价值实体持有指定的注册表键的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在注册表键。如果指定的注册表键的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果注册表键的类型是REG_DWORD或REG_QWORD,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果指定的注册表键的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果指定的注册表键的类型是REG_MULTI_SZ,那么多个价值实体应该存在描述字符串的数组,每个元素包含一个字符串值。最后,应该有相同数量的价值实体作为reg_multi_sz有字符串数组。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。具体政策与密码有关的物品。重要的是要注意,这些政策是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。信息存储在山姆或Active Directory但加密或隐藏所以registry_item activedirectory_item毫无用处。如果这可以算出,那么password_policy项目不需要。指定,在几秒钟内,最大允许密码时代。值TIMEQ_FOREVER(1)表明,密码永不过期。这个元素的最小有效值是一天(86400)。指定了最低的秒数,可以间隔时间密码更改,当它可以改变了。值0表示不需要延迟之间的密码更新。指定了最小允许密码长度。通过PWLEN有效值为这个元素为零。指定密码的长度保持历史。新密码不匹配任何以前的usrmod0_password_hist_len密码。通过DEF_MAX_PWHIST有效值为这个元素为零。一个布尔值,表示是否密码必须符合复杂性要求提出的操作系统。确定密码是否使用可逆加密存储。 peheader_item描述与体育相关的元数据文件头。有关更多信息,请参见文档IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER结构。 filepath元素指定绝对路径的PE文件的机器上。目录不能被指定为一个filepath。元素指定目录的路径组件PE文件的绝对路径。文件名元素指定的名称PE文件来评估。 header_signature实体头的签名。 target_machine_type实体是一个16位无符号整数(词),指定目标文件是用于建筑。 number_of_sections实体是一个16位无符号整数(词)指定的部分文件。 time_date_stamp实体是一个32位无符号整数(字)指定的时间产生的链接器文件。该值表示为1月1日以来的秒数1970,就是。 pointer_to_symbol_table实体是一个32位无符号整数(字),指定COFF文件偏移量的符号表。 number_of_symbols实体是一个32位无符号整数(字),指定COFF符号表中符号的数量。 size_of_optional_header实体是一个32位无符号整数(字),指定一个可选的header的大小字节。 image_file_relocs_stripped实体是一个布尔值,用于指定是否剥夺了从文件搬迁信息。 image_file_executable_image实体是一个布尔值,用于指定是否可执行文件。 image_file_line_nums_stripped实体是一个布尔值,用于指定是否剥夺了从文件的行号。 image_file_local_syms_stripped实体是一个布尔值,用于指定是否剥夺了从文件本地符号。 image_file_aggressive_ws_trim实体是一个布尔值,指定工作集应该积极地削减。 image_file_large_address_aware实体是一个布尔值,用于指定应用程序可以处理地址大于2 gb。 image_file_16bit_machine实体是一个布尔值,用于指定计算机支持16位字。 image_file_bytes_reversed_lo实体是一个布尔值,用于指定的字节字是相反的。 image_file_32bit_machine实体是一个布尔值,用于指定计算机支持32位的字。 image_file_debug_stripped实体是一个布尔值,用于指定的调试信息分别存储.dbg文件。 image_file_removable_run_from_swap实体是一个布尔值,指定图像在可移动媒体,从交换文件复制和运行。 image_file_system实体是一个布尔值,指定图像是一个系统文件。 image_file_dll实体是一个布尔值,指定的图像是一个DLL。 image_file_up_system_only实体是一个布尔值,用于指定文件只能在单处理器的计算机上运行。 image_file_bytes_reversed_hi实体是一个布尔值,用于指定的字节字是相反的。值的magic_number实体是一个16位无符号整数(词),指定图像文件的状态。 major_linker_version实体是一个指定的字节产生的主要版本的链接器文件。 minor_linker_version实体是一个字节,指定链接器产生的小版本文件。 size_of_code实体是一个32位无符号整数(字)指定的所有代码部分的总大小。 size_of_initialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是由初始化数据。 size_of_uninitialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是未初始化的数据组成。 address_of_entry_point实体是一个32位无符号整数(字)指定的地址加载程序将开始执行。 base_of_code实体是一个32位无符号整数(字),指定文件的相对虚拟地址的代码部分就开始了。 base_of_data实体是一个32位无符号整数(字),指定文件的数据部分的相对虚拟地址开始。 image_base_address实体是一个32位无符号整数(字),指定首选地址fo图像的第一个字节时被加载到内存中。 section_alignment实体是一个32位无符号整数(字)指定的对齐部分加载到内存中。 file_alignment实体是一个32位无符号整数(字)指定的部分原始数据的对齐图像文件。 major_operating_system_version实体是一个16位无符号整数(词),指定所需的主要版本的操作系统使用这个可执行文件。 minor_operating_system_version实体是一个16位无符号整数(词),指定所需的小版本的操作系统使用这个可执行文件。 major_image_version实体是一个16位无符号整数(词),指定图像的主版本号。 minor_image_version实体是一个32位无符号整数(字),指定图像的小版本号。 major_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的主要版本运行可执行文件。 minor_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的小版本运行可执行文件。 size_of_image实体是一个32位无符号整数(字),指定图像的总大小包括所有的标题。 size_of_headers实体是一个32位无符号整数(字)指定的总结合大小ms - dos存根,PE头,节标题。校验和实体是一个32位无符号整数(字),指定图像文件的校验和。子系统的实体是一个32位无符号整数(字),指定类型的子系统可执行文件使用的用户界面。 dll_characteristics实体是一个32位无符号整数(字)指定的标记表明在何种情况下一个DLL的初始化函数将调用. . time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈储备。 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈提交。 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆储备。 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆。 loader_flags实体是一个32位无符号整数(字),指定标题的装载机旗帜。 number_of_rva_and_sizes实体是一个32位无符号整数(字)指定的目录条目数量的剩余部分可选头。 real_number_of_directory_entries实体数据目录条目的实数在剩余的可选头计算列举目录条目。打开听端口信息。该元素指定监听端口绑定到本地IP地址。注意,可以IPv4和IPv6的IP地址。该元素指定分配给本地监听端口的数量。该元素指定监听端口的类型。它被限制为TCP或UDP。 id的过程与指定的监听端口。这是程序的IP地址是沟通,或与它交流,听力的情况下服务器。注意,可以IPv4和IPv6的IP地址。这是TCP或UDP端口的程序进行通信。这个项存储的有效权利打印机,可自由支配的访问控制列表(DACL)结构拨款到指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。的printer_name enitity指定打印机的名称。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。正在运行的进程的信息。 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 id创建的过程,给指定的命令行。的id给父进程创建指定的命令行的基本优先级的过程。 image_path实体代表流程的可执行文件的名称。 current_dir实体表示当前路径的可执行文件的过程。 creation_time实体代表进程的创建时间。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。看到GetProcessTimes lpCreationTime函数。 dep_enabled实体代表数据执行预防(DEP)是否启用。看到GetProcessDEPPolicy lpFlags函数。 primary_window_text实体代表过程的主窗口的标题。看到GetWindowText函数。的名称的过程。 windows注册表项指定的信息可以收集的关于一个特定的注册表键。注册表键属于的蜂巢。这个元素描述了一个注册表键聚集。注意字符串的蜂巢部分不应包括在内,这些数据可以发现蜂巢下元素。如果xsi: nil属性设置为true,则代表的是项目名称的更高级别的蜂巢或更低水平。使用xsi: nil这将导致“不收集”这个实体的地位因为项目是特定于一个蜂巢或名字。这个元素描述了注册表键的名称。如果xsi: nil属性设置为true,则代表的是项键或蜂巢的更高水平。这里使用xsi: nil将导致“不收集”的状态,因为项目是特定于一个键或蜂巢。最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询任意键,蜂箱被归类为一种键。当只收集信息注册表项或关键最后写时间将被修改键或它的任何条目。当只收集信息注册表的名字最后写时间将包含键被修改的时间。因此,当收集信息注册表名称,最后写时间并不直接关联到指定名称。看到RegQueryInfoKey lpftLastWriteTime函数。指定注册表键存储的数据的类型。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。价值实体持有指定的注册表键的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在注册表键。如果被测试的值的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果被测试的值的类型是REG_DWORD, REG_QWORD, REG_DWORD_LITTLE_ENDIAN, REG_DWORD_BIG_ENDIAN或REG_QWORD_LITTLE_ENDIAN数据类型属性值应该设置为“int”和实体应该代表的数据作为一个无符号整数。字和QWORD值表示无符号32位和64位整数,分别。如果被测试的值的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果被测试的值的类型是REG_MULTI_SZ,然后只有一个字符串(多个字符串之一)应该测试使用价值实体的数据类型属性设置为“字符串”。为了测试多个值,应该使用多个椭圆注册测试。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。如果被测试的值的类型是REG_LINK,然后数据类型属性应该设置为“字符串”和以null结尾Unicode字符串应该值所代表的实体。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。这个条目存储审计的注册表键,系统的访问权限访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。该元素指定注册表键的蜂巢的机器上SACL检索。该元素指定的注册表键机器上SACL检索。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。安全标识符(SID)指定受托人的名字。该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 5.3 被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。这个实体已经弃用,在6.0版本的语言将被删除。弃用元素:ID: 删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 5.6 这个实体已经弃用,因为注册表键不支持同步标准的存取权。弃用元素:ID: 显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。这个项目存储的有效权利注册表键,可自由支配的访问控制列表(DACL)结构拨款到指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。注册表键属于的蜂巢。这个元素描述了一个注册表键聚集。注意,字符串的蜂巢部分不应参展,这些数据可以发现在蜂巢的元素。如果xsi: nil属性设置为true,那么项表示的是更高层次的蜂巢。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 5.3 被trustee_sid实体所取代。这个实体使用确定受托人受托人名称。受托人名称不独特,并创建一个新的实体使用婴儿猝死综合症受托人,这是独一无二的。看到trustee_sid。这个实体已经弃用,在6.0版本的语言将被删除。弃用元素:ID: 删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 5.6 这个实体已经弃用,因为注册表键不支持同步标准的存取权。弃用元素:ID: 显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。这个项目存储信息Windows系统上存在的服务。 service_name元素指定服务的名称中指定服务控制管理器(SCM)数据库。 display_name元素指定的名称中指定的服务工具,如控制面板- >管理工具- >服务。 description元素指定了服务的描述。 service_type元素指定类型的服务。 start_type元素指定当服务应该开始。 current_state元素指定服务的当前状态。 controls_accepted元素指定控制规范,服务将接受和处理。 start_name元素指定的账户应该运行过程。路径元素指定服务的二进制文件的路径。 pid元素指定了服务的进程ID。 service_flag元素指定如果服务是在一个系统的过程,必须始终运行(1)或非系统的过程中如果服务不运行(0)。如果服务没有运行,将pid 0。否则,将pid零。依赖元素指定服务之间的依赖关系。这个项目存储服务的有效权利,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利决定通过检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。 service_name元素指定了一个服务检索DACL的机器上。注意,service_name元素应该包含的实际名称服务,而不是其显示名称,在控制面板- >管理工具- >服务。例如,如果你想检查的有效权利自动更新服务指定为service_name wuauserv元素不会“自动更新”。 trustee_sid元素指定了SID与一个用户相关联,集团系统或程序(如Windows服务)。需要这个权限调用DeleteService函数删除服务。需要这个权限调用QueryServiceObjectSecurity函数查询服务对象的安全描述符。需要这个权限调用SetServiceObjectSecurity函数修改Dacl成员服务对象的安全描述符。需要这个权限调用SetServiceObjectSecurity函数修改所有者和组的成员服务对象的安全描述符。读访问权(STANDARD_RIGHTS_READ SERVICE_QUERY_CONFIG、SERVICE_QUERY_STATUS SERVICE_INTERROGATE, SERVICE_ENUMERATE_DEPENDENTS)。写访问(STANDARD_RIGHTS_WRITE SERVICE_CHANGE_CONFIG)。执行访问(STANDARD_RIGHTS_EXECUTE SERVICE_START、SERVICE_STOP SERVICE_PAUSE_CONTINUE, SERVICE_USER_DEFINED_CONTROL)。需要这个权限调用QueryServiceConfig和QueryServiceConfig2功能查询服务配置。需要这个权限调用ChangeServiceConfig或ChangeServiceConfig2函数改变服务配置。需要这个权限调用QueryServiceStatusEx函数来询问服务控制管理器服务的状态。需要这个权限调用EnumDependentServices函数枚举所有的服务依赖于服务。这个权限需要调用由StartService函数来启动该服务。需要这个权限调用ControlService函数停止服务。需要这个权限调用ControlService函数暂停或继续服务。需要这个权限调用ControlService函数问服务立即报告其状态。需要这个权限调用ControlService函数指定一个用户定义的控制代码。资源的共享名。共享资源的类型。共享资源的最大并发连接数可以容纳。当前连接的数量的共享资源。共享资源的本地路径。从资源和权限读取数据,默认情况下,执行资源。写入数据到资源的权限。允许创建一个实例的资源(例如文件);数据可以写入创建资源的资源。执行资源的权限。删除资源的权限。允许修改资源的属性(如文件最后修改日期和时间)。允许修改权限(读、写、创建、执行和删除)分配给一个用户或应用程序的资源。允许读、写、创建、执行和删除资源,并修改它们的属性和权限。这个条目存储审计系统的共享资源的访问权限访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。网络名实体指定名称与特定共享资源相关联。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。这个项目存储的有效权利共享资源,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。网络名实体指定名称与特定共享资源相关联。 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。删除对象的权利。正确的阅读对象的安全描述符的信息,不包括SACL中的信息。正确的修改DACL对象的安全描述符。改变对象的所有者的权利的安全描述符。正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。显示访问系统访问控制列表(SACL)。读访问。写访问。执行访问。读、写和执行访问。该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。安全标识符(SID)指定受托人的名字。受托人指定的域的名称。安全标识符(SID)指定受托人的名字。该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。受托人指定的域的名称。系统指标项存储特定的Windows系统的价值指标。这个元素描述了一个系统的指数指标条目。价值实体持有指定系统的实际价值度量指标。 uac_item是用来保存相关信息设置在Windows用户访问控制。为内置管理员帐户管理员批准模式。行为的高度提示管理员以管理员批准模式。行为的高度为标准用户提示。检测应用程序安装并提示高程。只有提高签名和验证的可执行文件。只有提升UIAccess应用程序安装在安全的位置。所有管理员以管理员批准模式运行。提示海拔时切换到安全桌面。虚拟化文件和注册表写失败到每个用户的位置。 windows user_item允许不同的团体(由名称来标识),一个用户属于收集。 5.11 被user_sid_item所取代。这个项目使用受托人名称识别系统上的账户。受托人姓名和user_sid_item并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到user_sid_item。这个对象已经弃用,可以在未来版本的语言。弃用单品:ID: 一个字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“computer_name \ user_name”。对于内置的系统上的账户,使用用户名没有一个域。一个布尔值表示是否启用了特定用户。一个字符串,该字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。如果指定的用户属于多个组,那么多个组元素应该存在。如果指定的用户不是一个组的成员,那么一个组元素应该存在状态的“不存在”。如果有一个错误确定用户所属的组,然后一组元素应该包含在一个“错误”的地位。最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。 windows user_sid_item允许不同群体(SID)确定用户属于收集。一个字符串代表一个特定用户的SID。一个布尔值表示是否启用了特定用户。一个字符串,该字符串代表一个特定的SID。如果指定的用户属于多个组,那么多个group_sid元素应该存在。如果指定的用户不是一个组的成员,那么一个group_sid元素应该存在状态的“不存在”。如果有一个错误确定用户所属的组,那么一个group_sid元素应该包含在“错误”的地位。最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。 userright_item允许SIDs已经授予用户权限收集/右。 userright实体持有一个字符串,该字符串代表一个特定用户的名字/右特权。 trustee_sid元素标识的SID授予指定的用户/右特权。多次trustee_sid元素可以包含在系统特征项为了记录用户/右特权被授予SIDs。注意entity_check属性与EntityStateStringType指南评估实体像trustee_sid指可能发生一个无界的次数的物品。体积项列举了各种属性对一个特定的卷装一台机器。这包括各种系统返回的旗帜GetVolumeInformation ()。重要的是要注意,这些旗帜是特定于特定版本的Windows系统。因此,文档的版本的Windows应该咨询更多的信息。一个字符串,该字符串包含的根目录体积被描述。需要一个落后于反斜杠。例如,您将指定\ \ MyServer \ MyShare作为“\ \ MyServer \ MyShare \”,或C:驱动器作为“C: \”。文件系统的类型。例如脂肪或NTFS。量的名字。体积的驱动器类型。 volume_max_component_length元素指定的最大长度,在TCHARs文件名指定文件系统支持的组件。一个文件名组件反斜杠之间是一个文件名的一部分。的值存储在变量* lpMaximumComponentLength指的是用来表明一个指定文件系统支持长名称。例如,脂肪文件系统支持长名字,255年函数存储值,而不是之前的8.3指标。长名字也可以使用NTFS文件系统的支持系统。卷序列号。文件系统支持区分大小写的文件名。文件系统保存的文件名时,磁盘上的一个名字的地方。文件系统支持Unicode文件名,因为他们出现在磁盘上。文件系统保存和执行acl。例如,NTFS保存和执行acl,脂肪不。文件系统支持文件的压缩。文件系统支持磁盘配额。文件系统支持稀疏文件。文件系统支持重新解析点。文件系统支持远程存储。指定的卷一个压缩卷;例如,一个DoubleSpace体积。文件系统支持对象标识符。文件系统支持加密文件系统(EFS)。文件系统支持命名流。指定的卷是只读的。文件系统支持按顺序一次写道。文件系统支持事务处理。文件系统支持直接链接到其他设备和分区。文件系统支持扩展属性。文件系统支持文件标识。文件系统支持更新序列号期刊。 wmi_item概述了信息检查通过微软的WMI接口。 5.7 被wmi57_item所取代。这个项目允许单个字段从WMI被选中。创建一个新项,允许多个字段在一个声明中被选中。看到wmi57_item。这个对象已经弃用,可以在未来版本的语言。弃用单品:ID: WMI名称空间的具体对象。 WQL查询用于识别指定的对象(s)。任何有效WQL查询允许有一个例外,最多允许一个字段中选择查询的一部分。例如选择名字从…是有效的,选择“真正的”…,但选择的名字,从…不是有效的。这是因为结果元素数据部分只是用来对一个领域工作。结果元素指定如何测试对象在结果集中指定WQL的声明。只能填报一个类似的领域。所以如果WQL语句看起来像选择名字从…”,然后结果元素值的弗雷德的测试,对返回的名字WQL声明。如果WQL语句返回指定字段的多个实例,那么多个结果元素应该描述每个实例存在。 wmi57_item概述了信息检查通过微软的WMI接口。 WMI名称空间的具体对象。 WQL查询用于识别指定的对象(s)。允许有一个例外,任何有效WQL查询所有字段必须命名。例如选择名字,年龄从……是有效的,但SELECT *……不是有效的。这是因为实体只支持命名字段的记录。结果实体持有WQL指定语句的结果。 ——数据类型属性的实体结果wmi57_item必须“记录” wuaupdatesearcher_item轮廓信息通过搜索方法IUpdateSearcher接口中定义的一部分,微软的WUA (Windows更新代理)API。这个信息与当前的补丁级别在Windows环境。测试中定义扩展了标准ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。 update_id实体指定一个字符串,该字符串代表一个revision-independent标识符的一个更新。这个信息是IUpdateIdentity接口的一部分,由于IUpdateSearcher接口的一部分的搜索方法。注意,多个更新标识符可以被关联到一个搜索条件,从而为这个项目可以存在多个实体。 EntityItemAddrTypeType限制一个字符串值的一组特定的值,描述了不同地址的接口类型。空字符串也可以支持空元素与错误条件有关。表示IP地址被删除。无符号短x0040值,这对应于0 表示IP地址是断开连接的接口。无符号短x0008值,这对应于0。表示IP地址是一个动态的IP地址。无符号短值对应的是0 x0004。表示IP地址是一个主要的IP地址。无符号短x0001值,这对应于0。表示IP地址是一个短暂的IP地址。无符号短x0080值,这对应于0 空字符串值允许在这里允许详细的错误报告。 EntityItemAdstypeType限制一个字符串值的一组特定的值,描述可能的类型与一个Active Directory属性相关联。空字符串也可以支持空元素与错误条件有关。的数据类型无效。专有名称的字符串(路径)目录服务的对象。区分大小写的字符串类型。不区分大小写的字符串类型。在屏幕上可显示的字符串或打印。数值的字符串被解释为文本。一个布尔值的数据。一个整数值的数据。字符串的字节数组。世界时的数据表达的协调世界时(UTC)。长整数的数据值。特定于提供程序的字符串的字符串。不习惯。的数据是不分大小写字符串的列表。的数据是一个八位字节字符串列表。一个目录路径的字符串。邮政地址的字符串类型。数据的时间戳在秒。返回的字符串是链接。输入名称的字符串。保存数据的数据结构。网络地址的字符串。副本的数据指针。一个传真号码的字符串。电子邮件的数据。 Windows NT / 2000的数据安全描述符由一个字节数组。未定义的数据类型。 ADS_DN_WITH_BINARY用于映射的数据是一个非专有名称不同的GUID。 ADS_DN_WITH_STRING用于映射的数据是一个专有名称non-varying字符串值。空字符串值允许在这里允许详细的错误报告。 EntityItemAuditType限制一个字符串值的一组特定的价值观:AUDIT_NONE, AUDIT_SUCCESS AUDIT_FAILURE, AUDIT_SUCCESS_FAILURE。这些值应该生成审计记录的描述。空字符串也可以支持空元素与错误条件有关。审计类型AUDIT_FAILURE用于执行审计在所有成功启用审计时出现的指定事件。审计类型AUDIT_NONE取消所有审计选项用于指定的事件。审计类型AUDIT_SUCCESS用于执行审计所有成功启用审计时出现的指定的事件。审计类型AUDIT_SUCCESS_FAILURE用于执行审计所有成功和不成功启用审计时出现的指定的事件。空字符串值允许在这里允许详细的错误报告。 EntityItemDriveTypeType复杂类型定义了不同的值是有效的drive_type实体win-sc: volume_item。空字符串也可以支持空元素与错误条件有关。 DRIVE_UNKNOWN类型意味着驱动类型不能确定。使用UINT的值,这个对应的是0。 DRIVE_NO_ROOT_DIR类型意味着根路径无效。使用UINT的值,这个对应的是1。 DRIVE_REMOVABLE类型意味着驱动包含可移动媒体。这个对应的是2的单位价值。 DRIVE_FIXED类型意味着驱动包含固定的媒体。使用UINT值对应的是3。 DRIVE_REMOTE类型意味着驱动是一个远程驱动(即网络驱动器)。使用UINT值对应的是4。 DRIVE_CDROM类型意味着驱动器是一个cd - rom驱动器。使用UINT值对应的是5。 DRIVE_RAMDISK类型意味着驱动器是一个RAM磁盘。使用UINT值对应的是6。空字符串值允许在这里允许详细的错误报告。 EntityItemFileTypeType限制一个字符串值的一组特定的值,描述了不同类型的文件。空字符串也可以支持空元素与错误条件有关。处理标识一个目录。指定的文件是一个字符文件,通常一个并口设备或一个控制台。指定的文件是一个磁盘文件。指定的文件是一个套接字,命名管道或匿名管道。未使用的。指定文件的类型是未知的,或函数失败。空字符串值允许在这里允许详细的错误报告。 EntityItemInterfaceTypeType限制一个字符串值的一组特定的值,描述了不同类型的接口。空字符串也可以支持空元素与错误条件有关。 MIB_IF_TYPE_ETHERNET类型是用来描述以太网接口。 MIB_IF_TYPE_FDDI类型是用来描述光纤分布式数据接口(FDDI)。 MIB_IF_TYPE_LOOPBACK类型是用来描述环回接口。 MIB_IF_TYPE_OTHER类型是用来描述未知的接口。 MIB_IF_TYPE_PPP类型是用来描述的点对点协议(PPP)的接口。 MIB_IF_TYPE_SLIP类型是用来描述串行线互联网协议接口(滑)。 MIB_IF_TYPE_TOKENRING类型是用来描述令牌环接口. . 空字符串值允许在这里允许详细的错误报告。 EntityItemNamingContextType限制一个字符串值的一组特定的价值观:域,配置,和模式。这些值描述的不同命名上下文发现在Active Directory。空字符串也可以支持空元素与错误条件有关。域命名上下文包含Active Directory对象出现在指定的领域(如用户、计算机、组和其他对象)。配置命名上下文包含配置数据操作所需的Active Directory目录服务。模式命名上下文包含所有活动目录对象的定义。空字符串值允许在这里允许详细的错误报告。 EntityItemNTUserAccountTypeType限制一个字符串值的一组特定的值,描述了不同类型的账户。空字符串也可以支持空元素与错误条件有关。本地账户直接在机器上创建的帐户被测试的形式,应该machinename \用户名域帐户创建的帐户在一个域控制器的形式,应该域\用户名空字符串值允许在这里允许详细的错误报告。 EntityItemPeTargetMachineType枚举识别有效的机器可以指定目标的PE文件头。空字符串也可以支持空元素与错误条件有关。 IMAGE_FILE_MACHINE_UNKNOWN类型是用来表示一个未知的机器。 IMAGE_FILE_MACHINE_ALPHA类型用于指示一个αAPX型机器。 IMAGE_FILE_MACHINE_ARM类型是用来表示一只胳膊小端字节序的机器。 IMAGE_FILE_MACHINE_ALPHA64类型是用来表示一个64位的αAPX型机器。 IMAGE_FILE_MACHINE_I386类型是用来表示一个英特尔386机器。 IMAGE_FILE_MACHINE_IA64类型是用来表示一个英特尔安腾机器。 IMAGE_FILE_MACHINE_M68K类型是用来指示一个M68K机器。 IMAGE_FILE_MACHINE_MIPS16类型用于指示MIPS16机器。 IMAGE_FILE_MACHINE_MIPSFPU类型是用来表示一个MIPS FPU的机器。 IMAGE_FILE_MACHINE_MIPSFPU16类型用于指示MIPS16 FPU的机器。 IMAGE_FILE_MACHINE_POWERPC类型是用来表示一个权力电脑小端字节序的机器。 IMAGE_FILE_MACHINE_R3000类型是用来表示一个MIPS小端字节序,0 x160 big endian机器。 IMAGE_FILE_MACHINE_R4000类型用于指示MIPS小端字节序的机器。 IMAGE_FILE_MACHINE_10000类型用于指示MIPS小端字节序的机器。 IMAGE_FILE_MACHINE_SH3类型用于指示日立SH3机器。 IMAGE_FILE_MACHINE_SH4类型用于指示日立SH4机器。 IMAGE_FILE_MACHINE_THUMB类型是用来表示一个胳膊或拇指(“智能网”)机。空字符串值允许在这里允许详细的错误报告。 EntityItemPeSubsystemType枚举确定有效的子系统可以指定类型的PE文件头。空字符串也可以支持空元素与错误条件有关。 IMAGE_SUBSYSTEM_UNKNOWN类型是用来表示一个未知的子系统。 IMAGE_SUBSYSTEM_NATIVE类型是用来表明不需要子系统。 IMAGE_SUBSYSTEM_WINDOWS_GUI类型是用来表示一个Windows图形用户界面(GUI)子系统。 IMAGE_SUBSYSTEM_WINDOWS_CUI类型是用来表示一个Windows字符方式用户界面(崔)子系统。 IMAGE_SUBSYSTEM_OS2_CUI类型是用来表示一个OS / 2崔子系统。崔IMAGE_SUBSYSTEM_POSIX_CUI类型是用来表示一个POSIX子系统。 IMAGE_SUBSYSTEM_WINDOWS_CE_GUI类型是用来表示一个Windows CE体系。 IMAGE_SUBSYSTEM_EFI_APPLICATION类型是用来表示一个可扩展固件接口(EFI)应用程序。 IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER类型用于指示EFI司机提供引导服务。 IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER类型用于指示EFI司机与运行时服务子系统。 IMAGE_SUBSYSTEM_EFI_ROM类型是用来表示一个EFI ROM镜像。 IMAGE_SUBSYSTEM_XBOX类型是用来表示一个Xbox系统。 IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION类型用于指示一个启动应用程序。空字符串值允许在这里允许详细的错误报告。 EntityItemProtocolType限制一个字符串值的一组特定的值,描述了不同的可用的协议。空字符串也可以支持空元素与错误条件有关。端口使用传输控制协议(TCP)。端口使用用户数据报协议(UDP)。空字符串值允许在这里允许详细的错误报告。 EntityItemRegistryHiveType限制一个字符串值的一组特定的值来描述不同的注册表蜂巢。空字符串也可以支持空元素与错误条件有关。这个注册表子树包含信息,将文件类型与项目,并为自动化配置数据(例如COM对象和Visual Basic程序)。这个注册表子树包含当前硬件配置文件的配置数据。这个注册表子树包含了用户配置文件的用户正在登录到系统。这个注册表子树包含本地系统的信息。这个注册表子树包含特定于用户的数据。空字符串值允许在这里允许详细的错误报告。 EntityItemRegistryTypeType定义了不同类型实体的值是有效的注册表项。这些值描述的类型的数据存储在一个注册表键。限制字符串值描述一组特定的值不同的注册表类型。空字符串也可以作为一个有效的值来支持空emlements与错误条件有关。请注意,类型的值确定实体和无效数据类型属性的值。椭圆形的信息如何编码注册表数据为每个不同的类型,请访问registry_item文档。 reg_binary类型使用注册表键值,指定任何形式的二进制数据。 reg_dword类型使用注册表键值,指定一个32位无符号整数。 reg_dword_little_endian类型使用注册表键,低位优先指定一个32位无符号整数。它的目的是低位优先的计算机体系结构上运行。 reg_dword_big_endian类型使用注册表键值,指定一个无符号32位大端整数。它的目的是大端法计算机体系结构上运行。 reg_expand_sz类型使用注册表键以null结尾的字符串来指定包含未展开的环境变量的引用(例如,“% %”)。 reg_link类型使用的注册表键以null结尾unicode字符串。它与目标路径RegCreateKeyEx创建一个符号链接的功能。 reg_multi_sz类型使用注册表键值,指定一个以null结尾的字符串数组,由两个空字符结束。 reg_none类型使用注册表键值没有定义的值类型。 reg_qword类型使用注册表键值指定64位无符号整数。 reg_qword_little_endian类型使用注册表键值,指定一个未签名的64位整数在低位优先的计算机体系结构。 reg_sz类型使用注册表键值指定一个以null结尾的字符串。空字符串值允许在这里允许详细的错误报告。 EntityItemServiceAcceptedControlsType复杂类型定义了不同的值是有效的controls_accepted实体服务的。空字符串也可以支持空元素与错误条件有关。 SERVICE_ACCEPT_NETBINDCHANGE类型意味着服务是一个网络组件和可以接受改变绑定不停止或重新启动。的DWORD值对应的是0 x00000010。 SERVICE_ACCEPT_PARAMCHANGE类型意味着服务可以重读启动参数不停止或重新启动。的DWORD值对应的是0 x00000008。 SERVICE_ACCEPT_PAUSE_CONTINUE类型意味着服务可以被暂停或继续。的DWORD值对应的是0 x00000002。 SERVICE_ACCEPT_PRESHUTDOWN类型意味着服务可以接收关闭前通知。的DWORD值对应的是0 x00000100。 SERVICE_ACCEPT_SHUTDOWN类型意味着服务可以接收关闭通知。的DWORD值对应的是0 x00000004。 SERVICE_ACCEPT_STOP类型意味着服务可以停止了。的DWORD值对应的是0 x00000001。 SERVICE_ACCEPT_HARDWAREPROFILECHANGE类型意味着服务可以系统的硬件配置文件变更时接收通知。的DWORD值对应的是0 x00000020。 SERVICE_ACCEPT_POWEREVENT类型意味着服务可以接收通知当系统的权力地位已经改变了。的DWORD值对应的是0 x00000040。 SERVICE_ACCEPT_SESSIONCHANGE类型意味着服务时可以接收通知系统的会话状态发生了变化。的DWORD值对应的是0 x00000080。 SERVICE_ACCEPT_TIMECHANGE类型意味着服务可以接收通知,当系统时间的变化。的DWORD值对应的是0 x00000200。 SERVICE_ACCEPT_TRIGGEREVENT类型意味着服务时可以接收通知事件发生在系统注册的服务。的DWORD值对应的是0 x00000400。空字符串值允许在这里允许空元素与错误条件有关。 EntityItemServiceCurrentStateType复杂类型定义了不同的值,为current_state实体的服务是有效的。空字符串也可以支持空元素与错误条件有关。 SERVICE_CONTINUE_PENDING类型意味着服务发送一个命令继续,然而,尚未执行的命令。的DWORD值对应的是0 x00000005。 SERVICE_PAUSE_PENDING类型意味着服务发送一个命令暂停,但尚未执行的命令。的DWORD值对应的是0 x00000006。 SERVICE_PAUSED类型意味着服务暂停。的DWORD值对应的是0 x00000007。 SERVICE_RUNNING类型意味着服务正在运行。的DWORD值对应的是0 x00000004。 SERVICE_START_PENDING类型意味着服务发送一个命令开始,然而,尚未执行的命令。的DWORD值对应的是0 x00000002。 SERVICE_STOP_PENDING类型意味着服务发送一个命令停止,但尚未执行的命令。的DWORD值对应的是0 x00000003。 SERVICE_STOPPED类型意味着停止服务。的DWORD值对应的是0 x00000001。空字符串值允许在这里允许空元素与错误条件有关。 EntityItemServiceStartTypeType复杂类型定义了不同的值是有效的start_type实体服务的。空字符串也可以支持空元素与错误条件有关。 SERVICE_AUTO_START类型意味着服务自动启动服务控制管理器(SCM)在启动。的DWORD值对应的是0 x00000002。 SERVICE_BOOT_START类型意味着司机服务系统启动加载程序。的DWORD值对应的是0 x00000000。 SERVICE_DEMAND_START类型意味着服务是由服务控制管理器(SCM)当StartService ()。的DWORD值对应的是0 x00000003。 SERVICE_DISABLED类型意味着服务无法启动。的DWORD值对应的是0 x00000004。 SERVICE_SYSTEM_START类型意味着服务是一个设备驱动程序由IoInitSystem ()。的DWORD值对应的是0 x00000001。空字符串值允许在这里允许空元素与错误条件有关。 EntityItemServiceTypeType复杂类型定义了不同的值是有效的service_type实体服务的。空字符串也可以支持空元素与错误条件有关。 SERVICE_FILE_SYSTEM_DRIVER类型意味着服务是一个文件系统驱动程序。的DWORD值对应的是0 x00000002。 SERVICE_KERNEL_DRIVER类型意味着服务是一个司机。的DWORD值对应的是0 x00000001。 SERVICE_WIN32_OWN_PROCESS类型意味着服务运行在自己的过程。的DWORD值对应的是0 x00000010。 SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000020。 SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000100。空字符串值允许在这里允许空元素与错误条件有关。 EntityItemSharedResourceTypeType复杂类型定义了不同的值是有效的共享资源的类型实体项目。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以支持空元素与错误条件有关。同样重要的是要注意,特殊的共享资源是用于远程管理,进程间通信和管理股票。 STYPE_DISKTREE类型意味着共享资源是一个磁盘驱动器。的DWORD值对应的是0 x00000000。 STYPE_DISKTREE_SPECIAL类型意味着共享资源是一种特殊的磁盘驱动器。的DWORD值对应的是0 x80000000。 STYPE_DISKTREE_TEMPORARY类型意味着共享资源是一个临时磁盘驱动器。的DWORD值对应的是0 x40000000。 STYPE_DISKTREE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的磁盘驱动器。的DWORD值对应的是0 xc0000000。 STYPE_PRINTQ类型意味着共享资源是一个打印队列。的DWORD值对应的是0 x00000001。 STYPE_PRINTQ_SPECIAL类型意味着共享资源是一种特殊的打印队列。的DWORD值对应的是0 x80000001。 STYPE_PRINTQ_TEMPORARY类型意味着共享资源是一个临时打印队列。的DWORD值对应的是0 x40000001。 STYPE_PRINTQ_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的打印队列。的DWORD值对应的是0 xc0000001。 STYPE_DEVICE类型意味着共享资源是一个交流工具。的DWORD值对应的是0 x00000002。 STYPE_DEVICE_SPECIAL类型意味着共享资源是一种特殊的通信设备。的DWORD值对应的是0 x80000002。 STYPE_DEVICE_TEMPORARY类型意味着共享资源是一个临时通信设备。的DWORD值对应的是0 x40000002。 STYPE_DEVICE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的通信设备。的DWORD值对应的是0 xc0000002。 STYPE_IPC类型意味着共享资源是一种进程间通信。的DWORD值对应的是0 x00000003。 STYPE_IPC_SPECIAL类型意味着共享资源是一个特殊的进程间通信。的DWORD值对应的是0 x80000003。 STYPE_IPC_TEMPORARY类型意味着共享资源是一个临时的进程间通信。的DWORD值对应的是0 x40000003。 STYPE_IPC_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的进程间通信。的DWORD值对应的是0 xc0000003。空字符串也可以支持空元素与错误条件有关。 EntityItemSystemMetricIndexType复杂类型定义了不同的值是有效的索引实体system_metric项目。这些值描述检索系统指标或配置设置。空字符串也可以支持空元素与错误条件有关。请注意,指数的值确定实体和无效数据类型属性的值。标志指定系统如何安排最小化窗口。的值指定了系统是如何开始的。在桌面显示监视器的数量。鼠标上的按钮数量或零如果没有鼠标安装。一个窗口边界的宽度,以像素为单位。这相当于SM_CXEDGE值为windows的三维外观。一个游标的宽度,以像素为单位。其它尺寸的系统不能创建游标。这个值是SM_CXFIXEDFRAME一样。矩形的宽度在第一次点击的位置双击序列,以像素为单位。两边的像素数量的鼠标点下时,鼠标指针拖拽操作开始前可以移动。 3 d边界的宽度,以像素为单位。这个指标指的是SM_CXBORDER的3 d对应。框架的厚度的四周的窗口标题但不是相当大,在像素。左和右边缘的宽度的焦点矩形DrawFocusRect吸引。这个值是SM_CXSIZEFRAME一样。全屏窗口的客户区域的宽度在主显示屏,以像素为单位。箭头位图的宽度在一个水平滚动条,以像素为单位。拇指的宽度框在一个水平滚动条,以像素为单位。一个图标的默认宽度,以像素为单位。物品的网格单元的宽度大图标视图,以像素为单位。默认的宽度,以像素为单位,最大化的顶级窗口在主显示屏上。默认最大宽度的一个窗口,有一个标题和规模边界,以像素为单位。默认菜单可选位图的宽度,以像素为单位。菜单栏按钮的宽度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。一个窗口的最小宽度,以像素为单位。最小化窗口的宽度,以像素为单位。一个网格单元最小化窗口的宽度,以像素为单位。最小的跟踪窗口的宽度,以像素为单位。标题窗口的边界填充量,像素。主显示器屏幕的宽度,以像素为单位。一个按钮的宽度在一个窗口标题或标题栏,以像素为单位。上浆的四周边界的厚度可以调整窗口大小,以像素为单位。推荐的一个小图标的宽度,以像素为单位。小标题按钮的宽度,以像素为单位。虚拟屏幕的宽度,以像素为单位。垂直滚动条的宽度,以像素为单位。一个窗口边界的高度,以像素为单位。标题区域的高度,以像素为单位。一个游标的高度,以像素为单位。这个值是SM_CYFIXEDFRAME一样。矩形的高度在第一次点击的位置双击序列,以像素为单位。像素的数量上下一个鼠标点下时,鼠标指针拖拽操作开始前可以移动。 3 d边界的高度,以像素为单位。这是3 d SM_CYBORDER同行。框架的厚度的四周的窗口标题但不是相当大,在像素。顶部和底部的高度由DrawFocusRect边缘的焦点矩形。这个值是在像素。这个值是SM_CYSIZEFRAME一样。全屏窗口的客户区域的高度在主显示屏,以像素为单位。一个水平滚动条的高度,以像素为单位。默认的图标的高度,以像素为单位。一个网格单元的高度的物品在大图标视图中,在像素。对于双字节字符集版本的系统,这是汉字的高度窗口在屏幕的底部,以像素为单位。默认的高度,以像素为单位,最大化的顶级窗口在主显示屏上。默认最大高度的一个窗口,有一个标题和规模边界,以像素为单位。一个单行的菜单栏的高度,以像素为单位。默认的菜单可选位图的高度,以像素为单位。菜单栏按钮的高度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。一个窗口的最小高度,以像素为单位。最小化窗口的高度,以像素为单位。最小化窗口的网格单元的高度,以像素为单位。最低跟踪窗口的高度,以像素为单位。主显示器屏幕的高度,以像素为单位。一个按钮的高度在一个窗口标题或标题栏,以像素为单位。上浆的四周边界的厚度可以调整窗口大小,以像素为单位。一个小标题的高度,以像素为单位。推荐一个小图标的高度,以像素为单位。小标题按钮的高度,以像素为单位。虚拟屏幕的高度,以像素为单位。虚拟屏幕的边界矩形显示监视器。箭头的高度位图在一个垂直滚动条,以像素为单位。拇指盒子的高度在一个垂直滚动条,以像素为单位。如果User32非零。dll支持DBCS;否则,0。非零如果调试版本的用户。exe安装;否则,0。非零如果当前操作系统Windows 7或Windows Server 2008 R2和平板电脑输入服务启动;否则,0。返回值是一个指定的位掩码数字化仪输入的类型支持的设备。非零如果输入法管理器/输入法编辑器功能启用;否则,0。非零如果有数字化仪的系统;否则,0。非零如果当前操作系统是Windows XP,媒体中心版,如果不是0。非零如果下拉菜单右对齐,对应的菜单栏项目;0如果菜单左对齐。非零如果系统是支持希伯来语和阿拉伯语语言,如果不是0。非零如果鼠标安装;否则,0。非零如果鼠标水平滚动轮安装;否则0。非零如果鼠标垂直滚动轮安装;否则0。最低有效位设置如果网络存在;否则,它将被清除。非零的Microsoft Windows笔计算扩展安装;否则为0。这个系统指标中使用终端服务环境来确定当前终端服务器会话被远程控制。它的值是零,如果当前会话是远程控制;否则,0。这个系统指标中使用终端服务环境。如果调用过程与终端服务客户端会话相关联时,返回值是零。如果调用过程与终端服务控制台会话,返回值是0。非零如果所有显示监视器有相同的颜色格式,否则,0。这个系统指标应该被忽略;它总是返回0。构建数字如果系统是Windows Server 2003 R2;否则,0。非零如果用户需要一个应用程序呈现信息可视化在它原本存在的信息的情况下只以声音形式;否则,0。非零如果当前会话关闭;否则,0。非零如果计算机有一个低端的处理器(慢);否则,0。非零如果当前操作系统Windows 7 Starter版本,Windows Vista起动器,或Windows XP Starter版本;否则,0。非零的含义左和右鼠标按键交换;否则,0。非零如果当前操作系统Windows XP平板电脑版或如果当前操作系统Windows Vista和Windows 7平板电脑输入服务启动;否则,0。左边的坐标虚拟屏幕上。虚拟屏幕的顶部的坐标。空字符串值允许在这里允许详细的错误报告。 EntityItemGUIDType限制GUID的表示一个字符串值,用于模块ID。空字符串也可以支持空元素与错误条件有关。 EntityItemCmdletVerbType限制一个字符串值的一组允许cmdlet动词。空字符串也可以支持空元素与错误条件有关。通过动词确认或同意一个资源的状态或过程。断言动词肯定一个资源的状态。比较动词评估数据从一个资源与数据从另一个资源。确认动词承认,验证或验证,资源的状态或过程。找到动词寻找一个对象在一个容器,是未知的,隐含的、可选的,或指定。把动词指定检索资源的行动。导入动词创建一个资源从数据存储在一个持久数据存储(如文件)或在一个交换格式。测量动词识别资源被指定的操作,或者检索统计信息资源。读动词获得信息从源。动词要求资源的请求或要求权限。解决动词的速记表示资源映射到一个更完整的表示。搜索动词一个容器中创建一个引用的资源。选择动词定位资源的容器。展示动词使资源对用户可见。测试动词验证操作或资源的一致性。跟踪动词追踪资源的活动。看动词不断检查或监视资源的变化。空字符串也可以支持空元素与错误条件有关。 EntityItemWindowsViewType限制一个字符串值的一组特定的价值观:32位和64位。这些值描述不同的值的窗口视图的行为。表明32 _bit窗口视图。表明64 _bit windows视图。空字符串值允许在这里允许空元素与错误条件有关。 EntityItemUserRightType限制一个字符串值的一组特定的值,描述了不同的用户权利或特权。空字符串也可以支持空元素与错误条件有关。这种特权必须分配过程的主要标记。这种特权必须生成审核日志条目。这种特权必须执行备份操作。这种特权必须接收通知的更改文件或目录。这种特权必须创建命名文件映射对象的全局名称空间在终端服务会话。这种特权必须创建一个分页文件。这种特权必须创建一个永久对象。这种特权必须创建一个符号链接。这种特权必须创建一个主令牌。这种特权必须调试和调整过程被另一个账户拥有的记忆。这种特权必须马克用户和计算机账户作为代表团的信任。这种特权必须模仿。这种特权必须增加流程的基础优先。这种特权必须增加配额分配给一个过程。这种特权需要分配更多的内存的应用程序运行在用户的上下文中。这种特权必须加载和卸载设备驱动程序。这种特权必须锁定在内存中物理页。这种特权必须创建一个计算机帐户。这种特权必须启用卷管理特权。这种特权必须收集剖析信息为一个过程。这种特权必须修改强制完整性级别的一个对象。这种特权必须关闭一个系统使用一个网络请求。这种特权必须执行恢复操作。这种特权必须执行一些与安全相关的功能,如控制和查看审计信息。这种特权必须关闭本地系统。这种特权域控制器需要使用轻量级目录访问协议目录同步服务。这种特权必须修改系统的非易失性RAM使用这种类型的内存来存储配置信息。这种特权必须对整个系统收集分析信息。这种特权必须修改系统时间。这需要特权没有被授予全权访问一个对象的所有权。这种特权标识其持有人作为可信计算机基础的一部分。这种特权必须调整时区与计算机相关的内部时钟。需要这个特权访问凭据经理为受信任的调用方。这种特权号需要一台笔记本电脑。这种特权必须阅读主动输入从一个终端设备。这个账户需要一个帐户登录使用批处理登录类型。这个账户明确否认一个帐户登录使用批处理登录类型。这个账户明确否认一个帐户登录使用交互式登录类型。这个账户明确否认一个帐户登录使用网络登录的权利类型。这个帐户正确的明确否认一个帐户正确的远程登录使用交互式登录类型。这个账户明确否认一个帐户登录使用服务登录的权利类型。这个账户需要一个帐户登录使用交互式登录类型。这个账户需要一个帐户登录使用网络登录类型。这个账户需要一个帐户登录远程使用交互式登录类型。这个账户需要一个帐户登录使用服务登录类型。空字符串值允许在这里允许详细的错误报告。