ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system time change events on a monitoring dashboard
Event ID 11708InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 11708 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11708 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 3
Event ID 11708Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 11708 sert de piste d'audit complète pour les modifications de l'heure système dans les environnements Windows. L'événement au niveau du noyau capture des horodatages précis et des informations sur le processus chaque fois que l'horloge système est ajustée, ce qui est essentiel pour maintenir l'intégrité temporelle dans les réseaux d'entreprise.

La structure de l'événement comprend plusieurs points de données clés : l'heure système précédente, la nouvelle heure système, l'ID du processus responsable du changement et le contexte utilisateur sous lequel la modification a eu lieu. Ces informations granulaires permettent aux administrateurs de distinguer entre les événements de synchronisation automatique légitimes et les changements d'heure manuels potentiellement malveillants.

Dans les environnements Active Directory, cet événement devient particulièrement significatif car la synchronisation temporelle est fondamentale pour les protocoles d'authentification Kerberos. Les contrôleurs de domaine maintiennent généralement des sources de temps autoritaires, et les serveurs membres synchronisent leurs horloges en conséquence. L'événement 11708 aide à valider ce processus de synchronisation et à identifier les systèmes subissant une dérive temporelle au-delà des seuils acceptables.

Les équipes de sécurité exploitent cet événement pour l'analyse médico-légale et le reporting de conformité, car les changements d'heure non autorisés peuvent indiquer des tentatives de manipulation des journaux d'audit ou d'évasion des contrôles de sécurité basés sur le temps. Les capacités de journalisation détaillées de l'événement soutiennent une reconstruction complète de la chronologie lors des activités de réponse aux incidents.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres Date et Heure de Windows
  • Synchronisation automatique par le service de temps Windows (W32Time)
  • Changements de fuseau horaire ou transitions de l'heure d'été
  • Correction de la dérive de l'horloge matérielle par le système d'exploitation
  • Modifications par des logiciels tiers de synchronisation de l'heure
  • Opérations de récupération du système restaurant les paramètres de temps précédents
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Événements de synchronisation du client Network Time Protocol (NTP)
  • Modifications de la configuration de l'heure imposées par la stratégie de groupe
  • Commandes de modification de l'heure via PowerShell ou en ligne de commande
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 11708 pour comprendre la nature du changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 11708 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 11708 pour voir des informations détaillées
  6. Examinez l'onglet Général pour l'heure ancienne, la nouvelle heure, et les informations sur le processus
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant le SID de l'utilisateur et les détails du processus

Utilisez PowerShell pour un filtrage plus efficace :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=11708} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Analyser la configuration de synchronisation temporelle

Vérifiez la configuration du service de temps Windows pour déterminer si les changements d'heure sont des événements de synchronisation attendus.

  1. Ouvrez une session d'invite de commandes ou PowerShell avec élévation de privilèges
  2. Vérifiez la configuration actuelle du service de temps :
w32tm /query /configuration
  1. Vérifiez la source de temps et le statut de synchronisation :
w32tm /query /source
w32tm /query /status
  1. Examinez les journaux d'événements du service de temps pour un contexte supplémentaire :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 10
  1. Pour les ordinateurs joints à un domaine, vérifiez la synchronisation de l'heure du contrôleur de domaine :
w32tm /monitor /domain
Astuce pro : Comparez les horodatages de l'événement 11708 avec les événements du service de temps pour corréler les activités de synchronisation automatique.
03

Enquêter sur le processus et le contexte utilisateur

Déterminez quel processus et quel compte utilisateur ont initié le changement d'heure pour identifier les préoccupations potentielles en matière de sécurité.

  1. Extraire des informations détaillées sur l'événement en utilisant PowerShell :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11708} -MaxEvents 5
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    Write-Host "Heure : $($Event.TimeCreated)"
    Write-Host "ID du processus : $($EventData | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text')"
    Write-Host "SID de l'utilisateur : $($EventData | Where-Object {$_.Name -eq 'UserSid'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Ancienne heure : $($EventData | Where-Object {$_.Name -eq 'OldTime'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Nouvelle heure : $($EventData | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text')"
    Write-Host "---"
}
  1. Recoupez l'ID du processus avec les processus en cours à ce moment-là :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*ProcessId*"} | Select-Object TimeCreated, Message
  1. Résolvez le SID de l'utilisateur pour identifier le compte :
$SID = "S-1-5-21-..." # Remplacez par le SID réel de l'événement
(New-Object System.Security.Principal.SecurityIdentifier($SID)).Translate([System.Security.Principal.NTAccount])
04

Configurer l'audit et la surveillance des changements d'heure

Mettre en œuvre une surveillance complète pour suivre les changements de temps futurs et établir un comportement de référence.

  1. Activer les politiques d'audit avancées pour les changements de temps :
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable
  1. Créer une tâche planifiée pour surveiller l'ID d'événement 11708 :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=11708} -MaxEvents 1 | Out-File C:\Logs\TimeChanges.log -Append"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "MonitorTimeChanges" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Configurer des vues personnalisées dans le Visualiseur d'événements pour les événements liés au temps :
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[(EventID=11708 or EventID=1074 or EventID=6005 or EventID=6006)]]</Select>
  </Query>
</QueryList>
  1. Configurer la stratégie de groupe pour restreindre les autorisations de changement de temps si nécessaire :

Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéPolitiques localesAttribution des droits utilisateurModifier l'heure du système

Avertissement : Restreindre les autorisations de changement de temps peut interférer avec les services de synchronisation automatique.
05

Analyse Forensique Avancée et Corrélation

Effectuer une analyse complète pour corréler les changements de temps avec d'autres événements système pour les enquêtes de sécurité.

  1. Créer un script PowerShell pour une analyse complète des changements de temps :
$StartTime = (Get-Date).AddDays(-7)
$TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11708; StartTime=$StartTime}
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4624,4625,4648,4672); StartTime=$StartTime}

foreach ($TimeEvent in $TimeChangeEvents) {
    $TimeWindow = $TimeEvent.TimeCreated
    $CorrelatedEvents = $SecurityEvents | Where-Object {
        $_.TimeCreated -ge $TimeWindow.AddMinutes(-5) -and 
        $_.TimeCreated -le $TimeWindow.AddMinutes(5)
    }
    
    Write-Host "Événement de changement de temps : $($TimeEvent.TimeCreated)"
    Write-Host "Événements de sécurité corrélés :"
    $CorrelatedEvents | Format-Table TimeCreated, Id, LevelDisplayName -AutoSize
    Write-Host "---"
}
  1. Exporter des données d'événements complètes pour une analyse externe :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11708; StartTime=(Get-Date).AddDays(-30)}
$Events | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='ProcessId';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'}}, @{Name='UserSid';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'UserSid'} | Select-Object -ExpandProperty '#text'}} | Export-Csv -Path "C:\Temp\TimeChangeAnalysis.csv" -NoTypeInformation
  1. Vérifier les modifications du registre liées aux paramètres de temps :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -like "*CurrentControlSet\Control\TimeZoneInformation*" -or $_.Message -like "*W32Time*"}
  1. Analyser les compteurs de performance système pour les métriques liées au temps :
Get-Counter "\System\System Up Time" -MaxSamples 1
Get-Counter "\W32Time Service\Clock Frequency Adjustment (ppb)" -MaxSamples 5 -SampleInterval 2

Aperçu

L'ID d'événement 11708 de la source Microsoft-Windows-Kernel-General se déclenche chaque fois que l'heure système est modifiée sur une machine Windows. Cet événement capture à la fois les changements d'heure manuels effectués par les utilisateurs via les paramètres Date et Heure et les ajustements automatiques effectués par le service de temps Windows (W32Time) lors de la synchronisation avec des contrôleurs de domaine ou des serveurs de temps externes.

L'événement apparaît dans le journal Système et fournit des informations détaillées sur le changement d'heure, y compris l'ancienne valeur de l'heure, la nouvelle valeur de l'heure et le processus responsable de la modification. Cela le rend inestimable pour l'audit de sécurité, la surveillance de la conformité et le dépannage des problèmes de synchronisation de l'heure dans les environnements d'entreprise.

Les administrateurs système rencontrent fréquemment cet événement dans les environnements de domaine où la synchronisation de l'heure est essentielle pour l'authentification Kerberos, la validation des certificats et la fonctionnalité des applications distribuées. L'événement aide à suivre les modifications d'heure non autorisées et à diagnostiquer les problèmes de dérive de l'heure qui peuvent causer des échecs d'authentification et des erreurs d'application.

Questions Fréquentes

Que signifie l'ID d'événement Windows 11708 et pourquoi est-il important ?+
L'ID d'événement 11708 indique que l'heure système a été modifiée sur une machine Windows. Il est généré par la source Microsoft-Windows-Kernel-General chaque fois que l'horloge système est modifiée, soit manuellement par les utilisateurs, soit automatiquement par les services de synchronisation de l'heure. Cet événement est crucial pour l'audit de sécurité car des changements d'heure non autorisés peuvent indiquer une activité malveillante, des tentatives de manipulation des journaux d'audit ou des efforts pour contourner les contrôles de sécurité basés sur le temps. Dans les environnements d'entreprise, il aide les administrateurs à suivre les problèmes de synchronisation de l'heure qui peuvent causer des échecs d'authentification Kerberos et des problèmes d'application.
Comment puis-je distinguer entre la synchronisation automatique légitime de l'heure et les changements manuels de l'heure dans l'ID d'événement 11708 ?+
Vous pouvez distinguer entre les changements d'heure automatiques et manuels en examinant les informations de processus et le contexte utilisateur dans les détails de l'événement. La synchronisation automatique montre généralement le service de temps Windows (w32tm.exe) ou le processus Système comme initiateur, avec le contexte du compte SYSTEM. Les changements manuels affichent généralement les processus explorer.exe, timedate.cpl ou PowerShell avec un compte utilisateur spécifique. De plus, les changements automatiques se produisent souvent à intervalles réguliers et sont corrélés avec les événements du fournisseur de service de temps dans le journal Système, tandis que les changements manuels apparaissent comme des incidents isolés avec des ajustements de temps plus importants.
L'ID d'événement 11708 peut-il aider à identifier les menaces de sécurité ou les accès non autorisés ?+
Oui, l'ID d'événement 11708 peut être un indicateur précieux de menaces de sécurité. Les attaquants modifient parfois l'heure du système pour échapper aux contrôles de sécurité basés sur le temps, manipuler les horodatages des journaux d'audit ou interférer avec la validation des certificats. Les modèles suspects incluent : des changements d'heure en dehors des heures de travail, des modifications par des comptes non administratifs, des ajustements manuels fréquents ou des changements d'heure qui coïncident avec d'autres activités suspectes. Les équipes de sécurité devraient corréler l'événement 11708 avec les événements d'authentification (4624, 4625), les événements d'escalade de privilèges (4672) et les événements de création de processus (4688) pour identifier les incidents de sécurité potentiels.
Que dois-je faire si je vois fréquemment des entrées d'ID d'événement 11708 dans mon environnement ?+
Les entrées fréquentes de l'ID d'événement 11708 indiquent généralement des problèmes de synchronisation temporelle nécessitant une enquête. Tout d'abord, vérifiez la configuration de votre service Windows Time en utilisant 'w32tm /query /status' et vérifiez si vos sources de temps sont accessibles. Pour les environnements de domaine, assurez-vous que les contrôleurs de domaine sont correctement synchronisés et que les serveurs membres peuvent les atteindre. Examinez la connectivité réseau aux serveurs NTP et vérifiez les restrictions du pare-feu sur le port UDP 123. Si la fréquence est excessive, envisagez d'ajuster les intervalles de sondage de synchronisation temporelle ou d'examiner les problèmes de dérive de l'horloge matérielle. Documentez la fréquence de référence pour distinguer les opérations normales d'un comportement anormal.
Comment configurer la surveillance et les alertes pour l'ID d'événement 11708 dans mon environnement ?+
Configurez la surveillance pour l'ID d'événement 11708 en créant des filtres personnalisés dans l'Observateur d'événements, des tâches planifiées PowerShell, ou en intégrant des solutions SIEM. Utilisez le Planificateur de tâches Windows pour créer des tâches déclenchées par l'événement 11708 qui exécutent des scripts de notification. Pour les environnements d'entreprise, configurez le Transfert d'événements Windows (WEF) pour centraliser ces événements sur des serveurs collecteurs. Configurez des alertes pour des motifs inhabituels tels que plusieurs changements d'heure en peu de temps, des changements en dehors des heures de bureau, ou des modifications par des comptes non-services. Envisagez d'utiliser des outils comme System Center Operations Manager (SCOM) ou des solutions tierces pour des capacités avancées de corrélation et de réponse automatisée.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Docs - Event Logging in WindowsTechnical reference for Windows event logging architecture, including kernel-level events and system event sources.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-11708

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 5889
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.

18 mars12 min
Windows Event Viewer showing system time change events on a monitoring dashboard
Event 5121
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars12 min
System administrator analyzing Windows kernel errors and event logs on multiple monitoring displays
Event 5058
Microsoft-Windows-Kernel-General
Windows EventError

ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé

L'ID d'événement 5058 indique une défaillance critique d'opération de fichier au niveau du noyau, impliquant généralement des fichiers système, des ruches de registre ou des bases de données de sécurité que Windows ne peut pas accéder ou modifier correctement.

18 mars12 min
Windows Event Viewer displaying system time synchronization events on a server monitoring dashboard
Event 5056
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5056 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5056 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors du démarrage ou lorsque la synchronisation de l'heure se produit. Critique pour les pistes d'audit et le dépannage des problèmes liés au temps.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...