ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Security analyst monitoring Windows Event ID 4657 registry audit logs on multiple screens in a SOC environment
Event ID 4657InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4657 – Microsoft-Windows-Security-Auditing : Valeur du registre modifiée

L'ID d'événement 4657 enregistre lorsqu'une valeur de registre est modifiée sur les systèmes Windows avec l'audit d'accès aux objets activé. Critique pour la surveillance de la sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4657Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4657 est généré par le sous-système d'audit de sécurité de Windows lorsqu'une valeur de registre est modifiée avec succès. Cet événement nécessite que la politique 'Audit Object Access' soit activée et que des clés de registre spécifiques aient une configuration d'audit via leurs listes de contrôle d'accès de sécurité (SACL).

L'événement capture des détails complets, y compris l'identifiant de sécurité (SID) de l'utilisateur ou du processus effectuant la modification, le chemin complet du registre, le nom de la valeur, les anciennes et nouvelles valeurs (le cas échéant), et les informations sur le processus. Cette journalisation granulaire le rend inestimable pour les enquêtes de sécurité et les rapports de conformité.

Dans Windows 2025 et les versions ultérieures, Microsoft a amélioré cet événement avec des champs de contexte supplémentaires, y compris des informations sur le processus parent et un suivi amélioré des changements de valeur. L'événement s'intègre à Windows Defender Advanced Threat Protection (ATP) et Microsoft Sentinel pour des analyses de sécurité avancées.

L'audit du registre peut générer un volume de journaux important dans des environnements chargés, donc une planification minutieuse des clés de registre à auditer est essentielle. Les zones critiques du système comme HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et les clés liées à la sécurité sont couramment surveillées pour détecter les mécanismes de persistance et les altérations de configuration.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur ou administrateur modifiant manuellement les valeurs du registre via l'Éditeur du Registre (regedit.exe)
  • Processus d'installation ou de désinstallation de logiciels modifiant les entrées du registre
  • Modifications de la stratégie de groupe mettant à jour les paramètres de configuration basés sur le registre
  • Services système ou composants Windows mettant à jour leurs valeurs de configuration
  • Logiciels malveillants ou non autorisés créant des mécanismes de persistance
  • Scripts PowerShell ou fichiers batch exécutant des commandes de modification du registre
  • Outils de gestion tiers effectuant des modifications de configuration système
  • Processus de mise à jour Windows modifiant les entrées du registre système
  • Routines de démarrage ou d'arrêt d'application mettant à jour l'état du registre
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner l'entrée spécifique de l'ID d'événement 4657 pour comprendre quelle modification du registre a eu lieu.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4657 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4657 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4657 pour voir des informations détaillées, y compris :
    • Sujet : Compte utilisateur qui a effectué le changement
    • Objet : Clé de registre et nom de la valeur
    • Informations sur le processus : Exécutable qui a effectué la modification
    • Informations sur le changement : Anciennes et nouvelles valeurs
  6. Notez le Nom du processus et l'ID du processus pour faire le lien avec d'autres événements de sécurité
  7. Vérifiez l'horodatage pour établir une chronologie des modifications du registre
Astuce pro : Utilisez l'onglet Détails en vue XML pour voir tous les champs disponibles, y compris certains non affichés dans l'onglet Général.
02

Interroger les événements d'audit du registre avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements de modification du registre sur plusieurs systèmes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de modification du registre :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='ProcessName';Expression={$_.Properties[11].Value}}, @{Name='ObjectName';Expression={$_.Properties[6].Value}}
  3. Filtrez pour des clés de registre spécifiques d'intérêt :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -like '*CurrentVersion\Run*'} | Format-Table TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='KeyPath';Expression={$_.Properties[6].Value}} -AutoSize
  4. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} -MaxEvents 1000 | Export-Csv -Path "C:\Temp\RegistryAudit.csv" -NoTypeInformation
  5. Interrogez des plages horaires spécifiques :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657; StartTime=$StartTime; EndTime=$EndTime}
Avertissement : Les grands environnements peuvent générer des milliers d'événements 4657. Utilisez des filtres temporels et des modèles de clés spécifiques pour éviter des résultats écrasants.
03

Configurer les politiques d'audit du registre

Assurez-vous de configurer correctement la politique d'audit pour capturer les modifications du registre pour la surveillance de la sécurité.

  1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc
  2. Accédez à Stratégies localesStratégie d'audit
  3. Double-cliquez sur Audit de l'accès aux objets et activez à la fois Succès et Échec
  4. Configurez la stratégie d'audit avancée via la ligne de commande :
    auditpol /set /subcategory:"Registry" /success:enable /failure:enable
  5. Configurez l'audit sur des clés de registre spécifiques en utilisant PowerShell :
    $RegPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
$Acl = Get-Acl $RegPath
$AccessRule = New-Object System.Security.AccessControl.RegistryAuditRule("Everyone", "SetValue,CreateSubKey,Delete", "None", "None", "Success,Failure")
$Acl.SetAuditRule($AccessRule)
Set-Acl -Path $RegPath -AclObject $Acl
  6. Vérifiez que l'audit est configuré :
    Get-Acl "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | Select-Object -ExpandProperty Audit
  7. Testez la configuration en effectuant une modification du registre et en vérifiant l'ID d'événement 4657
Conseil de pro : Concentrez l'audit sur les emplacements critiques du registre comme les clés Run, les configurations de service et les paramètres de sécurité pour réduire le bruit des journaux tout en maintenant une couverture de sécurité.
04

Enquêter sur les modifications suspectes du registre

Analysez les entrées de l'ID d'événement 4657 pour identifier les modifications de registre potentiellement malveillantes et les incidents de sécurité.

  1. Identifiez les modifications de registre à haut risque en interrogeant les emplacements de persistance :
    $SuspiciousKeys = @(
    '*\Run*',
    '*\RunOnce*',
    '*\Winlogon*',
    '*\Services*',
    '*\AppInit_DLLs*'
)

foreach ($Key in $SuspiciousKeys) {
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -like $Key} | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Process';Expression={$_.Properties[11].Value}}
}
  2. Recoupez avec les événements de création de processus (ID d'événement 4688) :
    $ProcessId = "1234"  # From Event 4657
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Properties[4].Value -eq $ProcessId}
  3. Vérifiez les exécutables non signés ou suspects effectuant des modifications de registre :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | ForEach-Object {
    $ProcessPath = $_.Properties[11].Value
    if (Test-Path $ProcessPath) {
        $Signature = Get-AuthenticodeSignature $ProcessPath
        if ($Signature.Status -ne "Valid") {
            Write-Output "Unsigned process: $ProcessPath modified registry at $($_.TimeCreated)"
        }
    }
}
  4. Générez une analyse chronologique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} -MaxEvents 500 | Group-Object @{Expression={$_.Properties[11].Value}} | Sort-Object Count -Descending | Select-Object Name, Count
  5. Exportez un rapport d'analyse détaillé :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='ProcessName';Expression={$_.Properties[11].Value}}, @{Name='RegistryKey';Expression={$_.Properties[6].Value}}, @{Name='ValueName';Expression={$_.Properties[7].Value}} | Export-Csv "C:\Forensics\RegistryChanges.csv" -NoTypeInformation
05

Surveillance avancée avec le transfert d'événements Windows

Implémentez la surveillance d'audit du registre centralisé sur plusieurs systèmes en utilisant Windows Event Forwarding (WEF).

  1. Configurez le serveur collecteur en activant WinRM :
    winrm quickconfig
wecutil qc
  2. Créez un abonnement personnalisé pour l'ID d'événement 4657 :
    <?xml version="1.0" encoding="UTF-8"?>
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>RegistryAudit</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Surveillance des modifications du registre</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4657]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  3. Déployez l'abonnement :
    wecutil cs C:\Subscriptions\RegistryAudit.xml
  4. Configurez les ordinateurs sources via Group Policy ou PowerShell :
    winrm set winrm/config/client @{TrustedHosts="CollectorServer"}
wecutil ss RegistryAudit /cm:Normal
  5. Surveillez les événements transférés sur le collecteur :
    Get-WinEvent -LogName "ForwardedEvents" | Where-Object {$_.Id -eq 4657} | Select-Object TimeCreated, MachineName, @{Name='RegistryPath';Expression={$_.Properties[6].Value}}
  6. Configurez des alertes automatisées pour les modifications critiques du registre :
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 4657" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    if ($Event.Message -like '*\Run*') {
        Send-MailMessage -To "admin@company.com" -Subject "Critical Registry Change" -Body $Event.Message -SmtpServer "mail.company.com"
    }
}
Avertissement : Le transfert d'événements peut générer un trafic réseau et des besoins de stockage importants. Mettez en œuvre des politiques de filtrage et de rétention appropriées.

Aperçu

L'ID d'événement 4657 se déclenche chaque fois qu'une valeur de registre est modifiée sur un système Windows avec l'audit d'accès aux objets configuré. Cet événement d'audit de sécurité capture des informations détaillées sur les modifications du registre, y compris le compte utilisateur, le processus et le chemin de registre spécifique affecté. L'événement apparaît dans le journal de sécurité et nécessite une configuration appropriée de la politique d'audit pour être généré.

Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. Il aide les administrateurs à suivre les modifications non autorisées du registre, à surveiller les modifications de configuration du système et à maintenir des pistes d'audit pour la conformité réglementaire. L'événement fournit des détails granulaires sur ce qui a changé, qui a effectué le changement et quand il s'est produit.

Les modifications du registre peuvent indiquer une administration légitime du système, des installations logicielles, une activité de malware ou des modifications de configuration non autorisées. Comprendre cet événement aide à distinguer entre les opérations normales et les incidents de sécurité potentiels. Les systèmes modernes de détection des menaces s'appuient fortement sur l'ID d'événement 4657 pour l'analyse comportementale et la détection des anomalies dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 4657 et pourquoi est-il important ?+
L'ID d'événement 4657 indique qu'une valeur de registre a été modifiée sur un système Windows avec l'audit d'accès aux objets activé. Cet événement est crucial pour la surveillance de la sécurité car le registre Windows contient la configuration système critique, les paramètres des applications et les politiques de sécurité. Les logiciels malveillants modifient souvent les entrées de registre pour établir une persistance, désactiver les fonctionnalités de sécurité ou altérer le comportement du système. En surveillant l'ID d'événement 4657, les administrateurs peuvent détecter des modifications non autorisées, suivre les modifications de configuration pour la conformité et identifier des incidents de sécurité potentiels. L'événement fournit des informations détaillées, y compris qui a effectué la modification, quel processus en était responsable et le chemin de registre spécifique affecté.
Comment activer l'audit pour générer l'ID d'événement 4657 ?+
Pour générer l'ID d'événement 4657, vous devez activer à la fois la stratégie d'audit et configurer des clés de registre spécifiques pour l'audit. Tout d'abord, activez la stratégie 'Audit Object Access' via la Stratégie de sécurité locale (secpol.msc) ou utilisez la commande 'auditpol /set /subcategory:"Registry" /success:enable /failure:enable'. Ensuite, configurez l'audit sur des clés de registre spécifiques en modifiant leurs Listes de contrôle d'accès de sécurité (SACL). Utilisez PowerShell avec les cmdlets Get-Acl et Set-Acl pour ajouter des règles d'audit pour le groupe 'Everyone' avec les autorisations 'SetValue,CreateSubKey,Delete'. Concentrez-vous sur des emplacements critiques comme HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour une valeur de sécurité maximale tout en minimisant le volume des journaux.
Quels clés de registre devrais-je surveiller avec l'ID d'événement 4657 à des fins de sécurité ?+
Pour la surveillance de la sécurité, concentrez-vous sur les emplacements du registre couramment utilisés par les logiciels malveillants pour la persistance et la manipulation du système. Les zones clés incluent : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et RunOnce (programmes de démarrage), HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (processus de connexion), HKLM\SYSTEM\CurrentControlSet\Services (services système), HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (injection de DLL), et HKLM\SOFTWARE\Policies (paramètres de stratégie de groupe). Surveillez également les équivalents HKCU pour la persistance spécifique à l'utilisateur. Ces emplacements sont fréquemment ciblés par les logiciels malveillants, les logiciels non autorisés et les attaquants cherchant à maintenir l'accès ou à modifier le comportement du système.
Comment puis-je réduire le volume des journaux d'ID d'événement 4657 tout en maintenant la couverture de sécurité ?+
Pour gérer efficacement le volume de journaux de l'ID d'événement 4657, mettez en œuvre des stratégies d'audit sélectives. Configurez l'audit uniquement sur les clés de registre de grande valeur plutôt que sur l'ensemble des ruches de registre. Utilisez des configurations SACL spécifiques qui ciblent les opérations 'SetValue' et 'Delete' tout en excluant 'QueryValue' pour réduire le bruit lié à la lecture. Mettez en œuvre un filtrage des journaux au niveau de la collecte en utilisant le transfert d'événements Windows avec des requêtes XPath personnalisées qui se concentrent sur des modèles suspects. Envisagez d'utiliser des tâches planifiées PowerShell pour nettoyer périodiquement les anciens journaux d'audit tout en préservant les entrées récentes. Pour les environnements d'entreprise, exploitez des solutions SIEM avec des règles de filtrage intelligentes qui corrèlent les changements de registre avec le comportement des processus et le contexte utilisateur pour identifier les activités réellement suspectes.
Que dois-je faire si je trouve des entrées d'ID d'événement 4657 suspectes indiquant un potentiel malware ?+
Lorsqu'une entrée suspecte avec l'ID d'événement 4657 est détectée, commencez immédiatement les procédures de réponse aux incidents. Tout d'abord, isolez le système affecté du réseau pour empêcher le mouvement latéral. Documentez toutes les modifications du registre, y compris les horodatages, les comptes utilisateurs et les informations sur le processus. Recoupez le processus de modification avec l'ID d'événement 4688 (création de processus) pour comprendre la chaîne d'attaque. Vérifiez si l'exécutable du processus est signé numériquement et scannez-le avec des outils antivirus à jour. Examinez les valeurs spécifiques du registre qui ont été modifiées pour comprendre le mécanisme de persistance prévu par le malware. Créez des images judiciaires avant d'apporter des modifications. Utilisez PowerShell pour exporter des journaux d'audit détaillés pour analyse. Mettez en place une surveillance supplémentaire sur des systèmes similaires et envisagez des activités de chasse aux menaces pour identifier un compromis potentiel dans l'environnement.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4657 and registry monitoring best practices.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Registry Auditing Configuration GuideOfficial Microsoft documentation on configuring registry auditing policies and understanding audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-monitoring#event-id-4657#registry-auditing

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...