ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Cybersecurity monitoring center showing Windows security event analysis and authentication monitoring dashboards
Event ID 4649WarningMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4649 – Microsoft-Windows-Security-Auditing : Une attaque par rejeu a été détectée

L'ID d'événement 4649 indique que Windows a détecté une potentielle attaque par rejeu Kerberos où les informations d'identification d'authentification ont été réutilisées de manière malveillante. Cet événement d'audit de sécurité nécessite une enquête immédiate pour prévenir tout accès non autorisé.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4649Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4649 représente l'un des mécanismes de détection de sécurité les plus sophistiqués de Windows, spécifiquement conçu pour identifier les attaques par rejeu Kerberos dans les environnements Active Directory. Lorsque cet événement se déclenche, cela signifie que le sous-système d'audit de sécurité de Windows a détecté que des informations d'authentification sont réutilisées d'une manière cohérente avec un scénario d'attaque par rejeu.

Les attaques par rejeu se produisent lorsqu'un attaquant intercepte des informations d'authentification valides (généralement des tickets Kerberos) et tente de les réutiliser pour obtenir un accès non autorisé aux ressources réseau. Contrairement aux attaques basées sur les mots de passe, les attaques par rejeu utilisent des informations d'identification légitimes qui ont été capturées par sniffing réseau, attaques de type homme du milieu ou d'autres méthodes d'interception.

L'implémentation Kerberos de Windows inclut plusieurs mécanismes anti-rejeu, y compris la validation des horodatages, la vérification des numéros de séquence et la vérification du contexte d'authentification. Lorsque ces mécanismes détectent des anomalies suggérant un rejeu d'informations d'identification, l'ID d'événement 4649 est généré. L'événement inclut des informations détaillées sur la tentative de rejeu suspectée, y compris les adresses IP sources, les services cibles et les informations de synchronisation que les équipes de sécurité peuvent utiliser pour l'enquête.

Cet événement est particulièrement significatif en 2026 car les environnements cloud hybrides et les scénarios de travail à distance ont augmenté la surface d'attaque pour l'interception d'informations d'identification. Les acteurs de la menace modernes utilisent fréquemment des techniques sophistiquées d'attaque par rejeu dans le cadre de stratégies de mouvement latéral au sein de réseaux compromis.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Attaques de relecture de tickets Kerberos où des tickets interceptés sont réutilisés pour un accès non autorisé
  • Attaques de type homme du milieu basées sur le réseau capturant et rejouant des jetons d'authentification
  • Logiciel malveillant tentant de réutiliser des identifiants mis en cache à partir de systèmes compromis
  • Problèmes de synchronisation temporelle faisant apparaître des demandes d'authentification légitimes comme des relectures
  • Latence réseau ou duplication de paquets provoquant le traitement multiple des demandes d'authentification
  • Comptes de service compromis avec des identifiants rejoués sur plusieurs systèmes
  • Activités de menaces persistantes avancées (APT) utilisant la relecture d'identifiants pour un mouvement latéral
  • Équipement réseau mal configuré causant la duplication de paquets d'authentification
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails des événements de sécurité

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4649 pour comprendre l'étendue et la nature de l'attaque par rejeu détectée.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4649 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement 4649 le plus récent pour voir les détails
  4. Documentez les informations clés suivantes :
    • Adresse IP source de l'attaque suspectée
    • Service ou ressource cible étant accédé
    • Compte utilisateur impliqué dans la tentative de rejeu
    • Horodatage et fréquence des occurrences
  5. Utilisez PowerShell pour extraire des informations détaillées sur l'événement :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4649} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Examinez le message de l'événement pour des détails spécifiques sur le contexte d'authentification et les déclencheurs de détection de rejeu.

02

Enquêter sur la synchronisation de l'heure réseau

Les problèmes de synchronisation temporelle peuvent faire en sorte que des demandes d'authentification légitimes soient signalées comme des attaques par rejeu. Vérifiez la configuration NTP et la précision de l'heure sur votre domaine.

  1. Vérifiez l'état de la synchronisation temporelle du contrôleur de domaine :
w32tm /query /status
w32tm /query /peers
  1. Vérifiez la synchronisation temporelle sur les systèmes clients affectés :
w32tm /query /computer:CLIENT-NAME /status
  1. Vérifiez la dérive temporelle entre les contrôleurs de domaine :
Get-ADDomainController -Filter * | ForEach-Object { Write-Host "$($_.Name): $((Get-Date) - (Get-Date (Invoke-Command -ComputerName $_.Name -ScriptBlock {Get-Date})))" }
  1. Si une dérive temporelle est détectée, forcez la synchronisation temporelle :
w32tm /resync /force
Astuce pro : Des différences de temps supérieures à 5 minutes entre les contrôleurs de domaine et les clients peuvent déclencher des détections de fausses attaques par rejeu.
03

Analyser les modèles d'authentification et les IP sources

Examinez les modèles d'authentification pour distinguer les problèmes d'authentification légitimes des véritables attaques de rejeu en analysant les adresses IP sources et la fréquence d'authentification.

  1. Extrait et analyse les adresses IP sources des occurrences de l'ID d'événement 4649 :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4649} -MaxEvents 100
$Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    $SourceIP = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SourceIP = $SourceIP
        Message = $_.Message
    }
} | Group-Object SourceIP | Sort-Object Count -Descending
  1. Vérifiez les modèles d'authentification suspects à partir d'adresses IP spécifiques :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4624,4625,4649)} -MaxEvents 500 | Where-Object {$_.Message -like '*192.168.1.100*'} | Select-Object TimeCreated, Id, Message
  1. Enquêtez sur la connectivité réseau et le routage pour identifier les scénarios potentiels d'homme du milieu
  2. Recoupez les adresses IP suspectes avec les flux de renseignements sur les menaces et la documentation interne du réseau
  3. Examinez les journaux de pare-feu pour des modèles de trafic inhabituels provenant des adresses IP signalées
Avertissement : Ne bloquez pas immédiatement les adresses IP montrant l'ID d'événement 4649 sans enquête approfondie, car des systèmes légitimes avec des problèmes de synchronisation temporelle peuvent être signalés.
04

Mettre en œuvre une surveillance de sécurité Kerberos améliorée

Déployez des mesures de surveillance et de sécurité avancées pour mieux détecter et prévenir les attaques par rejeu tout en réduisant les faux positifs.

  1. Activez des politiques d'audit Kerberos supplémentaires via la stratégie de groupe :
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditOuverture de session de compte
  3. Activez Audit du service d'authentification Kerberos et Audit des opérations de ticket de service Kerberos
  4. Configurez la surveillance PowerShell pour une analyse complète de l'authentification :
# Créer un script de surveillance pour l'analyse continue de l'ID d'événement 4649
$ScriptBlock = {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4649; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue
    if ($Events) {
        $Events | ForEach-Object {
            $XML = [xml]$_.ToXml()
            Write-EventLog -LogName Application -Source "Custom Security Monitor" -EventId 9001 -EntryType Warning -Message "Attaque par rejeu potentielle détectée : $($_.Message)"
        }
    }
}
Register-ScheduledTask -TaskName "Monitor-ReplayAttacks" -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command $ScriptBlock")
  1. Configurez les paramètres du registre pour une sécurité Kerberos améliorée :
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" -Name "MaxClockSkew" -Value 300 -Type DWord
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" -Name "MaxRenewAge" -Value 604800 -Type DWord
05

Réponse aux incidents et analyse forensique

Lorsque l'ID d'événement 4649 indique une véritable attaque par rejeu, mettez en œuvre des procédures de réponse aux incidents complètes pour contenir la menace et recueillir des preuves médico-légales.

  1. Isoler immédiatement les systèmes affectés et changer les mots de passe des comptes compromis :
# Réinitialiser le mot de passe pour le compte potentiellement compromis
Set-ADAccountPassword -Identity "username" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "NewComplexPassword123!" -Force)
# Forcer la déconnexion de toutes les sessions pour le compte compromis
Get-ADUser "username" | Set-ADUser -Replace @{userAccountControl="514"} # Désactiver le compte temporairement
  1. Collecter des preuves médico-légales complètes :
# Exporter tous les événements de sécurité liés à l'incident
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4624,4625,4648,4649,4672); StartTime=$StartTime; EndTime=$EndTime} | Export-Csv -Path "C:\Forensics\SecurityEvents_$(Get-Date -Format 'yyyyMMdd_HHmmss').csv" -NoTypeInformation
  1. Analyser les captures de trafic réseau si disponibles en utilisant des outils comme Wireshark ou Network Monitor
  2. Examiner les journaux de réplication Active Directory pour détecter des signes de vol de crédentiels :
Get-WinEvent -FilterHashtable @{LogName='Directory Service'; Id=@(1644,1645)} -MaxEvents 100
  1. Mettre en œuvre des mesures de confinement immédiates :
  2. Bloquer les adresses IP suspectes au niveau du pare-feu
  3. Forcer le renouvellement des tickets Kerberos sur tout le domaine
  4. Activer une surveillance supplémentaire sur les comptes de service critiques
  5. Documenter toutes les constatations et coordonner avec l'équipe de sécurité pour les activités de chasse aux menaces
Avertissement : Lors d'incidents d'attaques par rejeu actives, évitez de faire des changements de configuration qui pourraient alerter les attaquants sur vos capacités de détection.

Aperçu

L'ID d'événement 4649 se déclenche lorsque l'audit de sécurité Windows détecte une potentielle attaque de relecture Kerberos. Cela se produit lorsque le système identifie que des informations d'identification d'authentification précédemment capturées sont réutilisées dans une tentative d'accès non autorisé. L'événement fait partie de l'audit de sécurité avancé de Windows et indique que quelqu'un pourrait tenter de rejouer des tickets Kerberos interceptés ou des jetons d'authentification.

Cet événement apparaît généralement dans le journal de sécurité sur les contrôleurs de domaine et les serveurs membres lorsque les mécanismes de détection de relecture d'authentification Kerberos identifient des schémas d'authentification suspects. La détection repose sur la validation des horodatages, les numéros de séquence et l'analyse du contexte d'authentification pour identifier une réutilisation potentiellement malveillante des informations d'identification.

Contrairement aux échecs d'authentification standard, l'ID d'événement 4649 cible spécifiquement les attaques de relecture où des informations d'identification valides sont mal utilisées plutôt que des informations d'identification invalides soient tentées. Cela en fait un indicateur de sécurité critique qui nécessite une attention immédiate des équipes de sécurité et des administrateurs système.

Questions Fréquentes

Qu'est-ce qu'une attaque par rejeu qui déclenche l'ID d'événement 4649 ?+
Une attaque par rejeu se produit lorsqu'un attaquant intercepte des informations d'authentification Kerberos valides (tickets ou jetons) et tente de les réutiliser pour obtenir un accès non autorisé aux ressources réseau. L'ID d'événement 4649 se déclenche lorsque Windows détecte cette réutilisation de crédentiels grâce à ses mécanismes anti-rejeu, qui analysent les horodatages, les numéros de séquence et le contexte d'authentification pour identifier des schémas suspects. Contrairement aux attaques par force brute qui utilisent des informations d'identification invalides, les attaques par rejeu exploitent des informations d'identification légitimes qui ont été capturées par interception de réseau ou compromission du système.
Les problèmes de synchronisation temporelle peuvent-ils provoquer de fausses alertes positives pour l'ID d'événement 4649 ?+
Oui, les problèmes de synchronisation temporelle sont une cause fréquente de fausses alertes positives pour l'ID d'événement 4649. L'authentification Kerberos de Windows repose fortement sur la validation des horodatages pour prévenir les attaques par rejeu. Lorsque les contrôleurs de domaine et les systèmes clients présentent des différences de temps significatives (généralement plus de 5 minutes), les demandes d'authentification légitimes peuvent être signalées comme des rejouements potentiels. Cela se produit parce que les horodatages d'authentification semblent provenir du passé ou du futur, déclenchant les mécanismes de détection anti-rejeu. Vérifiez toujours la synchronisation NTP dans votre domaine lors de l'investigation de l'ID d'événement 4649.
Comment puis-je distinguer entre des problèmes de synchronisation temporelle légitimes et de véritables attaques par rejeu ?+
Pour distinguer entre les problèmes de synchronisation temporelle et les attaques réelles, examinez plusieurs facteurs : Premièrement, vérifiez si plusieurs systèmes de la même plage d'IP génèrent simultanément l'ID d'événement 4649, ce qui suggère des problèmes de synchronisation temporelle. Deuxièmement, vérifiez l'état de la synchronisation temporelle en utilisant les commandes w32tm sur les systèmes affectés. Troisièmement, analysez la fréquence et le modèle des événements - les problèmes de synchronisation temporelle affectent généralement de nombreux utilisateurs à la fois, tandis que les attaques par rejeu ciblent généralement des comptes ou des services spécifiques. Quatrièmement, examinez les modèles de succès/échec d'authentification - les problèmes légitimes de synchronisation temporelle montrent souvent des authentifications réussies mélangées avec des événements 4649, tandis que les attaques par rejeu peuvent montrer des modèles d'accès plus suspects.
Quelles actions immédiates dois-je entreprendre lorsque l'ID d'événement 4649 indique une véritable attaque par rejeu ?+
Lorsqu'on est confronté à une véritable attaque par rejeu, prenez ces mesures immédiates : Premièrement, isolez les systèmes affectés du réseau pour empêcher le mouvement latéral. Deuxièmement, réinitialisez les mots de passe de tous les comptes potentiellement compromis et forcez la déconnexion immédiate des sessions actives. Troisièmement, désactivez temporairement les comptes compromis pendant l'enquête. Quatrièmement, bloquez les adresses IP suspectes au niveau du pare-feu. Cinquièmement, forcez le renouvellement des tickets Kerberos sur l'ensemble du domaine pour invalider les tickets volés. Sixièmement, collectez des preuves médico-légales, y compris les journaux d'événements de sécurité, les captures de trafic réseau et les vidages de mémoire système. Enfin, coordonnez-vous avec votre équipe de sécurité pour initier des activités de chasse aux menaces et déterminer l'étendue de la compromission.
Comment puis-je prévenir les attaques par rejeu qui déclenchent l'ID d'événement 4649 dans mon environnement ?+
Prévenir les attaques par rejeu grâce à plusieurs couches de sécurité : Premièrement, assurez une segmentation réseau appropriée et utilisez des protocoles de communication chiffrés (HTTPS, signature SMB, IPSec) pour empêcher l'interception des identifiants. Deuxièmement, mettez en œuvre des politiques strictes de synchronisation temporelle avec NTP pour garantir une validation précise des horodatages. Troisièmement, configurez des durées de vie et des intervalles de renouvellement plus courts pour les tickets Kerberos afin de limiter la fenêtre pour les attaques par rejeu. Quatrièmement, déployez des solutions de surveillance réseau pour détecter les schémas d'authentification suspects et les attaques de type homme du milieu. Cinquièmement, utilisez des solutions de gestion des accès privilégiés (PAM) pour les comptes administratifs. Sixièmement, implémentez l'authentification multi-facteurs lorsque cela est possible pour ajouter des couches de sécurité supplémentaires au-delà des tickets Kerberos.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including authentication monitoring and Kerberos security events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Kerberos Authentication Technical ReferenceTechnical documentation covering Kerberos authentication mechanisms, security features, and anti-replay protection in Windows environments.https://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4649#kerberos-attacks

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...