ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with Event ID 4616 system time change events on a monitoring dashboard
Event ID 4616InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4616 – Sécurité : Heure du système modifiée

L'ID d'événement 4616 enregistre lorsque l'heure système est modifiée sur une machine Windows. Cet événement d'audit de sécurité suit les modifications de l'heure à des fins de conformité et d'enquête judiciaire.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4616Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4616 est un événement d'audit de sécurité qui fournit une journalisation complète des modifications de l'heure système. Lorsqu'il est généré, il enregistre l'horodatage exact du moment où le changement s'est produit, l'heure système précédente, la nouvelle heure système, et identifie à la fois le processus et le compte utilisateur responsable de la modification.

La structure de l'événement comprend plusieurs champs clés : l'ID de sécurité de l'utilisateur qui a effectué le changement, l'ID de connexion associé à la session, l'ID de processus et le nom de l'application qui a demandé le changement d'heure, ainsi que les horodatages précis avant et après. Ce niveau de détail granulaire le rend inestimable pour les enquêtes de sécurité et les rapports de conformité.

Dans les environnements d'entreprise, cet événement aide les administrateurs à suivre les changements d'heure non autorisés qui pourraient indiquer des tentatives de compromission. Les attaquants modifient parfois l'heure système pour échapper à la corrélation des journaux, contourner les contrôles de sécurité basés sur le temps, ou interférer avec la validation des certificats. L'événement capture également les changements légitimes dus à la synchronisation NTP, aux ajustements manuels et aux modifications de fuseau horaire.

La fréquence de cet événement varie considérablement en fonction de la configuration du système. Les serveurs avec une synchronisation stricte de l'heure peuvent générer plusieurs entrées par jour, tandis que les postes de travail isolés peuvent ne consigner que des ajustements manuels occasionnels. Comprendre les schémas normaux pour votre environnement est crucial pour une surveillance efficace.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Changement manuel de l'heure via les paramètres de Date et Heure dans le Panneau de configuration ou l'application Paramètres
  • Service de temps Windows (W32Time) synchronisant avec les serveurs NTP
  • Applications utilisant l'API SetSystemTime() pour modifier l'horloge système
  • Changements de fuseau horaire ou transitions de l'heure d'été
  • Synchronisation de l'heure imposée par la stratégie de groupe
  • Logiciel malveillant tentant de manipuler l'heure système pour l'évasion
  • Synchronisation de l'heure de la machine virtuelle avec l'hyperviseur
  • Correction de la dérive de l'horloge matérielle par le système d'exploitation
  • Exécution du cmdlet Set-Date de PowerShell
  • Logiciel de synchronisation de l'heure tiers
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4616 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4616 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4616 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4616 pour voir les informations détaillées
  6. Examinez l'onglet Général pour l'horodatage et les détails de base
  7. Vérifiez l'onglet Détails pour les données structurées incluant :
    • SubjectUserSid : Identifiant de sécurité de l'utilisateur qui a changé l'heure
    • SubjectUserName : Nom d'utilisateur du compte
    • ProcessName : Application qui a effectué le changement
    • PreviousTime : Heure système avant le changement
    • NewTime : Heure système après le changement
Astuce pro : Recherchez des motifs dans le champ ProcessName. Les changements légitimes montrent souvent explorer.exe, w32time.exe, ou des outils administratifs spécifiques.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les entrées d'ID d'événement 4616 sur plusieurs systèmes ou plages de temps.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de changement d'heure :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Extrayez des informations détaillées à partir d'événements spécifiques :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616} -MaxEvents 10
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    Write-Host "Time: $($Event.TimeCreated)"
    Write-Host "User: $($EventData | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Process: $($EventData | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Previous Time: $($EventData | Where-Object {$_.Name -eq 'PreviousTime'} | Select-Object -ExpandProperty '#text')"
    Write-Host "New Time: $($EventData | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text')"
    Write-Host "---"
}
  4. Recherchez des changements d'heure suspects (grands sauts) :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.Message -notmatch 'w32time'}
Avertissement : Les ensembles de résultats volumineux peuvent affecter les performances du système. Utilisez le paramètre -MaxEvents pour limiter la sortie.
03

Analyser la configuration du service de temps Windows

Enquêter sur la configuration du service de temps Windows pour déterminer si les changements de temps sont des événements de synchronisation légitimes.

  1. Vérifier l'état actuel du service de temps :
    w32tm /query /status
  2. Examiner la configuration du service de temps :
    w32tm /query /configuration
  3. Examiner les sources de synchronisation du temps :
    w32tm /query /peers
  4. Vérifier les paramètres du registre pour le service de temps :
    Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  5. Examiner les paramètres de stratégie de groupe affectant la synchronisation du temps :
    • Accéder à HKLM\SOFTWARE\Policies\Microsoft\W32Time
    • Vérifier les serveurs NTP configurés et les intervalles de synchronisation
  6. Vérifier la synchronisation du temps de domaine (pour les machines jointes au domaine) :
    w32tm /monitor /domain
  7. Tester la synchronisation manuelle du temps :
    w32tm /resync /force
Astuce pro : Dans les environnements de domaine, les changements de temps à partir de w32time.exe avec le compte SYSTEM sont généralement des synchronisations NTP légitimes.
04

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance complète pour détecter les changements de temps non autorisés et établir des modèles de comportement de base.

  1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance des changements de temps:
    • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Définissez le niveau d'événement sur Information
    • Entrez l'ID d'événement 4616
    • Nommer la vue "Changements de l'heure système"
  2. Configurez le transfert d'événements Windows pour la journalisation centralisée:
    # Sur le serveur collecteur
wecutil qc
wecutil cs subscription.xml
  3. Créez un script de surveillance PowerShell:
    # TimeChangeMonitor.ps1
$LastCheck = (Get-Date).AddHours(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616; StartTime=$LastCheck}

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    $User = $EventData | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $Process = $EventData | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    
    # Alerte sur les changements de temps non-système
    if ($User -ne "SYSTEM" -and $Process -notmatch "w32time") {
        Write-Warning "Changement de temps suspect détecté par l'utilisateur: $User via le processus: $Process"
        # Ajoutez ici la logique d'alerte (email, SIEM, etc.)
    }
}
  4. Planifiez le script de surveillance:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\TimeChangeMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger
05

Analyse Forensique et Corrélation

Effectuer une analyse médico-légale détaillée pour corréler les changements de temps avec d'autres événements système et identifier les incidents de sécurité potentiels.

  1. Exporter les journaux d'événements ID 4616 pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation
  2. Corréler avec d'autres événements de sécurité autour de la même période :
    # Rechercher des événements de connexion près des changements de temps
$TimeChanges = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616} -MaxEvents 10
foreach ($Change in $TimeChanges) {
    $TimeWindow = $Change.TimeCreated
    $StartTime = $TimeWindow.AddMinutes(-5)
    $EndTime = $TimeWindow.AddMinutes(5)
    
    Write-Host "Analyzing events around: $TimeWindow"
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Id, Message
}
  3. Vérifier les événements de création de processus :
    # Corréler avec la création de processus (ID d'événement 4688)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -match "timedate.cpl|w32tm.exe|powershell"}
  4. Analyser les modifications du registre liées aux paramètres de temps :
    # Vérifier les changements de registre sur les clés liées au temps
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -match "W32Time|TimeZone"}
  5. Générer un rapport de chronologie complet :
    # Créer une chronologie de tous les événements pertinents
$AllEvents = @()
$AllEvents += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616; StartTime=(Get-Date).AddDays(-1)}
$AllEvents += Get-WinEvent -FilterHashtable @{LogName='System'; Id=1,12,13; StartTime=(Get-Date).AddDays(-1)}
$AllEvents | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\TimelineAnalysis.csv"
Avertissement : Les changements de temps peuvent affecter la corrélation des journaux. Toujours considérer l'impact sur la précision des horodatages lors de l'analyse des événements avant et après les modifications de temps.

Aperçu

L'ID d'événement 4616 se déclenche chaque fois que l'heure système est modifiée sur une machine Windows. Cet événement d'audit de sécurité est généré par le sous-système de sécurité Windows et apparaît dans le journal des événements de sécurité. L'événement capture des détails critiques, y compris l'heure précédente, la nouvelle heure, le processus responsable du changement et le compte utilisateur qui a initié la modification.

Cet événement est particulièrement précieux pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. Les changements d'heure peuvent indiquer des actions administratives légitimes, des logiciels malveillants tentant d'échapper à la détection ou des modifications non autorisées du système. Dans les environnements de domaine, des changements d'heure inattendus peuvent perturber l'authentification Kerberos et provoquer des échecs de service.

L'événement se déclenche pour les changements d'heure manuels via le panneau de configuration Date et Heure et les changements programmatiques via des API comme SetSystemTime(). Il se déclenche également lorsque le service de temps Windows (W32Time) se synchronise avec des sources de temps externes, bien que ces entrées montrent généralement le compte système comme initiateur.

Questions Fréquentes

Que signifie l'ID d'événement 4616 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4616 indique que l'heure système a été modifiée sur votre machine Windows. Vous devriez vous inquiéter lorsque les modifications sont effectuées par des utilisateurs non administratifs, se produisent fréquemment sans explication, ou surviennent en dehors des fenêtres de maintenance normales. Les causes légitimes incluent la synchronisation NTP (montrant w32time.exe comme le processus) ou les tâches administratives planifiées. Les indicateurs suspects incluent les modifications effectuées par des comptes d'utilisateurs réguliers, les modifications qui créent de grands sauts temporels, ou les changements qui coïncident avec d'autres événements de sécurité comme des échecs de connexion ou la détection de logiciels malveillants.
Comment puis-je distinguer les changements d'heure légitimes des changements malveillants dans l'ID d'événement 4616 ?+
Les changements d'heure légitimes montrent généralement des schémas spécifiques : le nom du processus est habituellement w32time.exe, explorer.exe, ou timedate.cpl ; le compte utilisateur est souvent SYSTEM ou un administrateur connu ; et les ajustements de temps sont petits (secondes ou minutes pour la synchronisation NTP). Les changements malveillants impliquent souvent des comptes utilisateurs réguliers effectuant de grands sauts de temps, des processus inconnus modifiant l'heure, ou des changements qui se produisent en même temps que d'autres activités suspectes. Vérifiez les champs ProcessName et SubjectUserName dans les détails de l'événement, et corrélez avec les calendriers de maintenance de votre organisation et la configuration NTP.
Pourquoi vois-je plusieurs entrées d'ID d'événement 4616 de w32time.exe quotidiennement ?+
Des entrées multiples quotidiennes d'ID d'événement 4616 provenant de w32time.exe sont normales et indiquent que le service de temps Windows fonctionne correctement. La fréquence dépend de votre configuration de synchronisation de l'heure - les machines jointes à un domaine se synchronisent généralement toutes les 8 heures par défaut, tandis que les machines autonomes peuvent se synchroniser moins fréquemment. Ces entrées montrent le compte SYSTEM comme utilisateur et w32time.exe comme processus. Les ajustements de temps sont généralement petits (de millisecondes à secondes) car le service maintient une heure précise. Vous pouvez vérifier que cela est un comportement normal en vérifiant votre configuration du service de temps avec 'w32tm /query /configuration' et en examinant vos paramètres de stratégie de groupe.
L'ID d'événement 4616 peut-il m'aider à détecter les logiciels malveillants qui manipulent l'heure système ?+
Oui, l'ID d'événement 4616 est précieux pour détecter les logiciels malveillants qui manipulent l'heure système à des fins d'évasion. Les logiciels malveillants peuvent modifier l'heure système pour contourner les contrôles de sécurité basés sur le temps, interférer avec la validation des certificats ou perturber la corrélation des journaux. Recherchez des modèles suspects tels que : de grands sauts en arrière dans le temps, des modifications effectuées par des processus ou comptes utilisateurs inattendus, des modifications de l'heure qui coïncident avec des alertes de logiciels malveillants ou des anomalies réseau, et des changements fréquents de l'heure en dehors des schémas de synchronisation normaux. Mettez en œuvre des scripts de surveillance pour alerter sur les changements d'heure non système et corréler ces événements avec d'autres journaux de sécurité pour une détection complète des menaces.
Comment configurer un audit approprié pour l'ID d'événement 4616 dans mon environnement ?+
Pour configurer un audit approprié pour l'ID d'événement 4616, assurez-vous que 'Audit des événements système' est activé dans votre stratégie d'audit. Utilisez la stratégie de groupe pour configurer cela : accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit système → Système, et activez 'Audit de l'extension du système de sécurité' pour les réussites et les échecs. Pour une surveillance centralisée, implémentez le transfert d'événements Windows pour collecter ces événements à partir de plusieurs systèmes. Envisagez de configurer des vues personnalisées dans le Visualiseur d'événements et des scripts de surveillance PowerShell pour détecter automatiquement les changements d'heure suspects. Dans les environnements à haute sécurité, transférez ces événements vers votre solution SIEM pour une corrélation avec d'autres indicateurs de sécurité.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4616 and related system time change monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Time Service Technical ReferenceOfficial documentation for Windows Time Service configuration, troubleshooting, and understanding time synchronization events.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-top
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#time-synchronization#event-id-4616

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...