ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs in a professional SOC environment
Event ID 4658InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4658 – Microsoft-Windows-Security-Auditing : Le descripteur d'un objet a été fermé

L'ID d'événement 4658 enregistre lorsqu'un handle vers un objet système est fermé, fournissant une piste d'audit pour le suivi de l'accès aux objets dans la surveillance de la sécurité Windows.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4658Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4658 représente la dernière étape du cycle de vie de l'audit d'accès aux objets Windows. Lorsqu'un processus ouvre un handle vers un objet système (fichier, clé de registre, processus, thread, etc.), Windows peut suivre cette interaction grâce à l'audit de sécurité. L'événement 4658 documente spécifiquement quand ce handle est fermé, soit explicitement par l'application, soit implicitement lorsque le processus se termine.

L'événement contient plusieurs champs clés : les informations sur le sujet identifiant le contexte de sécurité qui a fermé le handle, les détails de l'objet incluant le type et le nom de l'objet, les informations sur le processus montrant quel exécutable a fermé le handle, et les informations sur le handle contenant l'ID unique du handle qui a été fermé. Cette corrélation de données permet aux administrateurs de retracer les schémas complets d'accès aux objets.

Dans les environnements d'entreprise, l'ID d'événement 4658 sert à plusieurs fins. Les équipes de sécurité l'utilisent pour détecter les tentatives d'accès non autorisées, les responsables de la conformité s'en servent pour les rapports réglementaires, et les administrateurs système l'exploitent pour résoudre les problèmes de verrouillage de fichiers. L'événement est particulièrement précieux lors de l'enquête sur une éventuelle exfiltration de données, car il montre quand des fichiers sensibles ont été accédés et ensuite fermés.

La fréquence de cet événement dépend fortement de la configuration de la politique d'audit et de l'activité du système. Sur des serveurs de fichiers ou des contrôleurs de domaine très sollicités, des milliers d'événements 4658 peuvent être générés chaque heure, nécessitant une gestion et des stratégies de filtrage des journaux soigneuses pour extraire des informations significatives.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Application fermant explicitement les descripteurs de fichiers après avoir terminé les opérations de lecture/écriture
  • La terminaison du processus entraînant la fermeture automatique par Windows de tous les descripteurs associés
  • Les descripteurs de clés de registre étant fermés après les modifications de configuration
  • Les procédures d'arrêt de service fermant les descripteurs d'objets système
  • Les événements de déconnexion d'utilisateur déclenchant la fermeture des descripteurs liés au profil
  • Les déconnexions de partages réseau fermant les descripteurs de fichiers distants
  • Les modifications de politique de sécurité forçant la fermeture des descripteurs pour les objets protégés
  • Les procédures d'arrêt du système fermant tous les descripteurs restants ouverts
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre quel objet a été accédé et par quel processus.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4658 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Dans la boîte de dialogue de filtrage, entrez 4658 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4658 pour voir les détails. Champs clés à examiner :
    • Sujet : Montre le compte utilisateur qui a fermé le handle
    • Objet : Affiche le type et le nom de l'objet
    • Informations sur le processus : Identifie l'exécutable qui a fermé le handle
    • Informations sur le handle : Contient l'ID unique du handle
  6. Faites une référence croisée de l'ID du handle avec les événements 4656 correspondants pour voir quand le handle a été initialement ouvert
Astuce pro : Utilisez l'ID du handle pour corréler les événements 4656 (ouvert) et 4658 (fermé) pour un suivi complet de l'accès.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements 4658 sur plusieurs systèmes ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4658 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par types d'objets spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658} | Where-Object {$_.Message -like '*Object Type:*File*'} | Select-Object TimeCreated, Message
  4. Analysez les événements d'un processus spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658} | Where-Object {$_.Message -like '*Process Name:*notepad.exe*'} | Format-Table TimeCreated, Id -AutoSize
  5. Exportez les événements pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658; StartTime=(Get-Date).AddHours(-24)} | Export-Csv -Path "C:\Temp\4658_Events.csv" -NoTypeInformation
  6. Comptez les événements par type d'objet :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658} -MaxEvents 1000 | ForEach-Object {($_.Message -split '\n' | Where-Object {$_ -like 'Object Type:*'}).Split(':')[1].Trim()} | Group-Object | Sort-Object Count -Descending
03

Configurer les politiques d'audit d'accès aux objets

Ajustez les politiques d'audit pour contrôler quels types d'objets génèrent des événements 4658 et réduisez le bruit des journaux.

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditAccès aux objets
  3. Configurez des sous-catégories d'audit spécifiques:
    • Audit du système de fichiers : Contrôle l'audit des poignées de fichiers et de dossiers
    • Audit du registre : Contrôle l'audit des poignées de clés de registre
    • Audit de la manipulation des poignées : Contrôle les opérations générales sur les poignées
  4. Définissez chaque politique sur Succès pour auditer les fermetures de poignées réussies, ou Succès et Échec pour un suivi complet
  5. Appliquez la politique en utilisant:
    gpupdate /force
  6. Vérifiez les paramètres d'audit actuels:
    auditpol /get /category:"Object Access"
  7. Pour l'audit spécifique de fichiers/dossiers, configurez les SACL (Listes de contrôle d'accès système) sur les objets cibles via PropriétésSécuritéAvancéAudit
Avertissement : Activer l'audit complet de l'accès aux objets peut générer des volumes massifs de journaux. Commencez par des objets ou processus spécifiques.
04

Corréler les événements du cycle de vie des poignées

Créez des pistes d'audit complètes en corrélant les événements 4658 avec les opérations de poignée associées.

  1. Identifiez l'ID de la poignée à partir d'un événement 4658 que vous souhaitez enquêter
  2. Recherchez l'événement 4656 correspondant (poignée ouverte) :
    $HandleId = "0x1a4c"  # Remplacez par l'ID de poignée réel
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} | Where-Object {$_.Message -like "*Handle ID:*$HandleId*"} | Select-Object TimeCreated, Message
  3. Cherchez tous les événements 4663 (objet accédé) avec le même ID de poignée :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663} | Where-Object {$_.Message -like "*Handle ID:*$HandleId*"} | Select-Object TimeCreated, Message
  4. Créez une chronologie de tous les événements liés à la poignée :
    $Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} | Where-Object {$_.Message -like "*Handle ID:*$HandleId*"}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663} | Where-Object {$_.Message -like "*Handle ID:*$HandleId*"}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4658} | Where-Object {$_.Message -like "*Handle ID:*$HandleId*"}
$Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id, LevelDisplayName -AutoSize
  5. Exportez le cycle de vie complet de la poignée pour analyse :
    $Events | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\Handle_$HandleId_Lifecycle.csv" -NoTypeInformation
05

Analyse et surveillance avancées des journaux

Implémentez des solutions de surveillance avancées pour l'analyse proactive des événements 4658 et l'alerte.

  1. Configurez Windows Event Forwarding (WEF) pour centraliser les événements 4658 de plusieurs systèmes :
    # Sur le serveur collecteur
wecutil qc /q
wecutil cs subscription.xml
  2. Créez un fichier XML d'abonnement d'événements personnalisé ciblant les événements 4658 :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>Handle-Closed-Events</SubscriptionId>
  <Query>
    <![CDATA[
      <QueryList>
        <Query Id="0">
          <Select Path="Security">*[System[EventID=4658]]</Select>
        </Query>
      </QueryList>
    ]]>
  </Query>
</Subscription>
  3. Configurez Windows Performance Toolkit (WPT) pour le suivi avancé des handles :
    # Installez WPT à partir du SDK Windows
wpr -start GeneralProfile -start HandleProfile
  4. Configurez une analyse automatisée avec le Planificateur de tâches :
    # Créez une tâche planifiée pour l'analyse quotidienne des 4658
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Analyze4658Events.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "02:00AM"
Register-ScheduledTask -TaskName "Daily4658Analysis" -Action $Action -Trigger $Trigger
  5. Implémentez la rotation et l'archivage des journaux pour gérer le volume des événements 4658 :
    # Configurez la taille et la rétention du journal de sécurité
Limit-EventLog -LogName Security -MaximumSize 512MB -OverflowAction OverwriteAsNeeded
Astuce pro : Utilisez des solutions SIEM comme Microsoft Sentinel ou Splunk pour l'analyse et la corrélation des événements 4658 à l'échelle de l'entreprise.

Aperçu

L'ID d'événement 4658 se déclenche lorsque Windows ferme un handle vers un objet système qui avait été précédemment ouvert et suivi par le sous-système d'audit de sécurité. Cet événement fait partie de la catégorie d'audit d'accès aux objets et fonctionne en conjonction avec l'ID d'événement 4656 (handle ouvert) et 4663 (objet accédé) pour fournir une piste d'audit complète des interactions avec les objets.

L'événement capture des détails critiques, y compris le processus qui a fermé le handle, le type d'objet et l'ID du handle. Ces informations s'avèrent inestimables pour les enquêtes de sécurité, l'audit de conformité et le dépannage des problèmes liés à l'accès. L'événement se déclenche sur toutes les versions de Windows qui prennent en charge les politiques d'audit avancées, y compris les dernières versions de Windows 11 24H2 et Windows Server 2025.

Comprendre cet événement nécessite une connaissance de la gestion des objets Windows, du cycle de vie des handles et des politiques d'audit de sécurité. L'événement n'apparaît que lorsque l'audit d'accès aux objets est activé pour des types d'objets spécifiques via la stratégie de groupe ou la configuration de la politique de sécurité locale.

Questions Fréquentes

Que signifie l'ID d'événement 4658 et quand se produit-il ?+
L'ID d'événement 4658 indique qu'un handle vers un objet système a été fermé. Cela se produit lorsque des applications ferment explicitement des handles de fichiers, des clés de registre ou d'autres objets système, ou lorsque des processus se terminent et que Windows ferme automatiquement tous les handles associés. Cet événement fait partie de la piste d'audit d'accès aux objets et n'apparaît que lorsque les politiques d'audit appropriées sont activées. Il fournit la pièce finale du puzzle du cycle de vie du handle, complétant l'ID d'événement 4656 (handle ouvert) et 4663 (objet accédé).
Comment puis-je réduire le volume des événements 4658 dans mon journal de sécurité ?+
Pour réduire le volume d'événements 4658, configurez des politiques d'audit d'accès aux objets plus sélectives via la stratégie de groupe. Au lieu d'auditer tous les accès au système de fichiers ou au registre, ciblez des objets spécifiques de grande valeur en utilisant des SACL (Listes de contrôle d'accès système). Désactivez l'audit pour les processus système de routine en configurant des exclusions spécifiques aux processus. Envisagez d'ajuster la taille du journal de sécurité et la politique de rétention, et mettez en œuvre le transfert de journaux vers des systèmes centralisés. Vous pouvez également filtrer les événements provenant de processus connus comme sûrs en utilisant des scripts PowerShell ou des règles SIEM.
L'ID d'événement 4658 peut-il aider à détecter les menaces de sécurité ou les accès non autorisés ?+
Oui, l'ID d'événement 4658 est précieux pour la surveillance de la sécurité lorsqu'il est corrélé avec d'autres événements. Des schémas inhabituels de fermetures de poignées, en particulier pour des fichiers sensibles ou des clés de registre, peuvent indiquer une activité malveillante. En analysant le timing entre les événements 4656 (ouverture) et 4658 (fermeture), vous pouvez identifier les processus qui accèdent aux fichiers pendant des périodes inhabituellement longues, ce qui peut potentiellement indiquer une exfiltration de données. La corrélation des événements 4658 avec la création de processus (4688) et l'activité réseau peut révéler des schémas d'accès aux fichiers suspects qui méritent une enquête.
Pourquoi ne vois-je pas l'ID d'événement 4658 dans mon journal de sécurité ?+
L'ID d'événement 4658 n'apparaît que lorsque l'audit d'accès aux objets est correctement configuré. Vérifiez que 'Audit Handle Manipulation' est activé dans la Configuration avancée de la stratégie d'audit sous Accès aux objets. Pour les événements spécifiques aux fichiers, assurez-vous que 'Audit File System' est activé et que les fichiers/dossiers cibles ont des SACL appropriés configurés. Vérifiez que le journal de sécurité n'est pas plein ou configuré pour écraser les événements. Confirmez également que les processus que vous surveillez ouvrent effectivement des poignées aux objets audités - certaines applications peuvent utiliser des méthodes d'accès différentes qui ne déclenchent pas l'audit des poignées.
Comment puis-je corréler l'ID d'événement 4658 avec d'autres événements de sécurité pour l'enquête ?+
Utilisez le champ Handle ID pour corréler les événements 4658 avec les événements correspondants 4656 (poignée ouverte) et 4663 (objet accédé). Les champs Process ID et Process Name aident à lier aux événements Event ID 4688 (création de processus). Recoupez les champs Subject avec les événements de connexion (4624/4625) pour comprendre le contexte utilisateur. Pour une enquête complète, créez des scripts PowerShell qui interrogent plusieurs ID d'événements simultanément et trient par horodatage. Envisagez d'utiliser des outils comme Windows Event Log Analyzer ou des plateformes SIEM qui peuvent automatiquement corréler les événements liés et présenter des chronologies unifiées.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including object access auditing configuration and best practices.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Audit Policy ConfigurationOfficial documentation for configuring advanced audit policies in Windows, including object access auditing subcategories.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#object-access#event-id-4658

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...