ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs on a cybersecurity monitoring dashboard
Event ID 4675InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4675 – Microsoft-Windows-Security-Auditing : Attribution des droits de connexion du compte utilisateur

L'ID d'événement 4675 enregistre lorsque les droits de connexion d'un compte utilisateur sont attribués ou supprimés, généralement lors de l'application de la stratégie de groupe ou de modifications manuelles de la politique de sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4675Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4675 représente un mécanisme fondamental d'audit de sécurité dans Windows qui suit les modifications des attributions de droits utilisateur. Lorsque Windows traite les changements de politique de sécurité—que ce soit par des cycles de rafraîchissement de la stratégie de groupe, des modifications manuelles de la politique de sécurité locale, ou des mises à jour programmatiques de descripteurs de sécurité—cet événement capture les droits spécifiques accordés ou révoqués.

La structure de l'événement comprend plusieurs champs critiques : le compte cible recevant ou perdant des droits, le privilège spécifique modifié (tel que SeServiceLogonRight ou SeRemoteInteractiveLogonRight), le processus responsable du changement, et l'identifiant de sécurité du principal initiateur. Ce détail granulaire permet aux administrateurs de retracer les modifications de privilèges jusqu'à leur source.

Dans les environnements de domaine, l'ID d'événement 4675 apparaît fréquemment lors des cycles de traitement de la stratégie de groupe, généralement toutes les 90-120 minutes sur les postes de travail et toutes les 5 minutes sur les contrôleurs de domaine. L'événement aide à distinguer entre les changements attendus induits par la politique et les tentatives potentiellement malveillantes d'escalade de privilèges. Les versions modernes de Windows en 2026 ont amélioré cet événement avec des champs de contexte supplémentaires qui améliorent les capacités d'analyse judiciaire.

Le moment et la fréquence de ces événements peuvent indiquer des problèmes de santé du système, tels que des échecs de traitement de la stratégie de groupe ou des problèmes d'authentification. Les systèmes de gestion des informations et des événements de sécurité (SIEM) corrèlent souvent l'ID d'événement 4675 avec d'autres événements de sécurité pour détecter des schémas d'escalade de privilèges et des tentatives d'accès non autorisées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Traitement des stratégies de groupe appliquant des attributions de droits utilisateur à partir de stratégies de domaine ou locales
  • Modification manuelle de la stratégie de sécurité locale via secpol.msc ou l'éditeur de stratégie de groupe
  • Installation de services ou modifications de configuration nécessitant des droits de connexion spécifiques
  • Outils d'administration modifiant les privilèges des comptes utilisateur par programmation
  • Application de modèles de sécurité via secedit.exe ou des utilitaires similaires
  • Mise à jour Windows ou opérations de maintenance système ajustant les droits des comptes de service
  • Installation de logiciels tiers nécessitant des privilèges élevés ou des droits de service
  • Scripts PowerShell ou outils d'automatisation modifiant les politiques de sécurité
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4675 pour comprendre quels droits ont été modifiés et pour quel compte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4675 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4675 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 4675 pour examiner les détails
  6. Consultez l'onglet Général pour le nom du compte, le nom du privilège et les informations sur le processus
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant l'ID de sécurité et les détails du processus

Les champs clés à examiner incluent l'ID de sécurité du sujet (qui a initié le changement), le compte cible (quel compte a été modifié), et les privilèges (quels droits spécifiques ont été attribués ou retirés).

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4675 sur des périodes spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4675 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements pour une plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        PrivilegeName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event4675_Analysis.csv" -NoTypeInformation
03

Analyser le traitement des stratégies de groupe

Enquêter pour savoir si les occurrences de l'ID d'événement 4675 sont corrélées avec les cycles de traitement des stratégies de groupe, qui est la cause légitime la plus courante.

  1. Vérifiez les événements de traitement des stratégies de groupe dans le journal Système :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 20
  2. Examinez les journaux opérationnels des stratégies de groupe :
    Get-WinEvent -LogName 'Microsoft-Windows-GroupPolicy/Operational' -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)}
  3. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc) pour examiner les stratégies appliquées
  4. Accédez à l'ordinateur cible ou à l'objet utilisateur et vérifiez les Résultats des stratégies de groupe
  5. Exécutez l'actualisation des stratégies de groupe pour tester si l'ID d'événement 4675 apparaît :
    gpupdate /force
  6. Surveillez le journal de sécurité pendant le traitement des stratégies de groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675; StartTime=(Get-Date).AddMinutes(-5)} | Format-Table TimeCreated, Message -Wrap
  7. Vérifiez les affectations actuelles des droits utilisateur :
    secedit /export /cfg C:\Temp\current_security_policy.inf
notepad C:\Temp\current_security_policy.inf
Astuce pro : Le traitement des stratégies de groupe génère généralement plusieurs entrées d'ID d'événement 4675 lorsqu'il applique diverses affectations de droits utilisateur. C'est un comportement normal dans les environnements de domaine.
04

Enquêter sur les modifications du compte de service

Examinez si l'ID d'événement 4675 est lié aux modifications de privilèges de compte de service, qui se produisent souvent lors de l'installation de logiciels ou de la configuration de services.

  1. Vérifiez les installations et modifications récentes de services :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036,7040} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  2. Examinez les services qui s'exécutent sous des comptes spécifiques :
    Get-WmiObject Win32_Service | Where-Object {$_.StartName -ne 'LocalSystem' -and $_.StartName -ne 'NT AUTHORITY\LocalService' -and $_.StartName -ne 'NT AUTHORITY\NetworkService'} | Select-Object Name, StartName, State
  3. Examinez les journaux de Windows Installer pour les installations liées aux services :
    Get-WinEvent -LogName 'Application' | Where-Object {$_.ProviderName -eq 'MsiInstaller' -and $_.TimeCreated -gt (Get-Date).AddDays(-1)} | Format-Table TimeCreated, Message -Wrap
  4. Vérifiez les installations récentes de logiciels dans Programmes et fonctionnalités :
    Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Application'} | Where-Object {$_.Message -like '*install*' -and $_.TimeCreated -gt (Get-Date).AddDays(-1)}
  5. Examinez la stratégie de sécurité locale pour les droits de connexion de service :
    Ouvrez Stratégie de sécurité locale (secpol.msc) → Stratégies localesAttribution des droits utilisateurSe connecter en tant que service
  6. Corrélez les modifications de service avec le moment de l'ID d'événement 4675 :
    $ServiceEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036} -MaxEvents 20
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675} -MaxEvents 20
Compare-Object $ServiceEvents.TimeCreated $SecurityEvents.TimeCreated -IncludeEqual
05

Analyse et surveillance médico-légales avancées

Mettre en œuvre une surveillance complète et une analyse médico-légale pour détecter les modifications de privilèges non autorisées et établir des modèles de comportement de référence.

  1. Créer un script de surveillance PowerShell pour le suivi continu de l'ID d'événement 4675:
    # Enregistrer sous Monitor-Event4675.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
while ($true) {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675; StartTime=$LastCheck}
    foreach ($Event in $Events) {
        $EventXML = [xml]$Event.ToXml()
        $SubjectUser = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        $TargetUser = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        $Privilege = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'}).'#text'
        
        Write-Host "[$(Get-Date)] Event ID 4675 - Subject: $SubjectUser, Target: $TargetUser, Privilege: $Privilege" -ForegroundColor Yellow
    }
    $LastCheck = Get-Date
    Start-Sleep -Seconds 300
}
  2. Configurer le transfert d'événements Windows pour une surveillance centralisée:
    Configurer le service de collecte d'événements: wecutil qc
    Créer un abonnement personnalisé pour l'ID d'événement 4675
  3. Mettre en œuvre une surveillance du registre pour les changements de politique de sécurité:
    $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"
Get-ItemProperty -Path $RegPath | Format-List
  4. Créer une documentation de référence des modèles normaux de l'ID d'événement 4675:
    # Générer un rapport de référence
$BaselineEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675} -MaxEvents 200
$BaselineEvents | Group-Object {($_.Message -split '\n')[0]} | Sort-Object Count -Descending | Format-Table Name, Count -Wrap
  5. Configurer la taille et la rétention du journal des événements Windows pour une couverture médico-légale adéquate:
    wevtutil sl Security /ms:1073741824  # Définir le journal de sécurité à 1GB
wevtutil sl Security /rt:false       # Désactiver le remplacement du journal
  6. Intégrer avec des outils SIEM ou d'analyse de journaux en utilisant WinLogBeat ou des agents similaires
  7. Configurer des alertes automatisées pour les modèles suspects:
    # Alerte sur l'ID d'événement 4675 en dehors des heures de bureau
$CurrentHour = (Get-Date).Hour
if ($CurrentHour -lt 8 -or $CurrentHour -gt 18) {
    $RecentEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4675; StartTime=(Get-Date).AddMinutes(-10)}
    if ($RecentEvents.Count -gt 0) {
        # Envoyer une alerte - implémentez votre méthode de notification
        Write-Warning "Activité suspecte de l'ID d'événement 4675 détectée en dehors des heures de bureau"
    }
}
Avertissement: Un enregistrement excessif de l'ID d'événement 4675 peut affecter les performances du système. Surveillez la taille des journaux et mettez en œuvre des politiques de rétention appropriées.

Aperçu

L'ID d'événement 4675 se déclenche lorsque Windows attribue ou supprime les droits de connexion de compte utilisateur via l'Autorité de sécurité locale (LSA). Cet événement apparaît dans le journal de sécurité chaque fois que le système modifie les attributions de droits utilisateur, généralement déclenché lors du traitement des stratégies de groupe, des modifications manuelles de la politique de sécurité ou des modifications des privilèges administratifs.

L'événement capture les modifications critiques de la politique de sécurité qui affectent qui peut se connecter aux systèmes et comment. Il enregistre à la fois l'attribution et la suppression des droits de connexion tels que 'Se connecter en tant que service', 'Se connecter localement', 'Se connecter via les services Bureau à distance', et d'autres attributions de droits utilisateur définies dans la politique de sécurité locale.

Cet événement d'audit devient particulièrement précieux dans les environnements où la conformité nécessite le suivi de l'escalade des privilèges et des modifications du contrôle d'accès. Les équipes de sécurité s'appuient sur l'ID d'événement 4675 pour surveiller les changements de privilèges non autorisés et maintenir des pistes d'audit pour la conformité réglementaire. L'événement fournit des informations détaillées sur les droits qui ont été modifiés, pour quels comptes, et par quel processus ou utilisateur le changement a été initié.

Questions Fréquentes

Que signifie l'ID d'événement 4675 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4675 indique que des droits de connexion de compte utilisateur ont été attribués ou supprimés sur le système. Cela est généralement un comportement normal lors du traitement des stratégies de groupe, des installations de services ou des modifications de la politique de sécurité administrative. Vous devriez vous inquiéter si ces événements se produisent en dehors des heures de bureau normales, affectent des comptes de service critiques sans gestion de changement correspondante, ou se produisent fréquemment sans cause administrative claire. L'événement lui-même est informatif, mais des schémas de modifications de privilèges inattendues peuvent indiquer des problèmes de sécurité ou des tentatives d'accès non autorisées.
Comment puis-je distinguer entre les modifications légitimes de la stratégie de groupe et les menaces de sécurité potentielles dans l'ID d'événement 4675 ?+
Les entrées légitimes de l'ID d'événement 4675 pilotées par la stratégie de groupe se produisent généralement en grappes lors des cycles de rafraîchissement planifiés de la stratégie de groupe (toutes les 90-120 minutes pour les postes de travail, toutes les 5 minutes pour les contrôleurs de domaine). Elles impliquent généralement des comptes système comme 'SYSTEM' ou 'NETWORK SERVICE' en tant que sujet, et le timing correspond aux événements de traitement de la stratégie de groupe (ID d'événement 1502, 1503) dans le journal système. Les événements suspects peuvent montrer des comptes utilisateurs effectuant des changements de privilèges en dehors des heures normales, des modifications de comptes de service sensibles, ou des escalades de privilèges qui ne correspondent pas aux processus de gestion des changements approuvés.
Pourquoi vois-je plusieurs entrées d'ID d'événement 4675 en succession rapide ?+
Plusieurs entrées rapides d'ID d'événement 4675 sont courantes lors du traitement des stratégies de groupe, des installations de logiciels ou des mises à jour système. Chaque attribution de droits utilisateur génère un événement distinct, donc l'application d'une stratégie de groupe complète ou l'installation de logiciels configurant plusieurs services peut créer des dizaines de ces événements en quelques minutes. C'est un comportement normal. Cependant, si vous voyez des flux continus de ces événements sans activité administrative correspondante, cela pourrait indiquer un service défaillant, un traitement de stratégie de groupe bloqué, ou des tentatives potentiellement malveillantes de modification automatisée des privilèges.
L'ID d'événement 4675 peut-il m'aider à suivre qui a effectué des changements de privilèges non autorisés ?+
Oui, l'ID d'événement 4675 contient les champs ID de sécurité du sujet et Nom d'utilisateur du sujet qui identifient qui ou quoi a initié le changement de privilège. Cependant, de nombreux changements légitimes sont effectués par des processus système (compte SYSTEM) lors d'opérations automatisées. Pour les changements initiés par l'utilisateur, l'événement affichera le compte utilisateur réel. Pour suivre efficacement les changements non autorisés, corrélez l'ID d'événement 4675 avec les événements de connexion (4624, 4625), les événements d'utilisation de privilèges (4672, 4673) et les événements de création de processus (4688) pour construire une image complète de l'activité administrative et identifier les modifications de privilèges potentiellement non autorisées.
Comment devrais-je configurer l'audit et la rétention pour l'ID d'événement 4675 dans un environnement de conformité ?+
Pour les environnements de conformité, activez l'audit d'accès aux objets et l'audit d'attribution des droits utilisateur via la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Utilisation des privilèges. Réglez le journal des événements de sécurité à au moins 1 Go avec archivage plutôt que réécriture pour assurer une rétention adéquate. Envisagez de transférer l'ID d'événement 4675 vers un système SIEM centralisé pour un stockage à long terme et une analyse de corrélation. Documentez les modèles de référence de l'activité normale de l'ID d'événement 4675 pour distinguer entre les opérations de routine et les incidents de sécurité potentiels. Mettez en œuvre une surveillance automatisée pour les événements se produisant en dehors des heures ouvrables normales ou impliquant des comptes de service sensibles.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4675 and related privilege assignment events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies to capture user rights assignment events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4675#user-rights

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...