ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs in a professional SOC environment
Event ID 4662InformationSecurityWindows

ID d'événement Windows 4662 – Sécurité : Audit d'accès aux objets

L'ID d'événement 4662 enregistre lorsqu'une opération est effectuée sur un objet avec une audit configurée. Cet événement de sécurité suit les tentatives d'accès aux fichiers, dossiers, clés de registre et objets Active Directory.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4662Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4662 représente une pierre angulaire de l'audit de sécurité Windows, fournissant une journalisation détaillée des opérations d'accès aux objets à travers plusieurs sous-systèmes. Lorsque cet événement se déclenche, il indique qu'un utilisateur ou un processus a effectué une opération sur un objet audité, qu'il s'agisse d'un fichier, d'une clé de registre, d'un objet Active Directory ou d'une autre ressource sécurisable.

La structure de l'événement inclut des champs critiques tels que le sujet (qui a effectué l'action), l'objet (ce qui a été accédé), le type d'opération et le masque d'accès qui définit les autorisations spécifiques utilisées. Ce niveau de détail granulaire rend l'événement 4662 inestimable pour les équipes de sécurité enquêtant sur des violations potentielles, les auditeurs de conformité suivant l'accès aux données, et les administrateurs système surveillant l'utilisation des ressources sensibles.

Windows génère cet événement via le sous-système de l'Autorité de sécurité locale (LSA), qui intercepte les demandes d'accès et les compare aux politiques d'audit configurées. L'événement n'apparaît que lorsque l'audit au niveau des objets est activé et que l'objet spécifique a une liste de contrôle d'accès système (SACL) configurée pour auditer le type d'opération tenté.

Dans les environnements d'entreprise, l'événement 4662 peut générer un volume de journaux significatif, en particulier sur les serveurs de fichiers et les contrôleurs de domaine. Des stratégies de filtrage et de gestion des journaux appropriées sont essentielles pour extraire des informations de sécurité significatives de ces événements sans surcharger vos outils SIEM ou d'analyse de journaux.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Accès à un fichier ou dossier lorsque l'audit d'accès aux objets est activé
  • Modifications de clé de registre avec paramètres d'audit configurés
  • Opérations sur les objets Active Directory (lecture, écriture, suppression) sur des objets audités
  • Compte de service accédant aux ressources système auditées
  • Authentification utilisateur contre des objets de domaine audités
  • Application accédant à des fichiers ou clés de registre audités pendant le fonctionnement normal
  • Logiciel de sauvegarde lisant des fichiers audités lors des sauvegardes programmées
  • Logiciel antivirus scannant des répertoires audités
  • Tâches de maintenance système accédant à des objets système audités
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4662 pour comprendre quel objet a été accédé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4662 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Dans la boîte de dialogue de filtrage, entrez 4662 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4662 pour voir ses propriétés
  6. Examinez l'onglet Général pour obtenir des informations clés:
    • Sujet: Montre le compte utilisateur qui a effectué l'opération
    • Objet: Affiche le nom et le type de l'objet qui a été accédé
    • Informations sur le processus: Révèle quel processus a initié l'accès
    • Informations sur la demande d'accès: Détaille les autorisations spécifiques demandées
Astuce pro : Recherchez le champ Nom de l'objet pour identifier exactement quel fichier, clé de registre ou objet AD a été accédé. Le champ Masque d'accès montre les autorisations spécifiques utilisées au format hexadécimal.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'événement 4662 sur votre système.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'événement 4662 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par compte utilisateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662} | Where-Object {$_.Message -like "*username*"} | Select-Object TimeCreated, Message
  4. Recherchez des événements liés à des objets spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662} | Where-Object {$_.Message -like "*C:\Sensitive\*"} | Format-List
  5. Exportez les résultats filtrés pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\Event4662_Analysis.csv" -NoTypeInformation
Astuce pro : Utilisez les paramètres StartTime et EndTime dans FilterHashtable pour affiner votre recherche à des plages horaires spécifiques, particulièrement utile pour l'investigation d'incidents.
03

Configurer l'audit d'accès aux objets

Configurez correctement l'audit d'accès aux objets pour contrôler quand l'événement 4662 est généré et réduire le bruit.

  1. Ouvrez Éditeur de stratégie de groupe locale en exécutant gpedit.msc
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditStratégies d'auditAccès aux objets
  3. Configurez les politiques suivantes selon vos besoins:
    • Audit du système de fichiers: Activer pour l'audit d'accès aux fichiers et dossiers
    • Audit du registre: Activer pour l'audit d'accès aux clés de registre
    • Audit de la manipulation des poignées: Activer pour le suivi détaillé des poignées d'objets
  4. Pour l'audit spécifique de fichiers ou dossiers, cliquez avec le bouton droit sur l'objet cible dans l'Explorateur
  5. Sélectionnez PropriétésSécuritéAvancé → onglet Audit
  6. Cliquez sur Ajouter pour configurer une nouvelle entrée d'audit
  7. Sélectionnez l'utilisateur ou le groupe à auditer et spécifiez les opérations à surveiller
  8. Appliquez la politique en utilisant:
    gpupdate /force
Avertissement : Activer un audit complet de l'accès aux objets peut générer des volumes de journaux massifs. Commencez par des cibles spécifiques de grande valeur et élargissez progressivement la couverture en fonction de votre capacité de gestion des journaux.
04

Enquêter sur les modèles d'accès suspects

Analyser les modèles de l'événement 4662 pour identifier les incidents de sécurité potentiels ou les tentatives d'accès non autorisées.

  1. Créer un script PowerShell pour analyser les modèles d'accès :
    # Obtenir les événements des dernières 24 heures
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662; StartTime=(Get-Date).AddDays(-1)}

# Regrouper par compte utilisateur
$UserAccess = $Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        Time = $_.TimeCreated
        User = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ObjectName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object User

$UserAccess | Sort-Object Count -Descending
  2. Rechercher des modèles anormaux :
    • Heures d'accès inhabituelles (en dehors des heures de bureau)
    • Accès fréquent à des fichiers sensibles
    • Accès à partir de comptes utilisateurs inattendus
    • Tentatives d'accès échouées suivies de réussites
  3. Faire une référence croisée avec l'événement 4656 (poignée demandée) et 4658 (poignée fermée) pour des chaînes d'accès complètes
  4. Vérifier l'escalade de privilèges en examinant les masques d'accès utilisés
  5. Corréler avec les événements de connexion réseau (4624/4625) pour identifier l'accès à distance
Astuce pro : Créez des tâches planifiées pour exécuter ces scripts d'analyse quotidiennement et alerter sur les modèles suspects. Envisagez d'intégrer avec votre SIEM pour une détection automatisée des menaces.
05

Analyse Forensique Avancée et Corrélation

Effectuer une analyse médico-légale approfondie de l'événement 4662 pour les enquêtes de sécurité et les rapports de conformité.

  1. Extraire des données d'événements détaillées pour l'analyse médico-légale:
    # Script avancé d'analyse d'événements
$ForensicData = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4662; StartTime=(Get-Date).AddDays(-30)} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = @{}
    $xml.Event.EventData.Data | ForEach-Object { $eventData[$_.Name] = $_.'#text' }
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserSid = $eventData.SubjectUserSid
        SubjectUserName = $eventData.SubjectUserName
        SubjectDomainName = $eventData.SubjectDomainName
        ObjectServer = $eventData.ObjectServer
        ObjectType = $eventData.ObjectType
        ObjectName = $eventData.ObjectName
        ProcessName = $eventData.ProcessName
        AccessMask = $eventData.AccessMask
        Properties = $eventData.Properties
    }
}

# Exporter pour les outils d'analyse externes
$ForensicData | Export-Csv -Path "C:\Forensics\Event4662_Detailed.csv" -NoTypeInformation
  2. Analyser les valeurs de masque d'accès pour comprendre les autorisations spécifiques:
    # Décoder les valeurs de masque d'accès courantes
function Decode-AccessMask {
    param([string]$AccessMask)
    
    $mask = [Convert]::ToInt32($AccessMask, 16)
    $permissions = @()
    
    if ($mask -band 0x1) { $permissions += "READ_DATA" }
    if ($mask -band 0x2) { $permissions += "WRITE_DATA" }
    if ($mask -band 0x4) { $permissions += "APPEND_DATA" }
    if ($mask -band 0x20) { $permissions += "EXECUTE" }
    if ($mask -band 0x40) { $permissions += "READ_ATTRIBUTES" }
    if ($mask -band 0x80) { $permissions += "WRITE_ATTRIBUTES" }
    if ($mask -band 0x10000) { $permissions += "DELETE" }
    
    return $permissions -join ", "
}
  3. Créer une analyse chronologique pour la reconstitution des incidents
  4. Corréler avec les événements de création de processus (4688) pour comprendre les chaînes d'attaque
  5. Générer des rapports de conformité montrant les modèles d'accès aux données
  6. Configurer des alertes automatisées pour les modèles d'accès à haut risque en utilisant le transfert d'événements Windows ou l'intégration SIEM
Avertissement : L'analyse médico-légale doit être effectuée sur des copies des données de journal pour préserver l'intégrité des preuves. Suivez toujours les procédures de réponse aux incidents de votre organisation lors de l'enquête sur des événements de sécurité.

Aperçu

L'ID d'événement 4662 se déclenche lorsque Windows détecte une opération effectuée sur un objet qui a une configuration d'audit via la stratégie de groupe ou les paramètres de sécurité locaux. Cet événement fait partie de la politique d'audit avancée de Windows et suit spécifiquement les tentatives d'accès aux objets à travers le système. L'événement capture des informations détaillées sur qui a accédé à quel objet, quand l'accès a eu lieu, et quel type d'opération a été effectué.

Cet événement apparaît dans le journal de sécurité et nécessite que l'audit d'accès aux objets soit activé dans votre politique d'audit. Sans une configuration d'audit appropriée, vous ne verrez pas ces événements même lorsque l'accès aux objets se produit. L'événement offre une visibilité granulaire sur l'accès au système de fichiers, les modifications du registre et les interactions avec les objets Active Directory, ce qui le rend essentiel pour la surveillance de la sécurité et les exigences de conformité.

L'événement 4662 diffère des événements d'accès aux fichiers de base en fournissant des informations plus détaillées sur les autorisations spécifiques utilisées et le descripteur de sécurité de l'objet. Cela le rend particulièrement précieux pour les enquêtes judiciaires et la détection des tentatives d'accès non autorisées aux ressources sensibles.

Questions Fréquentes

Que signifie l'ID d'événement 4662 et quand apparaît-il ?+
L'ID d'événement 4662 indique qu'une opération a été effectuée sur un objet avec audit configuré. Il apparaît dans le journal de sécurité lorsque l'audit d'accès aux objets est activé et que quelqu'un accède à un fichier, une clé de registre ou un objet Active Directory qui a une liste de contrôle d'accès système (SACL) configurée. L'événement fournit des informations détaillées sur qui a accédé à quel objet, quand l'accès a eu lieu, et quelles permissions spécifiques ont été utilisées pendant l'opération.
Pourquoi ne vois-je pas l'événement 4662 même si des fichiers sont consultés ?+
L'événement 4662 n'apparaît que lorsque deux conditions sont remplies : l'audit d'accès aux objets doit être activé dans votre stratégie d'audit, et l'objet spécifique auquel on accède doit avoir l'audit configuré via sa liste de contrôle d'accès de sécurité (SACL). Vérifiez vos paramètres de stratégie de groupe sous Configuration avancée de la stratégie d'audit → Accès aux objets, et assurez-vous que les fichiers ou dossiers que vous souhaitez surveiller ont l'audit activé dans leurs propriétés de sécurité. Sans ces deux configurations, Windows ne générera pas ces événements.
Comment puis-je réduire le volume des journaux de l'événement 4662 sans perdre d'informations de sécurité importantes ?+
Concentrez votre audit sur les cibles de grande valeur plutôt que d'activer l'audit d'accès aux objets à l'échelle du système. Configurez les SACL uniquement sur les fichiers, dossiers et clés de registre sensibles qui nécessitent une surveillance. Utilisez le filtrage succès/échec pour auditer uniquement les tentatives d'accès échouées pour la plupart des objets, tout en activant l'audit des succès et des échecs pour les ressources critiques. Envisagez d'utiliser le transfert d'événements Windows pour centraliser les journaux et mettre en œuvre un filtrage au point de collecte afin de réduire les besoins de stockage tout en maintenant la visibilité de la sécurité.
Quelle information puis-je extraire du champ Access Mask dans l'événement 4662 ?+
Le champ Access Mask contient une valeur hexadécimale qui représente les autorisations spécifiques utilisées lors de l'accès à l'objet. Les valeurs courantes incluent 0x1 pour READ_DATA, 0x2 pour WRITE_DATA, 0x4 pour APPEND_DATA, 0x20 pour EXECUTE, et 0x10000 pour DELETE. Vous pouvez décoder ces valeurs en utilisant des opérations bit à bit dans PowerShell ou vous référer à la documentation Microsoft pour des définitions complètes des masques d'accès. Comprendre les masques d'accès aide à identifier si quelqu'un lisait, modifiait ou tentait de supprimer des données sensibles.
Comment puis-je corréler l'événement 4662 avec d'autres événements de sécurité pour l'enquête sur un incident ?+
L'événement 4662 doit être analysé avec les événements de sécurité connexes pour une reconstitution complète de l'incident. Corrélez avec l'événement 4656 (poignée demandée à l'objet) et 4658 (poignée fermée) pour voir le cycle de vie complet de l'accès. Faites une référence croisée avec les événements de connexion 4624/4625 pour identifier la source de l'accès, et l'événement 4688 (création de processus) pour comprendre quelles applications ont initié l'accès. Utilisez les champs Sujet (UserSid, UserName, DomainName) et les horodatages pour créer des chronologies chronologiques de l'activité des utilisateurs à travers plusieurs types d'événements.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security auditing including object access events and audit policy configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/
2
Advanced Security Audit Policy SettingsDetailed reference for configuring advanced audit policies including object access auditing settings.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#object-access#event-id-4662

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...