ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4673 privilege usage logs in a cybersecurity operations center
Event ID 4673InformationSecurityWindows

ID d'événement Windows 4673 – Sécurité : Utilisation de privilège sensible

L'ID d'événement 4673 enregistre lorsqu'un utilisateur ou un processus tente d'utiliser un privilège sensible sur les systèmes Windows. Cet événement d'audit de sécurité aide à suivre les opérations privilégiées et les risques de sécurité potentiels.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4673Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4673 représente un composant critique de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour surveiller l'utilisation de privilèges sensibles à travers le système d'exploitation. Lorsque cet événement se déclenche, il indique qu'un compte utilisateur, un service ou un processus a tenté d'exercer un privilège que Windows considère comme sensible d'un point de vue sécurité.

L'événement capture des informations contextuelles détaillées, y compris l'identifiant de sécurité (SID) de l'entité requérante, le nom et l'ID du processus, le privilège spécifique utilisé, et l'objet cible si applicable. Cette journalisation complète permet aux équipes de sécurité de reconstituer les schémas d'utilisation des privilèges et d'identifier les violations potentielles de sécurité ou les infractions aux politiques.

Windows génère cet événement via son sous-système Local Security Authority (LSA), qui gère les attributions de privilèges et le suivi de leur utilisation. L'événement n'apparaît que lorsque les politiques d'audit avancées sont correctement configurées, spécifiquement la politique 'Audit Privilege Use' sous la catégorie 'Privilege Use'. Sans une configuration d'audit appropriée, ces événements de sécurité critiques restent invisibles pour les administrateurs.

L'importance de l'ID d'événement 4673 va au-delà de la simple surveillance. Dans les environnements réglementés, cet événement fournit des pistes d'audit essentielles pour les cadres de conformité comme SOX, HIPAA et PCI-DSS. Les équipes de sécurité utilisent ces journaux pour détecter les menaces internes, les escalades de privilèges non autorisées, et les techniques d'attaque sophistiquées qui s'appuient sur des privilèges Windows légitimes pour éviter la détection.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Compte utilisateur ou de service exerçant SeDebugPrivilege pour s'attacher aux processus
  • Logiciel de sauvegarde utilisant SeBackupPrivilege ou SeRestorePrivilege pour les opérations de fichiers
  • Outils administratifs accédant à SeSecurityPrivilege pour la gestion des journaux de sécurité
  • Services système utilisant SeTcbPrivilege pour les opérations de base informatique de confiance
  • Applications demandant SeLoadDriverPrivilege pour charger des pilotes de noyau
  • Logiciel de sécurité utilisant SeAuditPrivilege pour générer des événements d'audit
  • Plateformes de virtualisation exerçant SeCreateTokenPrivilege pour la manipulation de jetons
  • Logiciel malveillant tentant une élévation de privilèges par abus de privilèges sensibles
  • Tâches administratives légitimes nécessitant des privilèges système élevés
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les entrées spécifiques de l'ID d'événement 4673 pour comprendre le contexte d'utilisation des privilèges :

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4673 en utilisant l'option de filtre dans le volet Actions
  3. Double-cliquez sur les événements récents 4673 pour examiner les détails
  4. Notez les champs clés suivants dans la description de l'événement :
    • Sujet : Compte utilisateur et SID effectuant l'action
    • Informations sur le processus : Nom et ID du processus utilisant le privilège
    • Privilège : Privilège spécifique exercé
    • Objet : Objet cible si applicable
  5. Recoupez l'horodatage avec d'autres événements de sécurité pour le contexte

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
Astuce pro : Recherchez des motifs dans les noms de processus et les comptes utilisateurs pour identifier l'utilisation légitime versus suspecte des privilèges.
02

Analyser les modèles d'utilisation des privilèges avec PowerShell

Utilisez PowerShell pour analyser les tendances d'utilisation des privilèges et identifier les anomalies :

  1. Extraire et regrouper l'utilisation des privilèges par compte utilisateur :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673; StartTime=(Get-Date).AddDays(-7)}
$Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
        Privilege = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object User, Privilege | Sort-Object Count -Descending
  1. Identifier les combinaisons de privilèges inhabituelles ou une utilisation à haute fréquence :
# Trouver les processus utilisant plusieurs privilèges sensibles
$PrivilegeUsage = $Events | Group-Object ProcessName | Where-Object {$_.Count -gt 10}
$PrivilegeUsage | Select-Object Name, Count | Format-Table
  1. Vérifier l'utilisation des privilèges en dehors des heures de bureau :
$Events | Where-Object {$_.TimeCreated.Hour -lt 8 -or $_.TimeCreated.Hour -gt 18} | Select-Object TimeCreated, User, ProcessName
Avertissement : Des volumes élevés d'ID d'événement 4673 provenant de processus inattendus peuvent indiquer un logiciel malveillant ou une activité administrative non autorisée.
03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer toute utilisation de privilèges sensibles :

  1. Ouvrez Éditeur de stratégie de groupe locale (gpedit.msc) ou Console de gestion des stratégies de groupe
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Utilisation des privilèges et configurez les politiques suivantes :
    • Audit de l'utilisation des privilèges sensibles : Activer pour Succès et Échec
    • Audit de l'utilisation des privilèges non sensibles : Activer pour Échec (optionnel)
  4. Appliquez la politique et exécutez gpupdate /force pour actualiser les paramètres

Vérifiez la configuration de la politique d'audit à l'aide de PowerShell :

# Vérifiez les paramètres actuels de la politique d'audit
auditpol /get /category:"Privilege Use"

# Activer l'audit de l'utilisation des privilèges sensibles
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable
  1. Configurez la taille du journal de sécurité pour accueillir le volume accru d'événements :
# Augmenter la taille maximale du journal de sécurité à 100 Mo
wevtutil sl Security /ms:104857600

# Définir la politique de rétention des journaux
wevtutil sl Security /rt:false

Chemin du registre pour la configuration manuelle : HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security

Astuce pro : Dans les environnements à fort volume, envisagez de transférer l'ID d'événement 4673 vers un système SIEM centralisé pour éviter le débordement des journaux locaux.
04

Enquêter sur des scénarios spécifiques d'abus de privilèges

Concentrez l'enquête sur les modèles d'utilisation de privilèges à haut risque qui indiquent des menaces potentielles pour la sécurité :

  1. Surveillez l'utilisation de SeDebugPrivilege pour les tentatives d'injection de processus :
# Trouver l'utilisation de SeDebugPrivilege par des processus non-système
$DebugEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673} | Where-Object {
    $_.Message -like '*SeDebugPrivilege*' -and $_.Message -notlike '*SYSTEM*'
}
$DebugEvents | Select-Object TimeCreated, @{n='User';e={($_.Message -split '\n' | Select-String 'Account Name:')[0] -replace '.*Account Name:\s*',''}}
  1. Vérifiez l'abus de SeBackupPrivilege dans l'accès non autorisé aux fichiers :
# Corréler l'utilisation des privilèges de sauvegarde avec les événements d'accès aux fichiers
$BackupEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673} | Where-Object {$_.Message -like '*SeBackupPrivilege*'}
$FileAccess = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656,4658} -MaxEvents 1000

# Trouver une corrélation temporelle entre le privilège de sauvegarde et l'accès aux fichiers sensibles
$BackupEvents | ForEach-Object {
    $BackupTime = $_.TimeCreated
    $RelatedAccess = $FileAccess | Where-Object {
        [Math]::Abs(($_.TimeCreated - $BackupTime).TotalMinutes) -lt 5
    }
    if ($RelatedAccess) {
        Write-Host "Abus potentiel de privilège de sauvegarde à $BackupTime"
    }
}
  1. Analysez SeLoadDriverPrivilege pour le chargement de pilotes malveillants :
# Surveiller l'utilisation des privilèges de chargement de pilotes
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673} | Where-Object {
    $_.Message -like '*SeLoadDriverPrivilege*'
} | Select-Object TimeCreated, @{n='ProcessName';e={($_.Message -split '\n' | Select-String 'Process Name:')[0] -replace '.*Process Name:\s*',''}}
  1. Recoupez avec Windows Defender et les événements d'intégrité du système :
# Vérifiez la corrélation avec les alertes des logiciels de sécurité
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'} -MaxEvents 100 | Where-Object {
    $_.TimeCreated -gt (Get-Date).AddHours(-24)
}
Avertissement : L'utilisation de SeDebugPrivilege par des processus inattendus indique souvent des logiciels malveillants tentant des techniques de creusement de processus ou d'injection de code.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance proactive pour l'ID d'événement 4673 afin de détecter les abus de privilèges en temps réel :

  1. Créez une tâche planifiée pour surveiller l'utilisation de privilèges à haut risque :
# Créer un script de surveillance
$MonitorScript = @'
$SensitivePrivileges = @('SeDebugPrivilege', 'SeLoadDriverPrivilege', 'SeTcbPrivilege')
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673; StartTime=(Get-Date).AddMinutes(-15)}

foreach ($Event in $Events) {
    $xml = [xml]$Event.ToXml()
    $Privilege = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    $User = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $Process = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    
    if ($Privilege -in $SensitivePrivileges -and $User -ne 'SYSTEM') {
        Write-EventLog -LogName Application -Source 'PrivilegeMonitor' -EventId 1001 -EntryType Warning -Message "Sensitive privilege $Privilege used by $User in process $Process"
    }
}
'@

# Enregistrer le script et créer une tâche planifiée
$MonitorScript | Out-File -FilePath 'C:\Scripts\PrivilegeMonitor.ps1'
Register-ScheduledTask -TaskName 'PrivilegeMonitor' -Trigger (New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -Once -At (Get-Date)) -Action (New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\PrivilegeMonitor.ps1')
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
# Configurer WinRM pour le transfert d'événements
winrm quickconfig -q
wecutil qc /q

# Créer une souscription pour l'ID d'événement 4673
$SubscriptionXML = @'

    PrivilegeUseMonitoring
    SourceInitiated
    Monitor sensitive privilege usage across domain
    true
    http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
    Normal
    
            
                
            
        
    ]]>

'@

$SubscriptionXML | Out-File -FilePath 'C:\Temp\PrivilegeSubscription.xml'
wecutil cs 'C:\Temp\PrivilegeSubscription.xml'
  1. Configurez des alertes par e-mail pour l'utilisation critique de privilèges :
# Créer un script d'alerte avec notification par e-mail
$AlertScript = @'
param($EventID, $User, $Privilege, $Process)

$SMTPServer = "mail.company.com"
$From = "security-alerts@company.com"
$To = "security-team@company.com"
$Subject = "ALERT: Sensitive Privilege Usage Detected"
$Body = "Event ID: $EventID`nUser: $User`nPrivilege: $Privilege`nProcess: $Process`nTime: $(Get-Date)"

Send-MailMessage -SmtpServer $SMTPServer -From $From -To $To -Subject $Subject -Body $Body
'@

$AlertScript | Out-File -FilePath 'C:\Scripts\PrivilegeAlert.ps1'
Conseil pro : Intégrez la surveillance de l'ID d'événement 4673 avec votre solution SIEM en utilisant le transfert d'événements Windows ou l'expédition de journaux basée sur PowerShell pour une visibilité complète de la sécurité.

Aperçu

L'ID d'événement 4673 se déclenche chaque fois qu'un compte utilisateur ou un processus tente d'utiliser un privilège sensible sur un système Windows. Cet événement d'audit de sécurité fait partie du sous-système d'audit d'utilisation des privilèges de Windows et apparaît dans le journal des événements de sécurité lorsque les politiques d'audit avancées sont activées. L'événement capture les tentatives d'exercice de privilèges système de haut niveau tels que SeDebugPrivilege, SeBackupPrivilege ou SeRestorePrivilege.

Cet événement est crucial pour la surveillance de la sécurité car il suit lorsque des utilisateurs ou des processus tentent d'effectuer des opérations privilégiées qui pourraient affecter la sécurité ou la stabilité du système. Contrairement à l'ID d'événement 4672 qui enregistre les privilèges de connexion spéciaux, l'ID d'événement 4673 surveille spécifiquement l'utilisation réelle des privilèges sensibles pendant les opérations d'exécution. Les administrateurs système comptent sur cet événement pour détecter les tentatives d'escalade de privilèges, les actions administratives non autorisées et les violations de conformité.

L'événement se génère automatiquement lorsque Windows détecte des tentatives d'utilisation de privilèges, que l'opération réussisse ou échoue. Chaque instance inclut des informations détaillées sur le processus demandeur, le contexte utilisateur et le privilège spécifique exercé. Cette journalisation granulaire rend l'ID d'événement 4673 essentiel pour l'analyse médico-légale et la réponse aux incidents de sécurité dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 4673 et pourquoi est-il important ?+
L'ID d'événement 4673 indique qu'un utilisateur ou un processus a tenté d'utiliser un privilège sensible sur un système Windows. Cet événement est crucial pour la surveillance de la sécurité car il suit quand des privilèges système de haut niveau comme SeDebugPrivilege, SeBackupPrivilege ou SeLoadDriverPrivilege sont exercés. Ces privilèges peuvent être abusés par des logiciels malveillants pour l'escalade de privilèges, l'injection de processus ou l'accès non autorisé au système. L'événement fournit des informations détaillées sur qui a utilisé le privilège, quel processus l'a demandé et quand cela s'est produit, ce qui le rend essentiel pour détecter les menaces internes et les menaces persistantes avancées.
Comment activer la journalisation de l'ID d'événement 4673 sur mes systèmes Windows ?+
L'ID d'événement 4673 nécessite l'activation de la politique 'Audit Sensitive Privilege Use' sous Configuration avancée de la politique d'audit. Accédez à l'Éditeur de stratégie de groupe → Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit → Utilisation des privilèges, puis activez 'Audit Sensitive Privilege Use' pour les événements de réussite et d'échec. Vous pouvez également utiliser la commande 'auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable' pour configurer cela via PowerShell. Sans cette politique d'audit activée, Windows ne générera pas d'entrées d'ID d'événement 4673.
Quels privilèges sont considérés comme 'sensibles' et déclenchent l'ID d'événement 4673 ?+
Windows considère plusieurs privilèges comme sensibles, y compris SeDebugPrivilege (déboguer des programmes), SeBackupPrivilege (sauvegarder des fichiers et des répertoires), SeRestorePrivilege (restaurer des fichiers et des répertoires), SeLoadDriverPrivilege (charger et décharger des pilotes de périphériques), SeTcbPrivilege (agir en tant que partie du système d'exploitation), SeSecurityPrivilege (gérer l'audit et le journal de sécurité), et SeCreateTokenPrivilege (créer un objet jeton). Ces privilèges peuvent avoir un impact significatif sur la sécurité du système et sont souvent ciblés par les attaquants pour l'élévation de privilèges. Le privilège spécifique utilisé est enregistré dans les détails de l'événement sous le champ 'Privilege'.
Comment puis-je distinguer les entrées légitimes et suspectes de l'ID d'événement 4673 ?+
Les entrées légitimes de l'ID d'événement 4673 proviennent généralement de processus système connus, de logiciels de sauvegarde planifiés ou d'outils administratifs pendant les heures de bureau. Les indicateurs suspects incluent : l'utilisation de privilèges par des processus inattendus, l'utilisation de SeDebugPrivilege par des comptes non-système, l'escalade de privilèges en dehors des heures de bureau normales, l'utilisation de plusieurs privilèges sensibles par le même processus dans des délais courts, ou l'utilisation de privilèges corrélée à d'autres événements de sécurité comme des échecs de connexion ou des détections de logiciels malveillants. Établissez des bases de référence des modèles d'utilisation normale des privilèges et enquêtez sur les écarts. Recoupez les noms de processus et les comptes utilisateurs avec les logiciels approuvés et les procédures administratives de votre organisation.
Que dois-je faire si je trouve des entrées d'ID d'événement 4673 suspectes indiquant un potentiel abus de privilège ?+
Si vous découvrez des entrées suspectes d'ID d'événement 4673, isolez immédiatement le système affecté du réseau pour empêcher le mouvement latéral. Documentez tous les détails de l'événement, y compris les horodatages, les comptes d'utilisateur, les noms de processus et les privilèges utilisés. Corrélez ces événements avec d'autres journaux de sécurité (ID d'événement 4624, 4625, 4656, 4658) pour comprendre la chronologie complète de l'attaque. Exécutez des analyses antimalware et vérifiez les mécanismes de persistance tels que les tâches planifiées ou les modifications du registre. Analysez les processus suspects à l'aide d'outils comme Process Monitor ou Autoruns. Si l'activité semble être une attaque active, engagez votre équipe de réponse aux incidents et envisagez l'imagerie judiciaire du système affecté avant la remédiation.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security event auditing including Event ID 4673 and privilege use monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/auditing-security-events
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including sensitive privilege use auditinghttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#privilege-escalation#security-auditing#event-id-4673

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...