ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer Security logs and audit policy management interface
Event ID 4692InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4692 – Microsoft-Windows-Security-Auditing : Une tentative de sauvegarde de la politique d'audit de sécurité a été effectuée

L'ID d'événement 4692 se déclenche lorsque Windows tente de sauvegarder la configuration de la politique d'audit de sécurité. Cet événement d'audit de sécurité suit les opérations de sauvegarde de la politique à des fins de conformité et d'enquête judiciaire.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4692Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4692 représente un composant critique du cadre d'audit de sécurité de Windows, spécifiquement conçu pour suivre les tentatives de sauvegarde des configurations de la politique d'audit de sécurité. Cet événement est généré par le fournisseur Microsoft-Windows-Security-Auditing et apparaît exclusivement dans le journal des événements de sécurité.

L'événement capture des informations complètes sur l'opération de sauvegarde, y compris le compte utilisateur qui a initié la sauvegarde, le processus responsable de l'opération, et les horodatages pour l'analyse judiciaire. La fonctionnalité de sauvegarde de la politique d'audit est essentielle pour maintenir des configurations de sécurité cohérentes dans les environnements d'entreprise et assurer la conformité aux exigences réglementaires.

Lorsque cet événement se déclenche, il indique qu'une opération de sauvegarde manuelle a été initiée via des outils administratifs, ou qu'un processus automatisé a tenté de préserver les paramètres actuels de la politique d'audit. L'événement fournit une visibilité sur les activités de gestion des politiques, ce qui est crucial pour les équipes de sécurité surveillant les changements de configuration et maintenant les pistes d'audit.

Dans les environnements Windows modernes, cet événement est souvent corrélé avec les déploiements de stratégies de groupe, les scripts d'automatisation basés sur PowerShell, ou les outils de gestion de sécurité tiers qui interagissent avec les politiques d'audit de Windows. La structure de l'événement inclut des informations détaillées sur le statut de réussite ou d'échec de l'opération de sauvegarde, permettant aux administrateurs d'identifier et de résoudre rapidement les problèmes de gestion des politiques.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Exécution manuelle de la commande auditpol /backup par les administrateurs
  • Scripts PowerShell utilisant le cmdlet Backup-AuditPolicy ou des fonctions équivalentes
  • Opérations de gestion des stratégies de groupe qui sauvegardent les configurations d'audit existantes
  • Outils de gestion de la sécurité tiers effectuant des opérations de sauvegarde de stratégie
  • Scripts de sauvegarde automatisés planifiés via le Planificateur de tâches
  • Opérations de restauration du système incluant les configurations de stratégie d'audit
  • Outils de conformité de sécurité d'entreprise sauvegardant les paramètres d'audit
  • Processus de mise à jour Windows qui préservent la stratégie d'audit lors des mises à jour système
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4692 pour comprendre le contexte de la tentative de sauvegarde.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal pour l'ID d'événement 4692 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4692 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4692 pour voir des informations détaillées
  6. Consultez l'onglet Général pour obtenir des informations de base sur l'événement, y compris l'horodatage et le compte utilisateur
  7. Vérifiez l'onglet Détails pour les données XML contenant des informations sur le processus et les paramètres de sauvegarde
  8. Notez la section Sujet montrant l'identifiant de sécurité et le nom de compte de l'utilisateur qui a initié la sauvegarde
Astuce pro : Le champ Catégorie de tâche affichera "Changement de politique d'audit" ce qui aide à catégoriser cela comme une opération de gestion de politique plutôt qu'une violation de sécurité.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour récupérer et analyser de manière programmatique les occurrences de l'ID d'événement 4692 pour l'analyse des motifs.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour récupérer les entrées récentes de l'ID d'événement 4692 :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4692} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  1. Pour une analyse plus détaillée, extrayez des propriétés spécifiques :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4692} -MaxEvents 10 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
        BackupFile = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'BackupFile'} | Select-Object -ExpandProperty '#text'
    }
}
  1. Pour vérifier les tentatives de sauvegarde échouées, corrélez avec d'autres événements de politique d'audit :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719,4692} -MaxEvents 20 | Sort-Object TimeCreated
Avertissement : L'exécution de ces commandes sur des contrôleurs de domaine ou des systèmes à fort trafic peut renvoyer de grands ensembles de résultats. Utilisez le paramètre -MaxEvents pour limiter la sortie.
03

Vérifier la configuration de la politique d'audit

Vérifiez les paramètres actuels de la stratégie d'audit pour comprendre quelle configuration est sauvegardée et assurer une application correcte de la stratégie.

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Affichez les paramètres actuels de la stratégie d'audit :
auditpol /get /category:*
  1. Vérifiez les changements récents de stratégie qui pourraient déclencher des opérations de sauvegarde :
auditpol /get /category:"Policy Change"
  1. Examinez l'emplacement du fichier de sauvegarde si spécifié dans les détails de l'événement :
Get-ChildItem -Path "C:\Windows\System32\config" -Filter "*.csv" | Where-Object {$_.Name -like "*audit*"} | Sort-Object LastWriteTime -Descending
  1. Vérifiez les paramètres d'audit de la stratégie de groupe à l'aide de PowerShell :
Get-GPO -All | Where-Object {$_.DisplayName -like "*audit*"} | ForEach-Object {
    Write-Host "GPO: $($_.DisplayName)"
    Get-GPOReport -Guid $_.Id -ReportType Xml | Select-String -Pattern "audit"
}
  1. Vérifiez si l'opération de sauvegarde s'est terminée avec succès en examinant le fichier de sauvegarde :
$BackupPath = "C:\temp\audit_backup.csv"
if (Test-Path $BackupPath) {
    Import-Csv $BackupPath | Select-Object -First 10
} else {
    Write-Host "Fichier de sauvegarde non trouvé à l'emplacement attendu"
}
04

Enquêter sur le processus et le contexte utilisateur

Analysez le processus et le contexte utilisateur qui ont initié la sauvegarde de la politique d'audit pour déterminer si l'opération était légitime ou nécessite une enquête plus approfondie.

  1. Extraire des informations détaillées sur le processus à partir de l'XML de l'événement :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4692} -MaxEvents 5
foreach ($Event in $Events) {
    $xml = [xml]$Event.ToXml()
    $ProcessId = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'}).'#text'
    $ProcessName = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
    $SubjectUserName = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
    
    Write-Host "Heure de l'événement : $($Event.TimeCreated)"
    Write-Host "Processus : $ProcessName (PID : $ProcessId)"
    Write-Host "Utilisateur : $SubjectUserName"
    Write-Host "---"
}
  1. Vérifiez si le processus est toujours en cours d'exécution et recueillez des informations contextuelles supplémentaires :
Get-Process | Where-Object {$_.ProcessName -like "*audit*" -or $_.ProcessName -eq "powershell" -or $_.ProcessName -eq "cmd"} | Select-Object ProcessName, Id, StartTime, CPU
  1. Examinez les événements de connexion récents pour le compte utilisateur qui a initié la sauvegarde :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} -MaxEvents 20 | Where-Object {$_.Message -like "*username_from_event*"} | Format-Table TimeCreated, Id, Message -Wrap
  1. Vérifiez les tâches planifiées qui pourraient effectuer des sauvegardes automatisées :
Get-ScheduledTask | Where-Object {$_.TaskName -like "*audit*" -or $_.TaskName -like "*backup*"} | ForEach-Object {
    $TaskInfo = Get-ScheduledTaskInfo -TaskName $_.TaskName
    [PSCustomObject]@{
        TaskName = $_.TaskName
        State = $_.State
        LastRunTime = $TaskInfo.LastRunTime
        NextRunTime = $TaskInfo.NextRunTime
        Author = $_.Author
    }
}
Astuce pro : Recoupez le nom du processus et le compte utilisateur avec les outils d'automatisation approuvés de votre organisation et les comptes de service pour identifier rapidement les opérations légitimes.
05

Configurer la surveillance avancée et les alertes

Mettre en œuvre une surveillance complète des opérations de sauvegarde de la politique d'audit pour garantir une supervision appropriée et une réponse rapide aux modifications non autorisées.

  1. Créer un abonnement personnalisé de transfert d'événements Windows pour une surveillance centralisée :
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AuditPolicyBackup</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Surveiller les opérations de sauvegarde de la politique d'audit</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4692]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  1. Configurer des alertes basées sur PowerShell en utilisant la surveillance du journal des événements Windows :
# Créer un script de surveillance
$ScriptBlock = {
    Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4692" -Action {
        $Event = $Event.SourceEventArgs.NewEvent
        $Message = "Sauvegarde de la politique d'audit détectée : Utilisateur=$($Event.User), Heure=$($Event.TimeGenerated)"
        Write-EventLog -LogName Application -Source "Custom Monitor" -EventId 1001 -Message $Message
        # Ajouter une notification par email ou une intégration SIEM ici
    }
}

# Enregistrer le travail de surveillance des événements
Start-Job -ScriptBlock $ScriptBlock -Name "AuditPolicyMonitor"
  1. Configurer la stratégie de groupe pour auditer les événements de changement de politique :

Naviguer vers Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'auditChangement de politique et activer :

  • Changement de politique d'audit - Succès et Échec
  • Changement de politique d'authentification - Succès et Échec
  1. Créer une fonction PowerShell personnalisée pour la surveillance régulière des sauvegardes de la politique d'audit :
function Monitor-AuditPolicyBackups {
    param(
        [int]$Hours = 24,
        [string]$OutputPath = "C:\temp\audit_policy_report.csv"
    )
    
    $StartTime = (Get-Date).AddHours(-$Hours)
    $Events = Get-WinEvent -FilterHashtable @{
        LogName = 'Security'
        Id = 4692
        StartTime = $StartTime
    } -ErrorAction SilentlyContinue
    
    $Results = foreach ($Event in $Events) {
        $xml = [xml]$Event.ToXml()
        [PSCustomObject]@{
            TimeCreated = $Event.TimeCreated
            UserName = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
            ProcessName = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
            BackupFile = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'BackupFile'}).'#text'
        }
    }
    
    $Results | Export-Csv -Path $OutputPath -NoTypeInformation
    Write-Host "Rapport enregistré à : $OutputPath"
    return $Results
}

# Exemple d'utilisation
Monitor-AuditPolicyBackups -Hours 168 # Derniers 7 jours
Avertissement : Assurez-vous que les autorisations appropriées sont configurées pour le transfert d'événements et les scripts de surveillance afin de prévenir tout accès non autorisé aux données des événements de sécurité.

Aperçu

L'ID d'événement 4692 est un événement d'audit de sécurité qui se déclenche chaque fois que Windows tente de sauvegarder la configuration de la politique d'audit de sécurité. Cet événement apparaît dans le journal de sécurité et fait partie du système de suivi complet des politiques d'audit de Windows. L'événement capture des détails sur qui a initié la sauvegarde, quand elle a eu lieu, et si l'opération a réussi ou échoué.

Cet événement est particulièrement pertinent dans les environnements d'entreprise où les configurations de politique d'audit doivent être préservées pour des exigences de conformité ou des scénarios de reprise après sinistre. L'opération de sauvegarde peut être déclenchée via des outils de gestion de stratégie de groupe, des cmdlets PowerShell, ou des utilitaires administratifs comme auditpol.exe. Les administrateurs de sécurité comptent sur cet événement pour suivre les changements de configurations d'audit et assurer une bonne gouvernance des politiques de journalisation de sécurité.

L'événement se déclenche indépendamment du succès de l'opération de sauvegarde, ce qui le rend précieux pour le dépannage des tentatives de sauvegarde de politique échouées. Dans Windows Server 2025 et les dernières versions de Windows 11, la journalisation améliorée fournit un contexte supplémentaire sur la destination de la sauvegarde et la portée de la politique.

Questions Fréquentes

Que signifie l'ID d'événement 4692 et quand se produit-il ?+
L'ID d'événement 4692 indique que Windows a tenté de sauvegarder la configuration de la politique d'audit de sécurité. Cet événement se déclenche chaque fois que l'opération de sauvegarde de la politique d'audit est initiée, que ce soit par des commandes manuelles comme 'auditpol /backup', des cmdlets PowerShell, des opérations de stratégie de groupe ou des scripts automatisés. L'événement apparaît dans le journal de sécurité et fournit des détails sur qui a initié la sauvegarde, quand elle a eu lieu, et le processus responsable de l'opération. Il s'agit d'une opération administrative normale utilisée à des fins de conformité, de reprise après sinistre ou de gestion de la configuration.
Comment puis-je déterminer si un ID d'événement 4692 représente une opération de sauvegarde légitime ?+
Pour vérifier la légitimité, examinez les détails de l'événement, y compris le compte utilisateur, le nom du processus et le moment. Les sauvegardes légitimes proviennent généralement de comptes administratifs connus, de processus reconnus comme auditpol.exe ou PowerShell, et se produisent pendant les fenêtres de maintenance programmées. Recoupez l'horodatage de l'événement avec les calendriers de sauvegarde de votre organisation, les dossiers de gestion des changements et les outils d'automatisation approuvés. Vérifiez si le fichier de sauvegarde a été créé avec succès et examinez les déploiements récents de stratégies de groupe qui pourraient déclencher des sauvegardes de stratégies. Un moment inhabituel, des comptes utilisateurs inconnus ou des noms de processus suspects justifient une enquête plus approfondie.
L'ID d'événement 4692 peut-il indiquer une menace de sécurité ou une activité malveillante ?+
Bien que l'ID d'événement 4692 représente généralement une activité administrative légitime, il pourrait potentiellement indiquer un comportement malveillant si un attaquant tente de sauvegarder des politiques d'audit avant de procéder à des modifications non autorisées. Les signaux d'alerte incluent des sauvegardes initiées par des comptes utilisateurs inattendus, un timing inhabituel (en dehors des heures de bureau), ou une corrélation avec d'autres événements suspects comme une élévation de privilèges ou des modifications de politiques. Cependant, l'opération de sauvegarde elle-même n'est pas intrinsèquement malveillante - c'est le contexte et les actions subséquentes qui déterminent le niveau de menace. Surveillez les schémas de sauvegarde de politiques suivis de changements de politiques ou d'indicateurs de compromission du système.
Quelles informations sont capturées dans l'ID d'événement 4692 et comment puis-je les extraire ?+
L'ID d'événement 4692 capture des informations complètes, y compris l'identifiant de sécurité de l'utilisateur sujet et le nom du compte, l'ID et le nom du processus qui a initié la sauvegarde, les détails de l'horodatage et potentiellement l'emplacement du fichier de sauvegarde. Pour extraire ces informations, utilisez PowerShell avec Get-WinEvent et l'analyse XML pour accéder aux champs EventData. Les champs clés incluent SubjectUserName, ProcessName, ProcessId et BackupFile. L'événement inclut également des informations sur la session de connexion et peut contenir un contexte supplémentaire sur la portée et la destination de l'opération de sauvegarde. Utilisez la structure XML de l'événement pour extraire et analyser ces détails de manière programmatique à des fins de rapport ou d'enquête.
Comment dois-je configurer la surveillance et les alertes pour l'ID d'événement 4692 dans un environnement d'entreprise ?+
Pour la surveillance d'entreprise, implémentez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 4692 de tous les systèmes du domaine vers un serveur collecteur dédié. Configurez l'intégration SIEM pour corréler ces événements avec d'autres activités de sécurité et établir des modèles de référence pour les opérations de sauvegarde légitimes. Mettez en place des alertes automatisées pour les sauvegardes se produisant en dehors des fenêtres de maintenance approuvées ou initiées par des comptes non autorisés. Utilisez des scripts de surveillance basés sur PowerShell avec des tâches planifiées pour générer des rapports réguliers sur les activités de sauvegarde de la politique d'audit. Envisagez de mettre en œuvre des flux de travail d'approbation pour les modifications de politique et assurez-vous que toutes les opérations de sauvegarde sont enregistrées dans votre système de gestion des changements à des fins de conformité et de traçabilité d'audit.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including policy change tracking and audit configuration management.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies and understanding audit policy backup and restore operations.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#audit-policy#event-id-4692

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...