ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Security log with Event ID 4609 startup events on a monitoring dashboard
Event ID 4609InformationSecurityWindows

ID d'événement Windows 4609 – Sécurité : Windows démarre

L'ID d'événement 4609 enregistre le début du processus de démarrage de Windows. Cet événement d'audit de sécurité se déclenche lors du démarrage du système et fournit des informations temporelles critiques pour la surveillance de la sécurité et l'analyse judiciaire.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4609Security 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4609 représente l'un des événements d'audit les plus fondamentaux dans la journalisation de la sécurité Windows. Généré par le sous-système de l'Autorité de sécurité locale (LSA), cet événement se déclenche automatiquement à chaque démarrage du système, fournissant un horodatage faisant autorité pour le début du processus de démarrage de Windows.

L'événement se produit tôt dans la séquence de démarrage, après le chargement du noyau mais avant que les services de connexion utilisateur ne soient disponibles. Ce timing le rend particulièrement précieux pour la surveillance de la sécurité car il établit un point de démarcation clair entre les sessions système. Les analystes de sécurité utilisent cet événement pour identifier les lacunes dans la journalisation qui pourraient indiquer une altération du système ou des arrêts inattendus.

D'un point de vue technique, l'ID d'événement 4609 contient des données de charge utile minimales - principalement juste l'horodatage et l'identification de base du système. Cependant, sa génération constante en fait un indicateur fiable de la santé et de la disponibilité du système. L'événement aide à distinguer entre les fenêtres de maintenance planifiées et les défaillances système inattendues en fournissant un timing de démarrage précis.

Dans les environnements d'entreprise, les systèmes de surveillance automatisés utilisent souvent l'ID d'événement 4609 comme déclencheur pour les scripts de validation post-démarrage, les vérifications de base de sécurité et les évaluations de la santé du système. La fiabilité de l'événement et son format constant à travers les versions de Windows le rendent idéal pour le traitement automatisé et les systèmes d'alerte.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage normal du système après arrêt ou redémarrage
  • Récupération du système après une perte de courant ou un crash inattendu
  • Redémarrage après l'installation de Windows Update
  • Redémarrage manuel du système initié par l'administrateur
  • Redémarrage automatique déclenché par les politiques du système ou les tâches planifiées
  • Récupération après hibernation ou mode veille du système
  • Démarrage à partir de la récupération du système ou en mode sans échec
Méthodes de résolution

Étapes de dépannage

01

Afficher les détails de l'événement dans l'Observateur d'événements

Ouvrez le Visualiseur d'événements pour examiner les détails de l'ID d'événement 4609 et vérifier les modèles de démarrage normal du système.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4609 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 4609 pour voir les détails
  6. Vérifiez l'onglet Général pour l'horodatage et les informations de base
  7. Examinez l'onglet Détails pour la structure de données XML
Astuce pro : Comparez les horodatages entre l'ID d'événement 4609 (démarrage) et 4608 (arrêt) pour calculer le temps de fonctionnement du système et identifier les redémarrages inattendus.
02

Interroger les événements de démarrage avec PowerShell

Utilisez PowerShell pour récupérer et analyser les entrées d'ID d'événement 4609 pour l'analyse des motifs et le reporting.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements de démarrage récents :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName
  3. Obtenez les événements de démarrage des 30 derniers jours :
    $StartDate = (Get-Date).AddDays(-30)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609; StartTime=$StartDate} | Select-Object TimeCreated, @{Name='BootTime';Expression={$_.TimeCreated}}
  4. Exportez l'historique de démarrage vers un fichier CSV :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 100 | Select-Object TimeCreated, MachineName | Export-Csv -Path "C:\Temp\StartupHistory.csv" -NoTypeInformation
  5. Calculez le temps moyen entre les redémarrages :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 10
$Intervals = for($i=0; $i -lt ($Events.Count-1); $i++) {
    ($Events[$i].TimeCreated - $Events[$i+1].TimeCreated).TotalHours
}
$AverageUptime = ($Intervals | Measure-Object -Average).Average
Write-Host "Average uptime: $([math]::Round($AverageUptime, 2)) hours"
03

Configurer l'audit de sécurité avancé

Assurez-vous de configurer correctement la politique d'audit pour garantir la génération de l'ID d'événement 4609 et optimiser la journalisation de la sécurité.

  1. Ouvrez l'Éditeur de stratégie de groupe en appuyant sur Windows + R, en tapant gpedit.msc
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Politiques d'audit systèmeSystème
  4. Double-cliquez sur Audit de l'extension du système de sécurité
  5. Cochez Configurer les événements d'audit suivants et sélectionnez Succès
  6. Appliquez la politique et exécutez gpupdate /force
  7. Vérifiez les paramètres d'audit avec PowerShell :
    auditpol /get /category:"System" /r | findstr "Security System Extension"
  8. Testez en redémarrant le système et en confirmant que l'ID d'événement 4609 apparaît dans le journal de sécurité
Avertissement : La modification des politiques d'audit affecte le volume du journal de sécurité. Assurez-vous d'une rétention et d'une capacité de stockage adéquates.
04

Créer un script de surveillance de démarrage automatisé

Implémentez la surveillance PowerShell pour suivre les modèles de démarrage du système et détecter automatiquement les anomalies.

  1. Créez un répertoire de script de surveillance :
    New-Item -Path "C:\Scripts\StartupMonitor" -ItemType Directory -Force
  2. Créez le script de surveillance C:\Scripts\StartupMonitor\Monitor-Startup.ps1 :
    # Script de surveillance de démarrage
$LogPath = "C:\Scripts\StartupMonitor\startup-log.txt"
$LastBoot = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 1
$BootTime = $LastBoot.TimeCreated
$Uptime = (Get-Date) - $BootTime

$LogEntry = "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss'): Démarrage à $BootTime, Temps de fonctionnement : $($Uptime.Days)j $($Uptime.Hours)h $($Uptime.Minutes)m"
Add-Content -Path $LogPath -Value $LogEntry

# Vérifiez les redémarrages inattendus (moins d'une heure de fonctionnement)
if ($Uptime.TotalHours -lt 1) {
    Write-EventLog -LogName Application -Source "StartupMonitor" -EventId 1001 -EntryType Warning -Message "Redémarrage inattendu détecté. Heure de démarrage : $BootTime"
}
  3. Enregistrez le script en tant que tâche planifiée :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\StartupMonitor\Monitor-Startup.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "StartupMonitor" -Action $Action -Trigger $Trigger -Principal $Principal
  4. Créez une source d'événements personnalisée pour la journalisation :
    New-EventLog -LogName Application -Source "StartupMonitor"
05

Mettre en œuvre l'intégration SIEM et l'analyse judiciaire

Configurez la journalisation avancée et l'intégration SIEM pour la surveillance des démarrages au niveau de l'entreprise et l'analyse de sécurité.

  1. Activez le transfert d'événements Windows pour une collecte centralisée :
    wecutil qc /q
winrm quickconfig -q
  2. Créez une requête XML personnalisée pour le transfert de l'ID d'événement 4609 :
    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[EventID=4609]]</Select>
  </Query>
</QueryList>
  3. Configurez WinLogBeat pour l'intégration Elastic Stack en modifiant winlogbeat.yml :
    winlogbeat.event_logs:
  - name: Security
    event_id: 4609
    processors:
      - add_host_metadata:
          when.not.contains.tags: forwarded
  4. Configurez le script d'analyse forensique PowerShell :
    # Analyse Forensique de Démarrage
$StartupEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 50
$ShutdownEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4608} -MaxEvents 50

# Corréler les paires de démarrage/arrêt
$BootCycles = @()
foreach ($Startup in $StartupEvents) {
    $PriorShutdown = $ShutdownEvents | Where-Object {$_.TimeCreated -lt $Startup.TimeCreated} | Select-Object -First 1
    if ($PriorShutdown) {
        $DownTime = ($Startup.TimeCreated - $PriorShutdown.TimeCreated).TotalMinutes
        $BootCycles += [PSCustomObject]@{
            ShutdownTime = $PriorShutdown.TimeCreated
            StartupTime = $Startup.TimeCreated
            DowntimeMinutes = [math]::Round($DownTime, 2)
        }
    }
}
$BootCycles | Export-Csv -Path "C:\Temp\BootCycleAnalysis.csv" -NoTypeInformation
  5. Créez des règles d'alerte pour les motifs anormaux :
    # Alerte sur les redémarrages fréquents (plus de 3 en 24 heures)
$RecentStarts = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609; StartTime=(Get-Date).AddHours(-24)}
if ($RecentStarts.Count -gt 3) {
    Send-MailMessage -To "admin@company.com" -Subject "Alerte de Redémarrage Fréquent" -Body "Le système a redémarré $($RecentStarts.Count) fois en 24 heures" -SmtpServer "smtp.company.com"
}
Astuce pro : Combinez l'analyse de l'ID d'événement 4609 avec les compteurs de performance système et les journaux d'application pour une surveillance complète des performances de démarrage.

Aperçu

L'ID d'événement 4609 est un événement d'audit de sécurité fondamental qui se déclenche chaque fois que Windows commence sa séquence de démarrage. Cet événement apparaît dans le journal de sécurité et sert de marqueur temporel critique pour les administrateurs système et les analystes de sécurité suivant la disponibilité du système et les incidents de sécurité potentiels.

L'événement est généré lors des premières étapes du processus de démarrage de Windows, spécifiquement lorsque le sous-système de sécurité s'initialise. Contrairement à l'ID d'événement 4608 qui indique que Windows s'éteint, l'ID d'événement 4609 marque le début d'une nouvelle session Windows. Cela le rend inestimable pour calculer le temps de fonctionnement du système, identifier les redémarrages inattendus et corréler les événements de sécurité avec les temps de démarrage du système.

Les équipes de sécurité s'appuient sur cet événement pour l'analyse judiciaire, le reporting de conformité et la surveillance de la stabilité du système. L'événement contient peu de données mais son timing est crucial pour établir des bases de référence et détecter des anomalies dans le comportement du système. Lorsqu'il est combiné avec des événements d'arrêt, les administrateurs peuvent suivre les modèles de cycle de vie complet du système et identifier les problèmes potentiels affectant la disponibilité du système.

Questions Fréquentes

Que signifie l'ID d'événement 4609 et quand se produit-il ?+
L'ID d'événement 4609 indique que Windows démarre et apparaît dans le journal de sécurité à chaque démarrage du système. Il se déclenche lorsque le sous-système de l'Autorité de sécurité locale (LSA) s'initialise, fournissant un horodatage fiable pour le début du processus de démarrage de Windows. Cet événement est essentiel pour suivre la disponibilité du système, calculer le temps de fonctionnement et établir des modèles de démarrage de référence pour la surveillance de la sécurité.
Comment puis-je utiliser l'ID d'événement 4609 pour calculer le temps de fonctionnement du système ?+
Vous pouvez calculer le temps de fonctionnement en trouvant l'ID d'événement 4609 le plus récent et en soustrayant son horodatage de l'heure actuelle. Utilisez PowerShell : $LastBoot = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4609} -MaxEvents 1; $Uptime = (Get-Date) - $LastBoot.TimeCreated. Cette méthode est plus fiable que l'utilisation de WMI ou des commandes d'informations système car elle est basée sur les journaux d'audit de sécurité réels.
Pourquoi l'ID d'événement 4609 pourrait-il manquer dans mon journal de sécurité ?+
L'ID d'événement 4609 pourrait être manquant si l'audit de sécurité est désactivé, si le journal de sécurité est plein et écrase les anciens événements, ou si les politiques d'audit ne sont pas correctement configurées. Vérifiez que 'Audit des extensions du système de sécurité' est activé dans la stratégie de groupe sous Configuration avancée de la stratégie d'audit. Vérifiez également que le journal de sécurité a des paramètres de rétention suffisants et n'est pas effacé automatiquement.
L'ID d'événement 4609 peut-il aider à détecter les redémarrages système non autorisés ?+
Oui, l'ID d'événement 4609 est excellent pour détecter les redémarrages inattendus. En surveillant la fréquence et le moment de ces événements, vous pouvez identifier des schémas suggérant un accès non autorisé, une instabilité du système ou une activité malveillante. Comparez les événements de démarrage avec les fenêtres de maintenance programmées et les journaux d'activité des utilisateurs. Des redémarrages fréquents en dehors des heures ouvrables normales ou sans événements d'arrêt correspondants (ID 4608) peuvent indiquer des incidents de sécurité.
Comment puis-je corréler l'ID d'événement 4609 avec d'autres événements système pour le dépannage ?+
Corréler l'ID d'événement 4609 avec l'ID d'événement 4608 (arrêt), les événements du journal système autour de la même période, et les entrées du journal d'application. Utilisez PowerShell pour interroger plusieurs journaux simultanément : Get-WinEvent -FilterHashtable @{LogName='System','Security','Application'; StartTime=$StartupTime.AddMinutes(-5); EndTime=$StartupTime.AddMinutes(5)}. Cela aide à identifier ce qui a causé le redémarrage et si le démarrage s'est terminé avec succès.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4609 and related system startup events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies to ensure proper generation of security events like Event ID 4609.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-security#system-startup#event-id-4609

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...