ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying authentication event logs and security audit information
Event ID 4611InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4611 – LSA : Un processus de connexion de confiance a été attribué à un package d'authentification

L'ID d'événement 4611 se déclenche lorsque l'Autorité de sécurité locale (LSA) assigne un processus de connexion de confiance à un package d'authentification, indiquant l'initialisation normale du sous-système d'authentification ou des modifications de configuration.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4611Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'Autorité de sécurité locale (LSA) est le sous-système de sécurité central de Windows responsable de l'application des politiques de sécurité, de la gestion de l'authentification des utilisateurs et du maintien des jetons de sécurité. L'ID d'événement 4611 suit spécifiquement lorsque LSA attribue des processus de connexion de confiance aux packages d'authentification, ce qui est fondamental pour l'architecture de sécurité de Windows.

Les packages d'authentification sont des bibliothèques de liens dynamiques (DLL) qui implémentent des protocoles d'authentification spécifiques. Les packages courants incluent msv1_0.dll pour l'authentification NTLM, kerberos.dll pour le protocole Kerberos, et wdigest.dll pour l'authentification par digest. Chaque package nécessite un processus de connexion de confiance - un composant privilégié qui peut interagir directement avec LSA pour traiter les informations d'identification en toute sécurité.

L'attribution du processus de connexion de confiance garantit que seul le code autorisé peut gérer les opérations d'authentification sensibles. Cela empêche les logiciels malveillants d'intercepter les informations d'identification ou de manipuler les flux d'authentification. L'événement inclut des détails sur le package d'authentification qui a reçu l'attribution et l'identifiant du processus de connexion associé.

Dans les environnements d'entreprise, cet événement aide les administrateurs à comprendre quels mécanismes d'authentification sont actifs, ce qui est particulièrement important lors de la mise en œuvre de solutions d'authentification unique, d'authentification par carte à puce ou de fournisseurs d'authentification tiers. Le moment et la fréquence de ces événements peuvent indiquer la santé du système et la bonne initialisation du sous-système d'authentification.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage du système et initialisation du sous-système LSA
  • Démarrage du service d'authentification (comme Active Directory Domain Services)
  • Installation de fournisseurs d'authentification tiers ou de middleware pour cartes à puce
  • Chargement dynamique de paquets d'authentification pendant l'exécution
  • Modifications de la stratégie de groupe affectant la configuration des paquets d'authentification
  • Installation de logiciels de sécurité enregistrant des modules d'authentification personnalisés
  • Installation de Windows Update affectant les composants d'authentification
  • Redémarrage des services Windows liés à l'authentification
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4611 pour comprendre quel package d'authentification et quel processus de connexion sont impliqués.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4611 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4611 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur une entrée récente de l'ID d'événement 4611 pour voir les détails
  6. Examinez l'onglet Général pour le nom du package d'authentification et les informations sur le processus de connexion
  7. Vérifiez l'onglet Détails pour des informations techniques supplémentaires, y compris les ID de processus et les identifiants de package

Les détails de l'événement montreront quel package d'authentification a été assigné à un processus de connexion de confiance, vous aidant à faire le lien avec les changements ou installations récents du système.

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 4611 et identifier des motifs ou des anomalies.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4611 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4611} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Pour une analyse détaillée des packages d'authentification :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4611} | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationPackageName'} | Select-Object '#text' }
  4. Vérifiez les événements des dernières 24 heures :
    $StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4611; StartTime=$StartTime} | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4611} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event4611_Analysis.csv" -NoTypeInformation

Cette approche PowerShell vous permet d'identifier des tendances, des attributions inhabituelles de packages d'authentification ou de corréler des événements avec des changements système.

03

Vérifier la configuration du registre du package d'authentification

Examinez le registre pour comprendre quels paquets d'authentification sont configurés et validez leur légitimité.

  1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à la clé des paquets d'authentification LSA :
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  3. Examinez la valeur Authentication Packages pour voir les DLL d'authentification configurées
  4. Vérifiez la valeur Security Packages pour des fournisseurs de sécurité supplémentaires
  5. Vérifiez que chaque paquet listé existe dans le répertoire système :
    $AuthPackages = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Authentication Packages")."Authentication Packages"
foreach ($package in $AuthPackages) {
    $path = "$env:SystemRoot\System32\$package.dll"
    if (Test-Path $path) {
        Get-ItemProperty $path | Select-Object Name, VersionInfo
    } else {
        Write-Warning "Package $package.dll not found"
    }
}
  6. Pour les paquets de notification, vérifiez :
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
Avertissement : Ne modifiez pas les paramètres du registre LSA sans tests appropriés, car des modifications incorrectes peuvent empêcher l'authentification du système et causer des échecs de démarrage.
04

Surveiller l'état du service d'authentification et ses dépendances

Enquêter sur la santé et la configuration des services Windows liés à l'authentification qui déclenchent l'ID d'événement 4611.

  1. Vérifier l'état des services d'authentification critiques :
    $AuthServices = @('LanmanServer', 'LanmanWorkstation', 'Netlogon', 'NTDS', 'KDC')
foreach ($service in $AuthServices) {
    try {
        Get-Service -Name $service -ErrorAction Stop | Select-Object Name, Status, StartType
    } catch {
        Write-Host "Service $service not found (normal on workstations)" -ForegroundColor Yellow
    }
}
  2. Examiner les dépendances de service qui pourraient affecter l'authentification :
    Get-Service -Name 'LanmanServer' | Select-Object -ExpandProperty ServicesDependedOn
  3. Vérifier les redémarrages récents de services dans le journal Système :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=7036; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -match 'authentication|logon|security'} | Format-Table TimeCreated, Message -Wrap
  4. Vérifier la connectivité du contrôleur de domaine (systèmes joints au domaine) :
    nltest /dsgetdc:$env:USERDNSDOMAIN
  5. Tester la fonctionnalité du package d'authentification :
    klist tickets

Cette méthode aide à identifier les problèmes liés aux services qui pourraient causer des attributions ou des échecs anormaux de packages d'authentification.

05

Dépannage avancé avec les politiques d'audit LSA

Configurez l'audit avancé pour obtenir des informations plus approfondies sur le comportement des packages d'authentification et les préoccupations potentielles en matière de sécurité.

  1. Activez l'audit détaillé de LSA en utilisant la stratégie de groupe ou auditpol :
    auditpol /set /subcategory:"Other Logon/Logoff Events" /success:enable /failure:enable
  2. Activez l'audit des modifications de la politique d'authentification :
    auditpol /set /subcategory:"Authentication Policy Change" /success:enable /failure:enable
  3. Vérifiez les paramètres actuels de la politique d'audit :
    auditpol /get /category:"Logon/Logoff"
  4. Surveillez les installations suspectes de packages d'authentification en créant un filtre de journal d'événements personnalisé :
    $Query = @"

  
    
  

"@
Get-WinEvent -FilterXml $Query
  5. Créez une tâche planifiée pour surveiller les affectations inhabituelles de packages d'authentification :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4611; StartTime=(Get-Date).AddMinutes(-5)} | Out-File C:\Logs\Auth_Monitor.log -Append"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5)
Register-ScheduledTask -TaskName "AuthPackageMonitor" -Action $Action -Trigger $Trigger -Description "Monitor Event ID 4611 for security analysis"
Conseil pro : Dans les environnements à haute sécurité, établissez une base de référence des affectations normales de packages d'authentification et alertez sur les écarts, car les logiciels malveillants installent parfois des packages d'authentification frauduleux.

Aperçu

L'ID d'événement 4611 est généré par le sous-système de l'Autorité de sécurité locale (LSA) lorsqu'un processus de connexion de confiance est attribué avec succès à un package d'authentification. Cet événement se produit lors du démarrage du système, de l'initialisation du service ou lorsque des composants d'authentification sont chargés dynamiquement. La LSA gère des packages d'authentification comme Kerberos, NTLM et des fournisseurs d'authentification personnalisés, garantissant un traitement sécurisé des informations d'identification.

Cet événement apparaît dans le journal de sécurité et indique le fonctionnement normal de l'infrastructure d'authentification Windows. Chaque package d'authentification nécessite un processus de connexion de confiance pour gérer la validation des informations d'identification, la génération de jetons et l'établissement du contexte de sécurité. L'événement fournit une visibilité sur les mécanismes d'authentification actifs sur votre système.

Les administrateurs système voient généralement cet événement lors des séquences de démarrage, après l'installation de logiciels liés à l'authentification ou lorsque les contrôleurs de domaine initialisent les services d'authentification. Bien que de nature informative, la surveillance de ces événements aide à suivre la santé du sous-système d'authentification et à détecter les installations non autorisées de packages d'authentification.

Questions Fréquentes

Que signifie l'ID d'événement 4611 et devrais-je m'en inquiéter ?+
L'ID d'événement 4611 indique que l'Autorité de sécurité locale (LSA) a attribué avec succès un processus de connexion de confiance à un package d'authentification. Il s'agit généralement d'un événement normal et informatif qui se produit lors du démarrage du système ou lorsque les services d'authentification s'initialisent. Vous ne devriez vous inquiéter que si vous voyez des packages d'authentification inattendus être attribués ou si ces événements sont corrélés à des échecs d'authentification ou à des incidents de sécurité. L'événement lui-même représente le bon fonctionnement de l'infrastructure d'authentification de Windows.
À quelle fréquence devrais-je m'attendre à voir l'ID d'événement 4611 dans mes journaux ?+
La fréquence de l'ID d'événement 4611 dépend de la configuration et du rôle de votre système. Sur les postes de travail, vous verrez généralement ces événements lors du démarrage et lorsque les services d'authentification commencent. Les contrôleurs de domaine et les serveurs avec plusieurs packages d'authentification peuvent générer des événements plus fréquents. En général, vous devriez observer des schémas cohérents - si la fréquence augmente ou diminue soudainement de manière significative, cela peut indiquer des changements système, des problèmes de service ou des préoccupations de sécurité potentielles qui méritent une enquête.
L'ID d'événement 4611 peut-il indiquer une menace de sécurité ou une activité malveillante ?+
Bien que l'ID d'événement 4611 soit normalement bénin, il peut potentiellement indiquer des menaces de sécurité si un logiciel malveillant installe des packages d'authentification frauduleux. Les attaquants utilisent parfois des packages d'authentification personnalisés pour intercepter des identifiants ou contourner des contrôles de sécurité. Surveillez les noms de packages d'authentification inconnus ou suspects, le moment inhabituel de ces événements, ou la corrélation avec d'autres alertes de sécurité. Vérifiez toujours que les packages d'authentification listés dans ces événements correspondent à des installations logicielles légitimes et attendues.
Quels paquets d'authentification sont considérés comme normaux dans les environnements Windows ?+
Les packages d'authentification légitimes courants incluent msv1_0.dll (authentification NTLM), kerberos.dll (protocole Kerberos), wdigest.dll (authentification par digest), tspkg.dll (Services Terminal Server) et pku2u.dll (protocole PKU2U). Dans les environnements Active Directory, vous verrez également des packages liés à l'authentification par carte à puce et aux solutions SSO tierces. Tout package ne correspondant pas aux méthodes d'authentification approuvées par votre organisation doit être examiné. Documentez vos packages d'authentification de référence pour identifier les ajouts non autorisés.
Comment puis-je dépanner les problèmes d'authentification liés à l'ID d'événement 4611 ?+
Commencez par corréler l'ID d'événement 4611 avec les événements d'échec d'authentification (comme 4625 ou 4776) pour identifier les packages problématiques. Utilisez PowerShell pour analyser les modèles et le timing des attributions de packages d'authentification. Vérifiez que tous les packages d'authentification répertoriés existent dans System32 et ont des signatures numériques valides. Vérifiez les dépendances de service et assurez-vous que les services liés à l'authentification fonctionnent correctement. Si les problèmes persistent, activez l'audit détaillé de LSA et envisagez d'utiliser des outils comme Process Monitor pour suivre le chargement des packages d'authentification lors du démarrage du système.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including authentication-related eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Local Security Authority ArchitectureTechnical documentation on LSA authentication architecture and authentication packageshttps://learn.microsoft.com/en-us/windows/win32/secauthn/lsa-authentication
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-security#authentication#event-id-4611

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...