ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with EFS security events and encryption status
Event ID 4621InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4621 – LSA : Politique de l'agent de récupération de l'administrateur modifiée

L'ID d'événement 4621 se déclenche lorsque la politique de l'Agent de récupération de l'administrateur pour le système de fichiers de chiffrement (EFS) est modifiée, indiquant des changements dans les capacités de récupération de données sur le système.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4621Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4621 est généré par le sous-système de l'Autorité de sécurité locale (LSA) chaque fois que la politique de l'Agent de récupération de l'administrateur subit une modification. Cette politique définit quels certificats et utilisateurs peuvent servir d'agents de récupération pour les fichiers chiffrés par EFS dans le cadre de sécurité actuel.

Les agents de récupération représentent un composant critique des déploiements EFS en entreprise. Lorsque les utilisateurs chiffrent des fichiers avec EFS, Windows ajoute automatiquement les certificats d'agent de récupération actuels aux métadonnées du fichier chiffré. Si un utilisateur perd sa clé privée ou quitte l'organisation, les agents de récupération désignés peuvent déchiffrer les fichiers en utilisant leurs certificats de récupération.

L'événement capture plusieurs détails importants : le sujet et l'émetteur des certificats d'agent de récupération, si des certificats ont été ajoutés ou supprimés, et l'identifiant de sécurité du compte effectuant le changement. Ces informations s'avèrent inestimables lors des audits de sécurité et des examens de conformité.

Dans les environnements de domaine, cet événement apparaît couramment lorsque la stratégie de groupe traite les paramètres de récupération EFS. Les administrateurs locaux peuvent également déclencher cet événement en configurant manuellement les agents de récupération via le composant logiciel enfichable de la stratégie de sécurité locale ou en important de nouveaux certificats de récupération via la console MMC des certificats.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Actualisation de la stratégie de groupe appliquant de nouveaux paramètres d'agent de récupération EFS à partir des contrôleurs de domaine
  • Modification manuelle de la stratégie d'agent de récupération via la console de la stratégie de sécurité locale
  • Importation ou suppression de certificats d'agent de récupération via le composant logiciel enfichable MMC Certificats
  • Commandes ou scripts PowerShell modifiant la configuration de récupération EFS
  • Outils de gestion EFS tiers mettant à jour les paramètres de l'agent de récupération
  • Opérations de restauration du système affectant la configuration de la stratégie de sécurité
  • Processus de renouvellement de certificats pour les agents de récupération existants
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre quels changements d'agent de récupération ont eu lieu.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4621 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement 4621 le plus récent pour voir les détails
  4. Examinez l'onglet Général pour des informations de base
  5. Cliquez sur l'onglet Détails et sélectionnez Vue XML pour des données complètes
  6. Notez le champ SubjectUserName indiquant qui a effectué le changement
  7. Vérifiez les champs RecoveryAgentName et RecoveryAgentThumbprint

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4621} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message
Astuce pro : La vue XML contient les informations les plus détaillées sur les changements de certificat, y compris les empreintes et les détails de l'émetteur.
02

Vérifier la configuration actuelle de l'agent de récupération

Vérifiez la politique actuelle de l'agent de récupération EFS pour comprendre la configuration active.

  1. Appuyez sur Win + R, tapez secpol.msc, et appuyez sur Entrée
  2. Accédez à Stratégies de clés publiquesSystème de fichiers de chiffrement
  3. Cliquez avec le bouton droit sur Système de fichiers de chiffrement et sélectionnez Propriétés
  4. Examinez l'onglet Général pour les certificats d'agent de récupération actuels
  5. Vérifiez les détails des certificats en sélectionnant chaque certificat et en cliquant sur Afficher le certificat

Utilisez PowerShell pour énumérer les agents de récupération de manière programmatique :

# Vérifiez la politique de récupération EFS
Get-ChildItem -Path "HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\EFS\Certificates" -ErrorAction SilentlyContinue

# Interrogez les certificats d'agent de récupération depuis le magasin de certificats
Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object {$_.EnhancedKeyUsageList -match "File Recovery"}
Avertissement : Les modifications de la politique de l'agent de récupération affectent toutes les opérations de chiffrement EFS futures sur le système.
03

Analyser les paramètres EFS de la stratégie de groupe

Enquêter pour savoir si des modifications de la stratégie de groupe ont déclenché la modification de l'agent de récupération.

  1. Ouvrir Group Policy Management Console (gpmc.msc) sur un contrôleur de domaine
  2. Accéder au GPO pertinent affectant l'ordinateur cible
  3. Modifier le GPO et aller à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéStratégies de clé publique
  4. Vérifier les paramètres du Système de fichiers de chiffrement pour les modifications récentes
  5. Examiner l'historique des versions du GPO et les dates de modification

Utiliser PowerShell pour vérifier le traitement de la stratégie de groupe :

# Vérifier le dernier rafraîchissement de la stratégie de groupe
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502} -MaxEvents 5

# Examiner les événements de la stratégie de groupe liés à EFS
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Group Policy EFS'} -MaxEvents 10 -ErrorAction SilentlyContinue

# Forcer le rafraîchissement de la stratégie de groupe pour tester
gpupdate /force

Vérifier le journal de traitement de la stratégie de groupe :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational'; Id=4016,4017} -MaxEvents 10
04

Enquêter sur les modifications du magasin de certificats

Examinez les modifications du magasin de certificats qui pourraient avoir déclenché la mise à jour de la stratégie de l'agent de récupération.

  1. Ouvrez Microsoft Management Console (mmc.exe)
  2. Ajoutez le composant logiciel enfichable Certificats pour le compte d'ordinateur
  3. Accédez à PersonnelCertificats
  4. Cherchez les certificats avec Récupération de fichiers dans les objectifs prévus
  5. Vérifiez les dates de validité des certificats et les informations sur l'émetteur
  6. Examinez le magasin des Autorités de certification racines de confiance pour les changements

Utilisez PowerShell pour auditer les changements de certificats :

# Lister tous les certificats avec la capacité de récupération de fichiers
Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object {
    $_.EnhancedKeyUsageList.FriendlyName -contains "File Recovery"
} | Select-Object Subject, Issuer, NotAfter, Thumbprint

# Vérifier les événements d'audit du magasin de certificats
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876,4877,4878} -MaxEvents 20 -ErrorAction SilentlyContinue

Surveillez les événements d'installation de certificats :

# Événements des services de certificats
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Microsoft-Windows-CertificateServices-Deployment'} -MaxEvents 10 -ErrorAction SilentlyContinue
05

Analyse de la politique d'agent de récupération avancée

Effectuer une analyse approfondie des modifications de la politique de l'agent de récupération en utilisant l'inspection du registre et des techniques PowerShell avancées.

  1. Ouvrir Éditeur du Registre (regedit.exe) en tant qu'administrateur
  2. Accéder à HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\EFS
  3. Examiner la sous-clé Certificates pour les données de certificat de l'agent de récupération
  4. Vérifier HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS pour la configuration EFS
  5. Examiner HKLM\SYSTEM\CurrentControlSet\Control\Lsa pour les paramètres d'audit LSA

Utiliser une analyse PowerShell avancée :

# Exporter la politique EFS actuelle pour analyse
$efsPolicy = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\EFS\*" -ErrorAction SilentlyContinue
$efsPolicy | Format-List

# Décoder les certificats de l'agent de récupération depuis le registre
$certPath = "HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\EFS\Certificates"
Get-ChildItem -Path $certPath -ErrorAction SilentlyContinue | ForEach-Object {
    $certData = Get-ItemProperty -Path $_.PSPath -Name "Blob" -ErrorAction SilentlyContinue
    if ($certData) {
        $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
        $cert.Import($certData.Blob)
        [PSCustomObject]@{
            Subject = $cert.Subject
            Issuer = $cert.Issuer
            Thumbprint = $cert.Thumbprint
            ValidFrom = $cert.NotBefore
            ValidTo = $cert.NotAfter
        }
    }
}

Créer un rapport d'audit complet :

# Générer un rapport d'audit de l'agent de récupération EFS
$report = @()
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4621} -MaxEvents 50 -ErrorAction SilentlyContinue
foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $report += [PSCustomObject]@{
        TimeCreated = $event.TimeCreated
        User = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        Domain = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
        RecoveryAgent = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'RecoveryAgentName'} | Select-Object -ExpandProperty '#text'
    }
}
$report | Export-Csv -Path "C:\temp\EFS_Recovery_Agent_Changes.csv" -NoTypeInformation
Conseil pro : Une surveillance régulière de l'ID d'événement 4621 aide à maintenir la visibilité sur les capacités de récupération EFS et à soutenir les exigences de conformité.

Aperçu

L'ID d'événement 4621 apparaît dans le journal de sécurité lorsque Windows modifie la politique de l'Agent de Récupération Administrateur (ARA) pour le Système de Fichiers Chiffrés (EFS). Cet événement suit les modifications de l'infrastructure de récupération cryptographique qui permet aux administrateurs désignés de déchiffrer les fichiers protégés par EFS lorsque les utilisateurs perdent l'accès à leurs clés de chiffrement.

L'événement se déclenche lors des mises à jour de la stratégie de groupe, des modifications manuelles de la politique, ou lorsque les administrateurs modifient les paramètres de récupération EFS via la console de la Stratégie de Sécurité Locale. C'est un événement d'audit de sécurité critique car les agents de récupération ont des capacités puissantes pour déchiffrer toutes les données chiffrées par EFS sur le système.

Vous verrez généralement cet événement sur les contrôleurs de domaine lorsque la stratégie de groupe actualise les paramètres EFS, ou sur les postes de travail lorsque les administrateurs locaux modifient les certificats des agents de récupération. L'événement contient des détails sur les certificats des agents de récupération qui ont été ajoutés, supprimés ou modifiés, ce qui est essentiel pour suivre les changements des capacités de récupération de données de votre organisation.

Questions Fréquentes

Que signifie l'ID d'événement 4621 concernant la sécurité de mon système ?+
L'ID d'événement 4621 indique que la politique de l'agent de récupération EFS de votre système a été modifiée. C'est un événement de sécurité important car les agents de récupération ont la capacité de déchiffrer tous les fichiers chiffrés par EFS sur le système. L'événement vous aide à suivre qui a apporté des modifications aux capacités de récupération et quand, ce qui est crucial pour maintenir la sécurité des données et répondre aux exigences de conformité. La survenue régulière de cet événement pourrait indiquer une gestion active de l'EFS, tandis que des événements inattendus pourraient signaler des modifications non autorisées de la politique.
Comment puis-je déterminer qui a déclenché l'ID d'événement 4621 ?+
Les détails de l'événement contiennent les champs SubjectUserName et SubjectDomainName qui identifient le compte responsable du changement de politique de l'agent de récupération. Vous pouvez trouver cette information dans la vue XML de l'événement ou en utilisant PowerShell pour analyser les données de l'événement. De plus, vérifiez le champ SubjectLogonId pour établir une corrélation avec d'autres événements de sécurité de la même session de connexion. Si le changement a été effectué via la stratégie de groupe, le compte SYSTEM apparaît généralement comme le sujet, vous obligeant à examiner les journaux de modification de la stratégie de groupe sur les contrôleurs de domaine.
L'ID d'événement 4621 est-il normal dans un environnement de domaine ?+
Oui, l'ID d'événement 4621 est normal dans les environnements de domaine où les agents de récupération EFS sont gérés via la stratégie de groupe. Vous verrez généralement cet événement lors des cycles de rafraîchissement de la stratégie de groupe, surtout après que les administrateurs ont modifié les paramètres EFS dans les objets de stratégie de groupe. La fréquence dépend de votre intervalle de rafraîchissement de la stratégie de groupe et de la fréquence des changements des paramètres de récupération EFS. Cependant, vous devriez enquêter sur les occurrences inattendues ou les événements déclenchés par des comptes non administratifs, car ceux-ci pourraient indiquer des tentatives non autorisées de modifier les capacités de récupération.
L'ID d'événement 4621 peut-il aider au dépannage de l'EFS ?+
Absolument. L'ID d'événement 4621 fournit des informations précieuses pour le dépannage de l'EFS en montrant quand les politiques d'agent de récupération changent. Si les utilisateurs ne peuvent soudainement plus chiffrer des fichiers ou si les opérations de récupération échouent, vérifier les événements 4621 récents peut révéler si des changements de politique ont affecté la fonctionnalité de l'EFS. Les détails de l'événement incluent les empreintes de certificat et les noms des agents de récupération, vous aidant à vérifier que les bons agents de récupération sont configurés. Corréler les événements 4621 avec les échecs de chiffrement EFS peut aider à identifier les problèmes liés aux politiques.
Comment dois-je réagir aux occurrences inattendues de l'ID d'événement 4621 ?+
Les événements inattendus avec l'ID d'événement 4621 nécessitent une enquête immédiate. Tout d'abord, vérifiez le SubjectUserName pour confirmer que le changement a été effectué par un administrateur autorisé. Vérifiez le timing par rapport aux fenêtres de maintenance planifiées ou aux mises à jour de la stratégie de groupe. Examinez les certificats d'agent de récupération mentionnés dans l'événement pour vous assurer qu'ils sont légitimes et correctement émis. Si le changement semble non autorisé, auditez immédiatement votre configuration d'agent de récupération EFS, examinez les magasins de certificats pour détecter les certificats non autorisés et envisagez de révoquer les certificats d'agent de récupération compromis. Documentez l'incident et mettez en place une surveillance supplémentaire pour les futurs changements de politique EFS.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including EFS-related eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Encrypting File System Technical ReferenceOfficial documentation for EFS implementation and recovery agent configurationhttps://docs.microsoft.com/en-us/windows/security/information-protection/encrypting-file-system/encrypting-file-system
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-4621#efs-security#recovery-agents

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...