ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with successful logon events on a cybersecurity monitoring dashboard
Event ID 4624InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4624 – Microsoft-Windows-Security-Auditing : Un compte s'est connecté avec succès

L'ID d'événement 4624 enregistre les tentatives d'authentification utilisateur réussies dans Windows. Cet événement d'audit de sécurité se déclenche chaque fois qu'un utilisateur, un service ou un compte d'ordinateur se connecte avec succès au système, fournissant des informations détaillées sur la session de connexion.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 202612 min de lecture 1
Event ID 4624Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4624 représente un événement d'authentification réussi dans l'audit de sécurité Windows. Lorsque Windows valide les identifiants et accorde l'accès à un utilisateur, un service ou un compte d'ordinateur, l'Autorité de sécurité locale génère cet événement pour documenter la création réussie de la session de connexion. L'événement contient des informations détaillées sur le processus d'authentification, y compris le sujet (le compte demandant l'authentification), le compte cible étant authentifié, la classification du type de connexion et les informations réseau lorsque cela est applicable.

La structure de l'événement comprend plusieurs champs qui fournissent un contexte sur l'authentification. La section Sujet identifie le compte qui a demandé la connexion (souvent SYSTEM pour les connexions de service), tandis que la section Nouvelle Connexion détaille le compte qui a été effectivement authentifié. Le champ Type de Connexion catégorise la méthode d'authentification, allant des connexions interactives sur le bureau (Type 2) aux connexions réseau (Type 3) et aux connexions de service (Type 5). Les informations de processus identifient l'exécutable qui a initié la demande de connexion, et les informations réseau capturent les adresses IP source et les noms de stations de travail pour les authentifications à distance.

Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit complète de l'accès réussi aux systèmes Windows. Les équipes de sécurité utilisent les événements 4624 pour établir des bases de référence des modèles d'authentification normaux, détecter les comportements de connexion anormaux et enquêter sur les incidents de sécurité. Les métadonnées complètes de l'événement permettent une corrélation avec d'autres événements de sécurité pour construire des images complètes de l'activité des utilisateurs et des systèmes à travers les environnements d'entreprise.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ouverture de session utilisateur interactive à la console ou via le protocole Remote Desktop Protocol (RDP)
  • Authentification réseau lors de l'accès à des ressources partagées, des partages de fichiers ou des services réseau
  • Authentification de compte de service lors du démarrage du service ou de l'exécution de tâches planifiées
  • Exécution de tâches par lots en utilisant RunAs ou les identifiants de tâches planifiées
  • Événements de déverrouillage de la station de travail après l'activation de l'économiseur d'écran ou de l'écran de verrouillage
  • Changement rapide d'utilisateur entre différents comptes sur le même système
  • Processus d'authentification par carte à puce ou certificat
  • Authentification biométrique Windows Hello (empreinte digitale, reconnaissance faciale, code PIN)
  • Authentification Single Sign-On (SSO) via Active Directory ou Azure AD
  • Authentification spécifique à l'application utilisant des identifiants stockés ou des principaux de service
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez Observateur d'événements et naviguez vers Journaux WindowsSécurité pour examiner les détails de l'ID d'événement 4624.

  1. Appuyez sur Win + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Développez Journaux Windows et cliquez sur Sécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4624 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quel événement 4624 pour voir des informations détaillées

Champs clés à examiner :

  • Sujet : Compte qui a demandé la connexion
  • Nouvelle connexion : Compte qui a été authentifié
  • Type de connexion : Méthode d'authentification (2=Interactif, 3=Réseau, 5=Service, etc.)
  • Processus de connexion : Package d'authentification utilisé
  • Adresse réseau source : Adresse IP du système source
  • Nom de la station de travail : Nom de l'ordinateur initiant la connexion
Astuce pro : Utilisez l'onglet vue XML pour voir toutes les données de l'événement dans un format structuré pour une analyse plus facile.
02

Filtrer et analyser les événements de connexion avec PowerShell

Utilisez PowerShell pour interroger et analyser les événements d'ID 4624 avec des capacités de filtrage avancées.

# Obtenez les événements de connexion réussis récents
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50 | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message

Filtrer par types de connexion spécifiques :

# Filtrer uniquement pour les connexions interactives (Type 2)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624}
$Events | Where-Object {
    ([xml]$_.ToXml()).Event.EventData.Data | 
    Where-Object {$_.Name -eq 'LogonType' -and $_.'#text' -eq '2'}
} | Select-Object TimeCreated, Message

Extraire des champs de données d'événement spécifiques :

# Analyser les données d'événement en objets personnalisés
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 100
$LogonEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        TargetUserName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        IpAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
        WorkstationName = ($eventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
    }
} | Format-Table -AutoSize
Astuce pro : Enregistrez les résultats filtrés au format CSV pour une analyse plus approfondie : | Export-Csv -Path "C:\Temp\Logon_Events.csv" -NoTypeInformation
03

Configurer les politiques d'audit avancées pour une journalisation améliorée

Optimisez les paramètres de la stratégie d'audit pour capturer les événements de connexion les plus pertinents tout en gérant le volume des journaux.

Vérifiez les paramètres actuels de la stratégie d'audit :

# Afficher les paramètres actuels d'audit de connexion
auditpol /get /subcategory:"Logon"

Configurez les stratégies d'audit via la stratégie de groupe :

  1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc)
  2. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  3. Développez Stratégies d'auditConnexion/Déconnexion
  4. Configurez Audit de connexion sur Succès (et éventuellement Échec)

Définissez les stratégies d'audit via la ligne de commande :

# Activer l'audit de succès et d'échec pour les événements de connexion
auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Configurez la taille et la rétention du journal de sécurité :

  1. Ouvrez le Observateur d'événementsJournaux WindowsSécurité
  2. Cliquez avec le bouton droit sur Sécurité et sélectionnez Propriétés
  3. Définissez la Taille maximale du journal à une valeur appropriée (par exemple, 1 Go)
  4. Choisissez la méthode de rétention : Archiver le journal lorsqu'il est plein ou Écraser les événements si nécessaire
Avertissement : Activer l'audit des échecs peut générer un volume de journaux important dans les environnements avec des problèmes d'authentification.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Créez des solutions de surveillance automatisées pour suivre les modèles de connexion suspects et générer des alertes pour les incidents de sécurité.

Créez un script PowerShell pour une surveillance continue :

# Surveiller les modèles de connexion inhabituels
$StartTime = (Get-Date).AddHours(-1)
$SuspiciousLogons = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624
    StartTime=$StartTime
} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    $logonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
    $ipAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
    $userName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
    
    # Signaler les modèles suspects
    if ($logonType -eq '3' -and $ipAddress -notmatch '^(10\.|192\.168\.|172\.(1[6-9]|2[0-9]|3[01])\.)') {
        [PSCustomObject]@{
            Time = $_.TimeCreated
            User = $userName
            Type = $logonType
            SourceIP = $ipAddress
            Suspicious = 'Connexion Réseau Externe'
        }
    }
} | Where-Object {$_.Suspicious}

if ($SuspiciousLogons) {
    $SuspiciousLogons | Format-Table
    # Envoyer un email d'alerte ou écrire dans le système de surveillance
}

Configurer le Planificateur de tâches Windows pour une exécution automatisée :

  1. Ouvrez Planificateur de tâches (taskschd.msc)
  2. Cliquez sur Créer une tâche de base dans le volet Actions
  3. Nommer la tâche "Moniteur d'événements de connexion" et définir le déclencheur approprié (par exemple, toutes les 15 minutes)
  4. Définir l'action pour démarrer PowerShell avec votre script de surveillance
  5. Configurer la tâche pour s'exécuter avec les autorisations appropriées

Utilisez le Transfert d'événements Windows pour une collecte centralisée :

# Configurer l'abonnement de transfert d'événements
wecutil cs subscription.xml

# Exemple de contenu XML d'abonnement :
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>LogonEvents</SubscriptionId>
#   <Query><![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[EventID=4624]]</Select></Query></QueryList>]]></Query>
# </Subscription>
Astuce pro : Intégrez avec des solutions SIEM comme Microsoft Sentinel ou Splunk pour une surveillance et une corrélation à l'échelle de l'entreprise.
05

Analyse Forensique Avancée et Corrélation

Effectuez une analyse médico-légale complète en corrélant l'ID d'événement 4624 avec les événements de sécurité associés pour l'enquête sur les incidents.

Corrélez avec les événements de déconnexion (4634) pour suivre la durée de la session :

# Trouver les paires de connexion/déconnexion correspondantes
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 100
$LogoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} -MaxEvents 100

$SessionAnalysis = foreach ($logon in $LogonEvents) {
    $logonXml = [xml]$logon.ToXml()
    $logonData = $logonXml.Event.EventData.Data
    $logonId = ($logonData | Where-Object {$_.Name -eq 'TargetLogonId'}).'#text'
    $userName = ($logonData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
    
    $matchingLogoff = $LogoffEvents | Where-Object {
        $logoffXml = [xml]$_.ToXml()
        $logoffData = $logoffXml.Event.EventData.Data
        $logoffId = ($logoffData | Where-Object {$_.Name -eq 'TargetLogonId'}).'#text'
        $logoffId -eq $logonId
    } | Select-Object -First 1
    
    [PSCustomObject]@{
        User = $userName
        LogonTime = $logon.TimeCreated
        LogoffTime = if ($matchingLogoff) { $matchingLogoff.TimeCreated } else { 'Still Active' }
        SessionDuration = if ($matchingLogoff) { 
            New-TimeSpan -Start $logon.TimeCreated -End $matchingLogoff.TimeCreated 
        } else { 'Ongoing' }
        LogonId = $logonId
    }
}

$SessionAnalysis | Format-Table -AutoSize

Analysez les modèles d'authentification et détectez les anomalies :

# Détecter les heures ou fréquences de connexion inhabituelles
$TimeWindow = (Get-Date).AddDays(-7)
$RecentLogons = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624
    StartTime=$TimeWindow
}

# Grouper par utilisateur et analyser les modèles
$UserPatterns = $RecentLogons | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        User = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        Time = $_.TimeCreated
        Hour = $_.TimeCreated.Hour
        DayOfWeek = $_.TimeCreated.DayOfWeek
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        SourceIP = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
    }
} | Group-Object User

# Identifier les utilisateurs avec des modèles inhabituels
foreach ($userGroup in $UserPatterns) {
    $user = $userGroup.Name
    $logons = $userGroup.Group
    
    # Vérifier l'activité hors heures (avant 6h ou après 22h)
    $offHoursLogons = $logons | Where-Object {$_.Hour -lt 6 -or $_.Hour -gt 22}
    
    if ($offHoursLogons) {
        Write-Host "ALERTE : L'utilisateur $user a des connexions hors heures :" -ForegroundColor Red
        $offHoursLogons | Format-Table Time, LogonType, SourceIP
    }
}

Exporter un rapport médico-légal complet :

# Générer un rapport médico-légal détaillé
$ForensicReport = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 1000 | 
ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        EventTime = $_.TimeCreated
        EventID = $_.Id
        SubjectUserName = ($eventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        TargetUserName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        LogonProcessName = ($eventData | Where-Object {$_.Name -eq 'LogonProcessName'}).'#text'
        AuthenticationPackageName = ($eventData | Where-Object {$_.Name -eq 'AuthenticationPackageName'}).'#text'
        WorkstationName = ($eventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
        SourceNetworkAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
        SourcePort = ($eventData | Where-Object {$_.Name -eq 'IpPort'}).'#text'
    }
}

$ForensicReport | Export-Csv -Path "C:\Forensics\Logon_Analysis_$(Get-Date -Format 'yyyyMMdd_HHmmss').csv" -NoTypeInformation
Avertissement : Une analyse médico-légale à grande échelle peut consommer des ressources système importantes. Exécutez pendant les fenêtres de maintenance lorsque cela est possible.

Aperçu

L'ID d'événement 4624 est l'un des événements d'audit de sécurité les plus fréquemment générés dans les environnements Windows. Cet événement se déclenche chaque fois qu'une authentification réussie se produit sur le système, qu'il s'agisse d'une connexion interactive au bureau, d'une authentification réseau, du démarrage d'un service ou de l'exécution d'une tâche planifiée. L'événement capture des détails complets sur le processus d'authentification, y compris le nom du compte, le type de connexion, le poste de travail source et le package d'authentification utilisé.

Cet événement apparaît dans le journal de sécurité et est généré par le sous-système de l'Autorité de sécurité locale (LSA). Chaque événement 4624 correspond à une nouvelle session de connexion établie sur le système. L'événement fournit aux enquêteurs judiciaires et aux administrateurs système des informations cruciales pour suivre l'activité des utilisateurs, identifier les tentatives d'accès non autorisées qui ont réussi et comprendre les modèles d'authentification sur le réseau.

Comprendre l'ID d'événement 4624 est essentiel pour la surveillance de la sécurité, l'audit de conformité et la réponse aux incidents. Les métadonnées riches de l'événement permettent aux administrateurs de distinguer entre différents types de connexions, de suivre l'activité des comptes de service et de corréler les événements d'authentification avec d'autres activités système pour une analyse de sécurité complète.

Questions Fréquentes

Que signifie l'ID d'événement 4624 et pourquoi est-il important pour la surveillance de la sécurité ?+
L'ID d'événement 4624 indique une authentification utilisateur réussie sur un système Windows. Il est généré chaque fois que des identifiants sont validés et qu'une nouvelle session de connexion est créée. Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit complète de qui a accédé au système, quand ils se sont connectés, comment ils se sont authentifiés (interactif, réseau, service), et d'où ils se sont connectés. Les équipes de sécurité utilisent ces événements pour établir des modèles d'authentification de référence, détecter les accès non autorisés, enquêter sur les incidents de sécurité et garantir la conformité aux exigences d'audit. L'événement contient des métadonnées riches, y compris le type de connexion, l'adresse IP source, la méthode d'authentification et les détails de la session qui permettent une analyse de sécurité complète.
Comment distinguer les différents types de connexions dans l'ID d'événement 4624 ?+
Le champ Type de connexion dans l'ID d'événement 4624 catégorise différentes méthodes d'authentification. Les principaux types de connexion incluent : Type 2 (Interactif) pour les connexions console ou RDP, Type 3 (Réseau) pour l'accès aux ressources partagées, Type 4 (Batch) pour les tâches planifiées, Type 5 (Service) pour l'authentification des comptes de service, Type 7 (Déverrouillage) pour les événements de déverrouillage de poste de travail, Type 8 (NetworkCleartext) pour l'authentification IIS, Type 9 (NewCredentials) pour les opérations RunAs, Type 10 (RemoteInteractive) pour les services de terminal, et Type 11 (CachedInteractive) pour les connexions avec des identifiants mis en cache. Comprendre ces types aide les administrateurs à identifier le contexte des événements d'authentification et à se concentrer sur les scénarios de sécurité pertinents. Par exemple, les connexions de Type 3 à partir d'adresses IP externes pourraient indiquer un mouvement latéral potentiel, tandis que des connexions de Type 2 inattendues pourraient suggérer un accès physique ou à distance non autorisé.
Pourquoi vois-je autant d'entrées d'ID d'événement 4624 et comment puis-je gérer le volume ?+
Des volumes élevés d'événements ID 4624 sont normaux dans les environnements Windows actifs car l'événement se déclenche pour chaque authentification réussie, y compris les connexions utilisateur, les démarrages de service, les tâches planifiées et l'accès aux ressources réseau. Pour gérer efficacement le volume, configurez les stratégies d'audit pour vous concentrer sur les types de connexion pertinents, augmentez la taille du journal de sécurité pour éviter la perte d'événements, mettez en œuvre des stratégies de rotation ou d'archivage des journaux, et utilisez le filtrage pour vous concentrer sur les modèles suspects. Envisagez d'exclure les connexions de comptes de service de routine des alertes tout en maintenant une journalisation complète pour la conformité. Utilisez le filtrage PowerShell pour analyser des périodes spécifiques, des utilisateurs ou des types de connexion plutôt que de passer en revue tous les événements. Pour les environnements d'entreprise, mettez en œuvre une journalisation centralisée avec des solutions SIEM qui peuvent corréler les événements et réduire le bruit grâce à un filtrage intelligent et une analyse de base.
Comment puis-je utiliser l'ID d'événement 4624 pour détecter des menaces de sécurité potentielles ?+
L'ID d'événement 4624 peut révéler plusieurs menaces de sécurité lorsqu'il est analysé correctement. Recherchez des connexions depuis des emplacements inhabituels (adresses IP externes), des authentifications en dehors des heures ouvrables (en dehors des heures de bureau normales), des connexions rapides multiples depuis différents emplacements (voyage impossible), des connexions interactives de comptes de service (Type 2), des connexions réseau de comptes privilégiés depuis des sources inattendues, et des authentifications utilisant des processus ou des packages inhabituels. Corrélez les événements 4624 avec les tentatives de connexion échouées (4625) pour identifier les attaques réussies après des tentatives de force brute. Surveillez les connexions immédiatement après des événements d'escalade de privilèges ou des changements système. Utilisez l'analyse de base pour identifier les écarts par rapport aux modèles d'authentification normaux pour chaque utilisateur. Mettez en place des alertes automatisées pour les scénarios à haut risque comme les connexions de comptes administrateur depuis de nouveaux emplacements ou les comptes de service utilisés pour des sessions interactives.
Quelles informations dois-je recueillir à partir de l'ID d'événement 4624 pour la réponse aux incidents et la criminalistique ?+
Pour une réponse aux incidents complète, collectez les données d'événements complètes, y compris l'horodatage, le nom d'utilisateur cible, le nom d'utilisateur du sujet (compte demandant la connexion), le type de connexion, l'adresse réseau source, le nom de la station de travail, le nom du processus de connexion, le package d'authentification, le GUID de connexion et les informations sur le processus. Corrélez avec des événements connexes comme 4625 (échecs de connexion), 4634 (déconnexions), 4648 (utilisation explicite des identifiants) et 4672 (privilèges spéciaux attribués). Documentez la durée de la session en associant les paires de connexion/déconnexion, identifiez les sessions simultanées pour le même utilisateur, suivez les événements d'escalade de privilèges et analysez les modèles d'authentification au fil du temps. Exportez les données d'événements filtrées en CSV ou JSON pour les outils d'analyse, conservez les journaux d'événements originaux pour les exigences légales et créez une analyse chronologique montrant la progression de l'activité utilisateur. Incluez le contexte réseau comme la résolution DNS des IP sources et les données de géolocalisation pour construire des récits d'attaque complets.
Documentation

Références (2)

1
Microsoft Security Auditing Events - Event 4624Official Microsoft documentation detailing Event ID 4624 structure, fields, and security implicationshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
2
Advanced Security Audit Policy SettingsComprehensive guide to configuring Windows audit policies for optimal security monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-4624#security-auditing#authentication-monitoring

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...