ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4672 privilege assignment logs in a professional SOC environment
Event ID 4672InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4672 – Sécurité : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 4672 se déclenche lorsque Windows attribue des privilèges spéciaux à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés à un compte.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4672Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4672 représente un événement d'audit de sécurité fondamental qui documente l'attribution de privilèges spéciaux lors des sessions de connexion utilisateur. Lorsqu'un utilisateur s'authentifie avec succès et que Windows détermine que le compte nécessite des privilèges élevés, le système génère cet événement pour créer une piste d'audit de l'accès privilégié.

L'événement se déclenche après l'ID d'événement 4624 (connexion réussie) mais avant que la session utilisateur ne devienne pleinement active. Windows évalue les appartenances aux groupes du compte, les droits d'utilisateur attribués et les politiques de sécurité pour déterminer quels privilèges spéciaux accorder. Ces privilèges incluent des droits sensibles comme SeDebugPrivilege, SeBackupPrivilege, SeRestorePrivilege, et d'autres qui permettent des opérations au niveau du système.

La structure de l'événement inclut l'ID de connexion qui correspond à l'événement d'authentification initial, le nom du compte et le domaine, ainsi qu'une liste complète des privilèges attribués. Cette capacité de corrélation rend l'ID d'événement 4672 inestimable pour les enquêtes de sécurité, permettant aux analystes de retracer la chaîne complète d'attribution de privilèges depuis la connexion initiale jusqu'aux opérations élevées.

Les systèmes Windows modernes génèrent des milliers de ces événements quotidiennement dans les environnements d'entreprise, rendant le filtrage et l'analyse appropriés cruciaux pour une surveillance de sécurité efficace. La structure cohérente de l'événement et sa génération fiable en font une pierre angulaire des cadres d'audit de sécurité Windows.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Connexion de compte administrateur (administrateurs locaux ou de domaine)
  • Démarrage de compte de service avec des privilèges élevés
  • Compte utilisateur avec des droits de connexion spéciaux attribués via la stratégie de groupe
  • Processus de compte système nécessitant des opérations privilégiées
  • Opérateurs de sauvegarde, opérateurs d'impression ou autres membres de groupes privilégiés se connectant
  • Applications s'exécutant avec des privilèges élevés via UAC ou RunAs
  • Tâches planifiées s'exécutant avec des privilèges système ou administratifs
  • Connexions de bureau à distance utilisant des comptes privilégiés
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les privilèges spécifiques attribués et en corrélation avec la session de connexion :

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4672 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement pour voir les informations détaillées
  4. Notez le champ ID de connexion - cela correspond à l'ID d'événement 4624
  5. Examinez la section Privilèges pour voir quels droits spéciaux ont été attribués
  6. Vérifiez les champs Nom du compte et Domaine du compte
  7. Recoupez l'horodatage avec d'autres événements de sécurité

Recherchez des attributions de privilèges inhabituelles ou des comptes qui ne devraient pas avoir de droits élevés. L'ID de connexion vous permet de retracer la session complète depuis l'authentification jusqu'à l'utilisation des privilèges.

02

Analyse et corrélation PowerShell

Utilisez PowerShell pour analyser les événements 4672 et les corréler avec les événements de connexion :

# Obtenez les événements récents 4672 avec détails
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} -MaxEvents 50 | 
  Select-Object TimeCreated, @{Name='Account';Expression={$_.Properties[1].Value}}, 
  @{Name='LogonID';Expression={$_.Properties[3].Value}}, 
  @{Name='Privileges';Expression={$_.Properties[4].Value}}

# Corréler avec les événements de connexion (4624)
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 100
$PrivEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} -MaxEvents 100

# Correspondance par ID de connexion
$LogonEvents | ForEach-Object {
  $LogonID = $_.Properties[7].Value
  $MatchingPriv = $PrivEvents | Where-Object {$_.Properties[3].Value -eq $LogonID}
  if ($MatchingPriv) {
    [PSCustomObject]@{
      Time = $_.TimeCreated
      Account = $_.Properties[5].Value
      LogonType = $_.Properties[8].Value
      Privileges = $MatchingPriv.Properties[4].Value
    }
  }
}

Cette corrélation révèle quels comptes reçoivent des privilèges élevés et par quels moyens de connexion.

03

Surveiller les attributions de privilèges spécifiques

Créer une surveillance ciblée pour les attributions de privilèges sensibles :

# Surveiller les privilèges dangereux
$DangerousPrivs = @('SeDebugPrivilege', 'SeBackupPrivilege', 'SeRestorePrivilege', 
                    'SeTakeOwnershipPrivilege', 'SeLoadDriverPrivilege')

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} -MaxEvents 200 | 
  Where-Object {
    $PrivilegeText = $_.Properties[4].Value
    $DangerousPrivs | Where-Object {$PrivilegeText -like "*$_*"}
  } | Select-Object TimeCreated, 
    @{Name='Account';Expression={$_.Properties[1].Value}}, 
    @{Name='Domain';Expression={$_.Properties[2].Value}}, 
    @{Name='Privileges';Expression={$_.Properties[4].Value}}

# Configurer une surveillance continue
Register-WinEvent -Query "*[System[EventID=4672]]" -Action {
  $Event = $Event.SourceEventArgs.NewEvent
  $Account = $Event.Properties[1].Value
  $Privileges = $Event.Properties[4].Value
  
  if ($Privileges -match 'SeDebugPrivilege|SeBackupPrivilege') {
    Write-Host "ALERTE : Privilège sensible attribué à $Account à $(Get-Date)" -ForegroundColor Red
  }
}

Cette approche se concentre sur les privilèges les plus sensibles en matière de sécurité qui pourraient indiquer une compromission ou des violations de politique.

04

Enquêter sur les politiques d'attribution des droits des utilisateurs

Vérifiez la stratégie de groupe et les politiques de sécurité locales qui accordent des privilèges spéciaux :

  1. Ouvrez Stratégie de sécurité locale (secpol.msc) ou Gestion des stratégies de groupe
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéPolitiques localesAttribution des droits utilisateur
  3. Examinez les politiques telles que :
    • Se connecter en tant que service (SeServiceLogonRight)
    • Sauvegarder les fichiers et répertoires (SeBackupPrivilege)
    • Déboguer les programmes (SeDebugPrivilege)
    • Charger et décharger les pilotes de périphériques (SeLoadDriverPrivilege)
  4. Vérifiez quels comptes ou groupes se voient attribuer ces droits
  5. Utilisez PowerShell pour auditer les attributions actuelles :
# Exporter les attributions actuelles des droits utilisateur
secedit /export /cfg C:\temp\current_rights.inf
Get-Content C:\temp\current_rights.inf | Select-String "Se.*Privilege"

# Vérifier les attributions de privilèges spécifiques
whoami /priv

# Pour les systèmes distants
Invoke-Command -ComputerName SERVER01 -ScriptBlock {
  secedit /export /cfg C:\temp\rights.inf
  Get-Content C:\temp\rights.inf | Select-String "SeBackupPrivilege|SeDebugPrivilege"
}

Comparez les attributions de politiques avec les comptes générant des événements 4672 pour identifier les concessions de privilèges non autorisées.

05

Analyse Forensique Avancée et Comparaison de Référence

Effectuer une analyse complète pour les enquêtes de sécurité :

# Créer une base de référence pour l'attribution des privilèges
$BaselineDate = (Get-Date).AddDays(-30)
$Baseline = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672; StartTime=$BaselineDate} | 
  Group-Object @{Expression={$_.Properties[1].Value + ':' + $_.Properties[4].Value}} | 
  Select-Object Name, Count

# Comparer l'activité actuelle à la base de référence
$Recent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} -MaxEvents 500 | 
  Group-Object @{Expression={$_.Properties[1].Value + ':' + $_.Properties[4].Value}} | 
  Select-Object Name, Count

# Identifier les anomalies
$Anomalies = Compare-Object $Baseline $Recent -Property Name -IncludeEqual | 
  Where-Object {$_.SideIndicator -eq '=>'}

if ($Anomalies) {
  Write-Host "Nouvelles attributions de privilèges détectées :" -ForegroundColor Yellow
  $Anomalies | ForEach-Object {Write-Host $_.Name -ForegroundColor Red}
}

# Analyse approfondie
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} -MaxEvents 1000 | 
  ForEach-Object {
    [PSCustomObject]@{
      Time = $_.TimeCreated
      Account = $_.Properties[1].Value
      Domain = $_.Properties[2].Value
      LogonID = $_.Properties[3].Value
      PrivilegeCount = ($_.Properties[4].Value -split '\r\n' | Measure-Object).Count
      HasDebugPriv = $_.Properties[4].Value -like '*SeDebugPrivilege*'
      HasBackupPriv = $_.Properties[4].Value -like '*SeBackupPrivilege*'
    }
  } | Export-Csv -Path "C:\temp\privilege_analysis.csv" -NoTypeInformation

Cette méthode établit des modèles normaux d'attribution de privilèges et identifie les écarts qui peuvent indiquer des problèmes de sécurité ou des changements de politique.

Aperçu

L'ID d'événement 4672 se déclenche immédiatement après une connexion réussie lorsque Windows attribue des privilèges spéciaux à la nouvelle session. Cet événement apparaît dans le journal de sécurité et indique que le compte connecté s'est vu accorder des droits élevés au-delà des autorisations utilisateur standard. L'événement se déclenche pour les comptes avec des privilèges administratifs, les comptes de service avec des droits spécifiques, ou les utilisateurs ayant des privilèges de connexion spéciaux attribués via la stratégie de groupe.

Cet événement est crucial pour la surveillance de la sécurité car il suit quand un accès privilégié se produit sur vos systèmes. Chaque connexion administrateur, démarrage de service avec des droits élevés, et initialisation de processus au niveau système génèrent cet événement. La corrélation temporelle avec l'ID d'événement 4624 (connexion réussie) le rend précieux pour suivre l'escalade des privilèges et surveiller l'activité administrative.

Les équipes de sécurité s'appuient sur les événements 4672 pour détecter l'utilisation non autorisée de privilèges, suivre les sessions administratives, et auditer la conformité avec les principes de moindre privilège. L'événement contient des informations détaillées sur les privilèges spécifiques qui ont été attribués, ce qui le rend essentiel pour les enquêtes judiciaires et la surveillance de la ligne de base de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4672 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4672 indique que Windows a attribué des privilèges spéciaux à un compte utilisateur lors de la connexion. Vous devriez vous inquiéter lorsque vous voyez cet événement pour des comptes qui ne devraient pas avoir de privilèges élevés, pendant des heures inhabituelles, ou lorsque les privilèges attribués incluent des droits sensibles comme SeDebugPrivilege ou SeBackupPrivilege. Les occurrences normales incluent les connexions administrateur et les démarrages de comptes de service, mais des attributions de privilèges inattendues peuvent indiquer une compromission ou des violations de politique.
Comment puis-je corréler l'ID d'événement 4672 avec l'événement de connexion d'origine ?+
Utilisez le champ Logon ID présent dans l'Event ID 4672 et l'Event ID 4624 (logon réussi). Le Logon ID est une valeur hexadécimale unique qui relie ces événements au sein de la même session. Dans PowerShell, extrayez le Logon ID des deux événements et faites-les correspondre pour voir la chaîne complète d'authentification et d'attribution de privilèges. Cette corrélation aide à identifier la méthode de logon, l'IP source et les détails d'authentification associés aux octrois de privilèges.
Quels privilèges dans l'ID d'événement 4672 sont les plus sensibles à la sécurité ?+
Les privilèges les plus sensibles en matière de sécurité incluent SeDebugPrivilege (déboguer des programmes), SeBackupPrivilege (sauvegarder des fichiers et des répertoires), SeRestorePrivilege (restaurer des fichiers et des répertoires), SeTakeOwnershipPrivilege (prendre possession de fichiers), SeLoadDriverPrivilege (charger des pilotes de périphériques), et SeImpersonatePrivilege (usurper l'identité de clients). Ces privilèges permettent un accès au niveau système et sont couramment exploités par les attaquants pour l'escalade de privilèges et le mouvement latéral.
Pourquoi est-ce que je vois des milliers d'entrées d'ID d'événement 4672 chaque jour ?+
Des volumes élevés d'Event ID 4672 sont normaux dans les environnements d'entreprise en raison des comptes de service, des tâches planifiées, des activités administratives et des processus système nécessitant des privilèges élevés. Chaque connexion d'administrateur, redémarrage de service et lancement d'application privilégiée génère cet événement. Pour gérer le volume, concentrez-vous sur le filtrage des privilèges sensibles spécifiques, des comptes inhabituels ou des modèles basés sur le temps plutôt que de surveiller tous les événements 4672.
Comment puis-je utiliser l'ID d'événement 4672 pour la conformité et la surveillance de la sécurité ?+
L'ID d'événement 4672 est essentiel pour les cadres de conformité nécessitant une surveillance des accès privilégiés. Créez des alertes automatisées pour les attributions de privilèges sensibles, établissez des bases de référence des modèles d'utilisation normale des privilèges et corrélez avec les événements de connexion pour suivre les sessions administratives. Utilisez les données d'événement pour démontrer la conformité au principe du moindre privilège, détecter les escalades de privilèges non autorisées et maintenir des pistes d'audit pour les enquêtes judiciaires. Une analyse régulière aide à identifier les comptes avec des privilèges excessifs et les violations de politique.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4672 and privilege assignment monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows User Rights Assignment DocumentationOfficial documentation covering user rights and privileges that trigger Event ID 4672 when assigned during logon.https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-security#event-id-4672#privilege-monitoring

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...