ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security operations center showing Event Viewer with privilege monitoring and security audit logs
Event ID 4674InformationSecurityWindows

ID d'événement Windows 4674 – Sécurité : Tentative d'opération sur un objet privilégié

L'ID d'événement 4674 enregistre lorsqu'un utilisateur ou un processus tente d'effectuer une opération privilégiée sur un objet protégé, fournissant des informations d'audit détaillées pour la surveillance de la sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4674Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4674 représente l'un des événements d'audit d'utilisation des privilèges les plus détaillés dans le cadre de journalisation de la sécurité Windows. Lorsque le sous-système de sécurité Windows détecte qu'un processus ou un compte utilisateur exerce un privilège spécifique pour effectuer une opération sur un objet protégé, il génère cet enregistrement d'audit complet. L'événement capture non seulement le fait qu'un privilège a été utilisé, mais fournit un contexte étendu sur l'opération, y compris le nom du privilège, l'objet cible, les détails du processus et les identifiants de sécurité.

La structure de l'événement contient plusieurs champs que les professionnels de la sécurité utilisent pour l'analyse. La section Sujet identifie qui a effectué l'action avec SID, le nom du compte et les informations de domaine. La section Informations sur le privilège spécifie exactement quel privilège a été exercé, tel que SeBackupPrivilege, SeDebugPrivilege ou SeSystemtimePrivilege. La section Objet fournit des détails sur la cible de l'opération privilégiée, y compris le serveur d'objet, le type et le nom lorsqu'ils sont disponibles.

Dans les environnements d'entreprise, l'ID d'événement 4674 sert de pierre angulaire pour la détection des abus de privilèges et le rapport de conformité. Les systèmes de gestion des informations et des événements de sécurité (SIEM) analysent ces événements pour identifier des schémas indiquant des menaces internes potentielles ou des comptes compromis. La nature granulaire des informations enregistrées permet aux équipes de sécurité de distinguer entre les activités administratives légitimes et l'utilisation suspecte des privilèges qui pourrait indiquer une attaque en cours.

La fréquence et le volume des événements ID 4674 peuvent être substantiels dans les environnements Windows actifs, en particulier sur les contrôleurs de domaine et les serveurs de fichiers où les opérations privilégiées se produisent régulièrement. Des stratégies de gestion et de filtrage des journaux appropriées sont essentielles pour extraire des renseignements exploitables du flux d'événements tout en maintenant la performance du système et l'efficacité du stockage.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Compte utilisateur exerçant des privilèges de sauvegarde et de restauration (SeBackupPrivilege, SeRestorePrivilege)
  • Processus utilisant des privilèges de débogage pour s'attacher à ou examiner d'autres processus (SeDebugPrivilege)
  • Opérations de modification de l'heure système nécessitant SeSystemtimePrivilege
  • Compte de service effectuant des opérations privilégiées pendant l'exécution normale du service
  • Outils d'administration accédant à des objets système protégés ou à des clés de registre
  • Logiciel de sauvegarde lisant des fichiers nécessitant des privilèges spéciaux pour accéder
  • Logiciel de sécurité ou antivirus effectuant des analyses système approfondies avec des privilèges élevés
  • Tâches de maintenance système nécessitant SeShutdownPrivilege ou SeLoadDriverPrivilege
  • Utilisateur ou processus tentant de prendre possession de fichiers ou d'objets (SeTakeOwnershipPrivilege)
  • Applications effectuant des opérations nécessitant SeCreateTokenPrivilege ou SeAssignPrimaryTokenPrivilege
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les entrées spécifiques de l'ID d'événement 4674 pour comprendre quels privilèges sont utilisés et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4674 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 4674 pour examiner les détails
  6. Concentrez-vous sur ces champs clés dans les détails de l'événement:
    • Sujet: Nom du compte, Domaine du compte, ID de connexion
    • Privilège: Le privilège spécifique utilisé
    • Objet: Serveur d'objet, Type d'objet, Nom de l'objet
    • Informations sur le processus: ID du processus et Nom du processus
  7. Cherchez des motifs dans l'utilisation des privilèges, une activité de compte inhabituelle, ou des processus inattendus exerçant des privilèges
Astuce pro : Triez les événements par heure pour identifier des groupes d'utilisation de privilèges qui pourraient indiquer des processus automatisés ou des incidents de sécurité potentiels.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour extraire et analyser les données de l'ID d'événement 4674 de manière programmatique pour une meilleure reconnaissance des motifs.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4674 avec un filtrage détaillé :
# Obtenez les 100 dernières entrées de l'ID d'événement 4674 avec des détails clés
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4674} -MaxEvents 100 | 
  ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
      TimeCreated = $_.TimeCreated
      SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
      SubjectDomainName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
      PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
      ObjectName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
      ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    }
  } | Format-Table -AutoSize
  1. Analysez les motifs d'utilisation des privilèges en regroupant les activités communes :
# Regroupez les événements par privilège pour identifier les privilèges les plus utilisés
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4674} -MaxEvents 1000 | 
  ForEach-Object {
    $xml = [xml]$_.ToXml()
    $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
  } | Group-Object | Sort-Object Count -Descending
  1. Exportez les résultats au format CSV pour une analyse plus approfondie dans Excel ou d'autres outils :
# Exportez l'utilisation détaillée des privilèges au format CSV
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4674} -MaxEvents 500 | 
  ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
      TimeCreated = $_.TimeCreated
      SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
      PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
      ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    }
  } | Export-Csv -Path "C:\Temp\Event4674_Analysis.csv" -NoTypeInformation
03

Configurer les paramètres de stratégie d'audit avancée

Configurez correctement les stratégies d'audit pour vous assurer que l'ID d'événement 4674 capture le bon niveau de détail pour vos besoins de surveillance de la sécurité.

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Computer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit Policy ConfigurationAudit Policies
  3. Développez Privilege Use et configurez ces paramètres:
    • Audit Sensitive Privilege Use: Réglez sur Success pour enregistrer l'utilisation réussie des privilèges
    • Audit Non Sensitive Privilege Use: Réglez sur Success and Failure pour une surveillance complète
  4. Utilisez PowerShell pour vérifier les paramètres d'audit actuels:
# Vérifiez les paramètres d'audit d'utilisation des privilèges actuels
auditpol /get /subcategory:"Sensitive Privilege Use"
auditpol /get /subcategory:"Non Sensitive Privilege Use"
  1. Configurez la surveillance des privilèges spécifiques à l'aide du registre si nécessaire:
# Activez l'audit pour des privilèges spécifiques (nécessite un redémarrage)
$regPath = "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit"
Set-ItemProperty -Path $regPath -Name "FullPrivilegeAuditing" -Value @("SeBackupPrivilege", "SeDebugPrivilege", "SeSystemtimePrivilege") -Type MultiString
  1. Appliquez la stratégie et vérifiez la génération de l'ID d'événement 4674:
# Forcer la mise à jour de la stratégie de groupe
gpupdate /force

# Testez l'utilisation des privilèges pour générer l'ID d'événement 4674
# Cette commande nécessite SeSystemtimePrivilege et générera l'événement
w32tm /resync
Avertissement : Activer l'audit complet des privilèges peut générer un volume de journaux important. Surveillez l'espace disque et envisagez le transfert des journaux vers un système de journalisation centralisé.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance automatisée pour détecter les modèles d'utilisation de privilèges suspects et les incidents de sécurité potentiels.

  1. Créez un script PowerShell pour la surveillance continue de l'utilisation des privilèges à haut risque :
# Créer un script de surveillance : Monitor-PrivilegeUse.ps1
$HighRiskPrivileges = @(
    'SeDebugPrivilege',
    'SeBackupPrivilege', 
    'SeRestorePrivilege',
    'SeTakeOwnershipPrivilege',
    'SeLoadDriverPrivilege'
)

$LastCheck = (Get-Date).AddHours(-1)

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4674
    StartTime=$LastCheck
} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $privilege = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    $user = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $process = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    
    if ($privilege -in $HighRiskPrivileges) {
        Write-Warning "Utilisation de privilège à haut risque détectée : $privilege par $user dans le processus $process à $($_.TimeCreated)"
        # Ajoutez ici la logique d'alerte (email, intégration SIEM, etc.)
    }
}
  1. Configurez une tâche planifiée pour exécuter le script de surveillance :
# Créer une tâche planifiée pour la surveillance des privilèges
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-PrivilegeUse.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest

Register-ScheduledTask -TaskName "Monitor-PrivilegeUse" -Action $Action -Trigger $Trigger -Settings $Settings -Principal $Principal
  1. Configurez le transfert d'événements Windows pour une collecte centralisée :
# Configurer l'abonnement au transfert d'événements (sur le serveur collecteur)
wecutil cs subscription.xml

# Exemple de contenu subscription.xml pour l'ID d'événement 4674 :
# <?xml version="1.0" encoding="UTF-8"?>
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>PrivilegeUseCollection</SubscriptionId>
#   <Query>
#     <![CDATA[
#       <QueryList>
#         <Query Id="0">
#           <Select Path="Security">*[System[EventID=4674]]</Select>
#         </Query>
#       </QueryList>
#     ]]>
#   </Query>
# </Subscription>
  1. Créez des vues personnalisées dans le Visualiseur d'événements pour l'analyse de sécurité :
# Créer un XML de vue personnalisée pour le Visualiseur d'événements
$CustomViewXML = @"
<ViewerConfig>
  <QueryConfig>
    <QueryParams>
      <Simple>
        <Channel>Security</Channel>
        <EventId>4674</EventId>
        <RelativeTimeInfo>604800000</RelativeTimeInfo>
      </Simple>
    </QueryParams>
  </QueryConfig>
</ViewerConfig>
"@

# Enregistrer dans un fichier pour l'importation dans le Visualiseur d'événements
$CustomViewXML | Out-File -FilePath "C:\Temp\PrivilegeUseView.xml" -Encoding UTF8
05

Analyse Forensique Avancée et Corrélation

Effectuer une analyse médico-légale approfondie des données de l'ID d'événement 4674 pour identifier les incidents de sécurité et les modèles d'attaque.

  1. Créer un script d'analyse complet qui corrèle l'utilisation des privilèges avec d'autres événements de sécurité :
# Script d'analyse de corrélation avancée
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date

# Obtenir toutes les entrées de l'ID d'événement 4674 pour la période d'analyse
$PrivilegeEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4674
    StartTime=$StartTime
    EndTime=$EndTime
} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserSid = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserSid'} | Select-Object -ExpandProperty '#text'
        SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        SubjectLogonId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'
        PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
        ObjectName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
        ProcessId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    }
}

# Analyser les modèles d'utilisation des privilèges
$SuspiciousPatterns = $PrivilegeEvents | Group-Object SubjectUserName | Where-Object {
    $_.Count -gt 100 -or  # Volume élevé d'utilisation des privilèges
    ($_.Group.PrivilegeName | Sort-Object -Unique).Count -gt 5  # Utilisation de nombreux privilèges différents
}

Write-Host "Modèles d'utilisation des privilèges potentiellement suspects :"
$SuspiciousPatterns | ForEach-Object {
    Write-Host "Utilisateur : $($_.Name), Nombre d'événements : $($_.Count), Privilèges uniques : $(($_.Group.PrivilegeName | Sort-Object -Unique).Count)"
}
  1. Corréler avec les événements de connexion pour identifier les tentatives d'escalade de privilèges :
# Corréler l'utilisation des privilèges avec les événements de connexion
$LogonEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=@(4624, 4625)  # Connexions réussies et échouées
    StartTime=$StartTime
    EndTime=$EndTime
}

# Trouver les utilisateurs ayant eu des connexions échouées suivies d'une utilisation de privilèges
$CorrelatedEvents = foreach ($privEvent in $PrivilegeEvents) {
    $relatedLogons = $LogonEvents | Where-Object {
        $xml = [xml]$_.ToXml()
        $logonUser = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        $logonUser -eq $privEvent.SubjectUserName -and
        $_.TimeCreated -le $privEvent.TimeCreated -and
        $_.TimeCreated -ge $privEvent.TimeCreated.AddHours(-1)
    }
    
    if ($relatedLogons) {
        [PSCustomObject]@{
            User = $privEvent.SubjectUserName
            PrivilegeTime = $privEvent.TimeCreated
            Privilege = $privEvent.PrivilegeName
            RelatedLogons = $relatedLogons.Count
            Process = $privEvent.ProcessName
        }
    }
}

$CorrelatedEvents | Format-Table -AutoSize
  1. Générer un rapport de sécurité complet :
# Générer un rapport d'analyse de sécurité détaillé
$ReportData = @{
    AnalysisPeriod = "$StartTime to $EndTime"
    TotalPrivilegeEvents = $PrivilegeEvents.Count
    UniqueUsers = ($PrivilegeEvents.SubjectUserName | Sort-Object -Unique).Count
    UniquePrivileges = ($PrivilegeEvents.PrivilegeName | Sort-Object -Unique).Count
    TopPrivileges = $PrivilegeEvents | Group-Object PrivilegeName | Sort-Object Count -Descending | Select-Object -First 10
    TopUsers = $PrivilegeEvents | Group-Object SubjectUserName | Sort-Object Count -Descending | Select-Object -First 10
    SuspiciousActivity = $SuspiciousPatterns
}

# Exporter le rapport complet
$ReportData | ConvertTo-Json -Depth 3 | Out-File -FilePath "C:\Temp\PrivilegeUseReport_$(Get-Date -Format 'yyyyMMdd_HHmmss').json"

Write-Host "Analyse de sécurité terminée. Rapport enregistré dans C:\Temp\"
Conseil pro : Intégrez cette analyse à votre système SIEM en exportant les résultats au format CEF ou LEEF pour des workflows automatisés de détection et de réponse aux menaces.

Aperçu

L'ID d'événement 4674 se déclenche chaque fois qu'un compte utilisateur ou un processus tente d'effectuer une opération privilégiée sur un objet système protégé. Cet événement d'audit de sécurité capture des informations détaillées sur l'utilisation des privilèges, y compris le privilège spécifique exercé, l'objet cible et le contexte de sécurité de l'opération. Windows génère cet événement dans le cadre de la politique d'audit avancée pour l'utilisation des privilèges, ce qui le rend essentiel pour la surveillance de la sécurité et les cadres de conformité comme SOX, HIPAA et PCI-DSS.

L'événement apparaît dans le journal de sécurité lorsque les politiques d'audit avancées sont activées, spécifiquement sous la sous-catégorie "Audit de l'utilisation des privilèges". Contrairement à la surveillance de privilèges de base, l'ID d'événement 4674 fournit des détails granulaires sur les privilèges spécifiques utilisés et contre quels objets. Cela le rend inestimable pour détecter les tentatives d'escalade de privilèges, les actions administratives non autorisées et les menaces internes. Les équipes de sécurité s'appuient sur cet événement pour suivre les opérations sensibles comme les privilèges de sauvegarde, les privilèges de débogage et les changements de l'heure système.

Les environnements Windows modernes en 2026 génèrent des milliers de ces événements quotidiennement sur des systèmes occupés, nécessitant un filtrage et une corrélation appropriés pour extraire des renseignements de sécurité significatifs. La structure de l'événement inclut des informations sur le processus, des détails sur les privilèges et le contexte d'accès aux objets que les analystes de sécurité utilisent pour les enquêtes judiciaires.

Questions Fréquentes

Que signifie l'ID d'événement 4674 et pourquoi est-il important pour la sécurité ?+
L'ID d'événement 4674 indique qu'un compte utilisateur ou un processus a exercé avec succès un privilège spécifique pour effectuer une opération sur un objet protégé. Cet événement est crucial pour la surveillance de la sécurité car il fournit des pistes d'audit détaillées de l'utilisation des privilèges, aidant à détecter les attaques d'escalade de privilèges, les menaces internes et les activités administratives non autorisées. L'événement capture des informations granulaires, y compris quel privilège a été utilisé, par qui, contre quel objet, et par quel processus, le rendant inestimable pour les enquêtes judiciaires et les rapports de conformité.
Comment puis-je réduire le volume des événements d'ID d'événement 4674 sans perdre la visibilité de sécurité ?+
Pour gérer le volume de l'ID d'événement 4674 tout en maintenant la visibilité de la sécurité, configurez les stratégies d'audit pour se concentrer uniquement sur les privilèges sensibles en activant 'Audit Sensitive Privilege Use' au lieu de 'Audit Non Sensitive Privilege Use'. Utilisez la stratégie de groupe pour exclure les processus système de routine de la génération de ces événements, implémentez le transfert de journaux vers un stockage centralisé avec des politiques de rétention, et créez des vues filtrées qui se concentrent sur les privilèges à haut risque comme SeDebugPrivilege, SeBackupPrivilege et SeTakeOwnershipPrivilege. Envisagez d'utiliser des scripts PowerShell pour agréger et résumer l'utilisation de privilèges de routine tout en alertant sur les modèles anormaux.
Quels privilèges dans l'ID d'événement 4674 devrais-je surveiller de plus près pour les menaces de sécurité ?+
Concentrez la surveillance sur ces privilèges à haut risque : SeDebugPrivilege (débogage de processus et accès à la mémoire), SeBackupPrivilege et SeRestorePrivilege (contournement du système de fichiers), SeTakeOwnershipPrivilege (changement de propriété d'objet), SeLoadDriverPrivilege (chargement de pilote du noyau), SeSystemtimePrivilege (manipulation de l'heure système), SeCreateTokenPrivilege (création de jeton), et SeAssignPrimaryTokenPrivilege (attribution de jeton). Ces privilèges peuvent être abusés pour l'escalade de privilèges, l'exfiltration de données, les mécanismes de persistance et la compromission du système. Des schémas d'utilisation inhabituels, en particulier par des comptes non administratifs ou en dehors des heures de travail, nécessitent une enquête immédiate.
Comment puis-je corréler l'ID d'événement 4674 avec d'autres événements de sécurité Windows pour une meilleure détection des menaces ?+
Corréler l'ID d'événement 4674 avec l'ID d'événement 4624/4625 (événements de connexion) pour identifier l'utilisation des privilèges suite à des tentatives de connexion suspectes, l'ID d'événement 4648 (utilisation explicite des identifiants) pour détecter les mouvements latéraux, l'ID d'événement 4688 (création de processus) pour comprendre le contexte de l'utilisation des privilèges, et l'ID d'événement 4656/4658 (accès aux objets) pour voir quelles ressources ont été accédées avec des privilèges élevés. Utilisez PowerShell ou des outils SIEM pour créer des corrélations basées sur le temps dans des fenêtres de 1 à 5 minutes. Recherchez des modèles tels que des échecs de connexion suivis de l'utilisation de privilèges, des chaînes de processus inhabituelles exerçant plusieurs privilèges, ou l'utilisation de privilèges depuis des emplacements réseau inattendus.
Que dois-je faire si je détecte une utilisation suspecte de privilèges dans l'ID d'événement 4674 ?+
Lorsqu'une utilisation suspecte de privilèges est détectée, isolez immédiatement le compte affecté en le désactivant ou en changeant les mots de passe, examinez toutes les activités récentes de ce compte sur les systèmes, examinez le processus qui a exercé le privilège pour détecter des signes de logiciels malveillants, vérifiez les mécanismes de persistance comme les tâches planifiées ou les modifications du registre, analysez le trafic réseau pour détecter des tentatives d'exfiltration de données, et examinez les journaux d'accès aux fichiers pour détecter un accès non autorisé aux données. Documentez toutes les constatations pour la réponse aux incidents, conservez les fichiers journaux pertinents et les vidages de mémoire pour l'analyse judiciaire, et mettez en place une surveillance supplémentaire sur les comptes et systèmes associés. Envisagez de faire appel à des équipes de réponse aux incidents pour des attaques sophistiquées impliquant plusieurs escalades de privilèges.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive documentation of Windows security audit events including Event ID 4674 and privilege use monitoring configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial guide to configuring advanced audit policies for privilege use monitoring and security event generation.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#privilege-monitoring#event-id-4674

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...