ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event ID 4696 process token assignment logs in a professional SOC environment
Event ID 4696InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4696 – Microsoft-Windows-Security-Auditing : Jeton principal attribué au processus

L'ID d'événement 4696 enregistre lorsque Windows attribue un jeton principal à un nouveau processus lors de sa création, fournissant un contexte de sécurité détaillé pour l'audit des processus et l'analyse judiciaire.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4696Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4696 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour suivre les attributions de jetons principaux lors de la création de processus. Lorsque Windows crée un nouveau processus, le système doit attribuer un jeton d'accès principal qui définit le contexte de sécurité dans lequel le processus s'exécutera. Ce jeton contient l'identifiant de sécurité de l'utilisateur (SID), les appartenances aux groupes, les privilèges et d'autres attributs de sécurité qui déterminent les ressources auxquelles le processus peut accéder.

L'événement capture des détails complets sur le processus nouvellement créé et son contexte de sécurité. Les informations clés incluent le chemin exécutable du processus cible, l'ID du processus, les détails du processus parent et les informations complètes sur le jeton, y compris l'ID de session de connexion, le package d'authentification utilisé et les attributions de privilèges. Ces données granulaires rendent l'ID d'événement 4696 particulièrement précieux pour les enquêtes de sécurité, la surveillance de la conformité et l'analyse comportementale des processus système.

Dans les environnements d'entreprise, cet événement est crucial pour détecter les tentatives d'escalade de privilèges, l'exécution de processus non autorisés et les schémas d'activité suspects. Les équipes de sécurité corrèlent souvent les événements 4696 avec d'autres journaux d'audit pour construire des chronologies complètes de l'activité système. L'événement joue également un rôle vital dans les enquêtes judiciaires, fournissant aux enquêteurs des preuves détaillées des activités de création de processus et de leurs contextes de sécurité associés pendant des périodes spécifiques.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Création normale de processus par les utilisateurs lançant des applications ou des services système
  • Tâches planifiées s'exécutant avec des identifiants d'utilisateur spécifiques ou des comptes de service
  • Démarrage et redémarrage de services attribuant des jetons aux processus de service
  • Création de processus via des outils d'automatisation, des scripts ou des systèmes de gestion à distance
  • Processus système générant des processus enfants avec des contextes de sécurité hérités ou modifiés
  • Installations d'applications créant des processus temporaires avec des privilèges élevés
  • Logiciels de sécurité ou moteurs antivirus créant des processus de scan avec des jetons de niveau système
  • Sessions de services de bureau à distance ou de terminal lançant des processus utilisateur
  • Processus de mise à jour Windows ou de maintenance système créant des processus de travail temporaires
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les entrées spécifiques de l'ID d'événement 4696 pour comprendre le contexte de création du processus et les détails du jeton de sécurité.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4696 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 4696 pour examiner les détails
  6. Examinez les champs clés, y compris :
    • Sujet : Compte utilisateur qui a créé le processus
    • Nouvelles informations sur le processus : Exécutable cible et ID du processus
    • Informations sur le jeton : Contexte de sécurité et privilèges
    • Informations sur le processus : Détails du processus parent

Portez une attention particulière aux processus créés avec des privilèges élevés ou des relations parent-enfant inhabituelles qui pourraient indiquer une activité suspecte.

02

Interroger les événements avec le filtrage PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les entrées d'ID d'événement 4696 avec des critères de filtrage spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4696 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage horaire spécifique :
    $StartTime = (Get-Date).AddHours(-24)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrait des informations détaillées sur le processus :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} -MaxEvents 20 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
        ProcessId = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessId'} | Select-Object -ExpandProperty '#text'
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event4696_Analysis.csv" -NoTypeInformation
03

Configurer la politique d'audit des processus

Assurez-vous de configurer correctement la politique d'audit pour capturer les entrées de l'ID d'événement 4696 avec des niveaux de détail appropriés.

  1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc en tant qu'administrateur
  2. Accédez à Paramètres de sécuritéConfiguration avancée de la stratégie d'auditStratégies d'auditSuivi détaillé
  3. Double-cliquez sur Audit de la création de processus
  4. Cochez les options Succès et Échec
  5. Cliquez sur OK pour appliquer les modifications
  6. Pour les environnements de stratégie de groupe, configurez via :
    • Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  7. Vérifiez les paramètres d'audit actuels avec PowerShell :
    auditpol /get /category:"Detailed Tracking"
  8. Activez l'audit de la ligne de commande pour un suivi de processus amélioré :
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f
  9. Redémarrez le système ou exécutez gpupdate /force pour appliquer les modifications de la politique
Astuce pro : Activez l'audit de la ligne de commande pour capturer les arguments complets de la ligne de commande dans les événements de création de processus pour une meilleure analyse médico-légale.
04

Analyser les privilèges des jetons et le contexte de sécurité

Effectuer une analyse détaillée des informations de jeton de sécurité dans l'ID d'événement 4696 pour identifier une élévation de privilèges ou des attributions de jetons suspectes.

  1. Extraire les informations de jeton des événements en utilisant PowerShell :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $TokenType = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TokenType'} | Select-Object -ExpandProperty '#text'
    $ImpersonationLevel = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'ImpersonationLevel'} | Select-Object -ExpandProperty '#text'
    $NewProcessName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
    
    Write-Output "Process: $NewProcessName | Token Type: $TokenType | Impersonation: $ImpersonationLevel"
}
  2. Vérifier les processus avec des privilèges élevés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} | Where-Object {
    $_.Message -match "TokenType.*Primary" -and $_.Message -match "ImpersonationLevel.*%%1833"
} | Select-Object TimeCreated, Message
  3. Identifier les relations inhabituelles parent-enfant des processus :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} -MaxEvents 50 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $ParentProcessName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'ParentProcessName'} | Select-Object -ExpandProperty '#text'
    $NewProcessName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
    
    if ($ParentProcessName -and $NewProcessName) {
        "$ParentProcessName -> $NewProcessName"
    }
} | Group-Object | Sort-Object Count -Descending
  4. Surveiller les attributions de jetons de compte de service :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696} | Where-Object {
    $_.Message -match "SYSTEM|SERVICE|NETWORK SERVICE"
} | Select-Object TimeCreated, @{Name='ProcessInfo';Expression={($_.Message -split '\n' | Select-String 'New Process Name').ToString()}}
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance automatisée pour l'ID d'événement 4696 afin de détecter les modèles de création de processus suspects et les anomalies de sécurité.

  1. Créez un script de surveillance PowerShell:
    # Enregistrez sous Monitor-Event4696.ps1
param(
    [int]$CheckIntervalMinutes = 5,
    [string]$AlertLogPath = "C:\Logs\Event4696_Alerts.log"
)

$SuspiciousProcesses = @('powershell.exe', 'cmd.exe', 'wscript.exe', 'cscript.exe', 'mshta.exe')
$LastCheck = (Get-Date).AddMinutes(-$CheckIntervalMinutes)

while ($true) {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4696; StartTime=$LastCheck} -ErrorAction SilentlyContinue
    
    foreach ($Event in $Events) {
        $EventXml = [xml]$Event.ToXml()
        $ProcessName = $EventXml.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
        $SubjectUser = $EventXml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        
        if ($SuspiciousProcesses -contains (Split-Path $ProcessName -Leaf)) {
            $AlertMessage = "ALERTE : Création de processus suspect - $ProcessName par $SubjectUser à $($Event.TimeCreated)"
            Add-Content -Path $AlertLogPath -Value $AlertMessage
            Write-Warning $AlertMessage
        }
    }
    
    $LastCheck = Get-Date
    Start-Sleep -Seconds ($CheckIntervalMinutes * 60)
}
  2. Créez une tâche planifiée pour exécuter le script de surveillance:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-Event4696.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserID "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable

Register-ScheduledTask -TaskName "Monitor-Event4696" -Action $Action -Trigger $Trigger -Principal $Principal -Settings $Settings
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée:
    # Sur le serveur collecteur
wecutil qc /q

# Créez la configuration de l'abonnement
$SubscriptionXml = @"

    Event4696-Collection
    SourceInitiated
    Collecter l'ID d'événement 4696 des ordinateurs du domaine
    true
    http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
    Normal
    
            
                
            
        
    ]]>

"@

$SubscriptionXml | Out-File -FilePath "C:\Temp\Event4696-Subscription.xml"
wecutil cs "C:\Temp\Event4696-Subscription.xml"
Avertissement : Les environnements à fort volume peuvent générer des milliers d'entrées d'ID d'événement 4696. Mettez en œuvre des politiques appropriées de rétention et de filtrage des journaux pour gérer les exigences de stockage.

Aperçu

L'ID d'événement 4696 se déclenche chaque fois que Windows attribue un jeton principal à un processus nouvellement créé. Cet événement d'audit de sécurité capture des informations critiques sur la création de processus, y compris le contexte de sécurité, les informations d'identification de l'utilisateur et les privilèges de jeton associés au nouveau processus. L'événement fait partie du cadre d'audit de processus complet de Windows et apparaît dans le journal de sécurité lorsque l'audit de création de processus est activé via la stratégie de groupe ou la stratégie de sécurité locale.

Cet événement fournit aux enquêteurs judiciaires et aux administrateurs de sécurité une visibilité détaillée sur les activités de génération de processus sur les systèmes Windows. Chaque événement 4696 contient l'ID du processus, le chemin de l'exécutable, les informations sur le processus parent et les détails complets du jeton de sécurité, y compris le SID de l'utilisateur, la session de connexion et les affectations de privilèges. L'événement se déclenche immédiatement après la création réussie du processus mais avant que le processus ne commence son exécution, ce qui le rend précieux pour la surveillance en temps réel et l'analyse post-incident.

Comprendre l'ID d'événement 4696 est essentiel pour la surveillance de la sécurité, l'audit de conformité et les activités de réponse aux incidents. L'événement fonctionne en conjonction avec d'autres événements d'audit liés aux processus comme 4688 (création de processus) pour fournir une image complète de la gestion du cycle de vie des processus sur les systèmes Windows.

Questions Fréquentes

Que signifie l'ID d'événement 4696 et quand se produit-il ?+
L'ID d'événement 4696 indique que Windows a attribué un jeton d'accès principal à un processus nouvellement créé. Cet événement se produit chaque fois qu'un processus est créé sur le système et capture des informations détaillées sur le contexte de sécurité, y compris les informations d'identification de l'utilisateur, les privilèges et le type de jeton. L'événement se déclenche immédiatement après la création du processus mais avant que le processus ne commence son exécution, ce qui le rend précieux pour la surveillance de la sécurité et l'analyse judiciaire. Il fait partie du cadre d'audit complet de Windows et apparaît dans le journal de sécurité lorsque l'audit de création de processus est activé.
Comment activer la journalisation de l'ID d'événement 4696 sur mon système Windows ?+
Pour activer la journalisation de l'ID d'événement 4696, vous devez configurer l'audit de création de processus via la Stratégie de sécurité locale ou la Stratégie de groupe. Ouvrez secpol.msc en tant qu'administrateur, accédez à Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Suivi détaillé, et activez 'Audit de la création de processus' pour les événements de réussite et d'échec. Dans les environnements de domaine, configurez cela via la Stratégie de groupe sous Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit. Après activation, exécutez 'gpupdate /force' ou redémarrez le système pour appliquer les modifications.
Quelles informations l'ID d'événement 4696 contient-il qui sont utiles pour l'analyse de sécurité ?+
L'ID d'événement 4696 contient des informations de sécurité complètes, y compris le compte utilisateur sujet qui a créé le processus, le chemin d'exécution du processus cible et l'ID du processus, les informations sur le processus parent, les détails du jeton de sécurité (type, niveau d'usurpation, privilèges), l'ID de session de connexion et le package d'authentification utilisé. Ces données sont cruciales pour détecter les tentatives d'escalade de privilèges, l'exécution de processus non autorisés et les relations suspectes entre processus parent-enfant. Les équipes de sécurité utilisent ces informations pour construire des chronologies d'exécution de processus, identifier des modèles de comportement anormaux et mener des enquêtes judiciaires sur les incidents de sécurité.
Comment puis-je filtrer les entrées d'ID d'événement 4696 pour me concentrer sur une activité suspecte ?+
Filtrer les entrées d'ID d'événement 4696 en se concentrant sur les processus avec des privilèges élevés, des relations parent-enfant inhabituelles, ou une exécution par des comptes de service. Utilisez PowerShell pour interroger les événements avec des critères spécifiques comme les processus créés par SYSTEM ou des comptes de service, des exécutables lancés depuis des emplacements inhabituels (répertoires temporaires, profils utilisateur), ou des processus avec des jetons principaux ayant des affectations de haut privilège. Recherchez des modèles tels que cmd.exe ou powershell.exe générés par des processus parents inattendus, ou des processus système légitimes créant des processus enfants avec des contextes de sécurité différents de ceux attendus.
Quelle est la différence entre l'ID d'événement 4696 et l'ID d'événement 4688 ?+
L'ID d'événement 4696 suit spécifiquement l'attribution de jetons principaux aux processus, en se concentrant sur le contexte de sécurité et les détails du jeton, tandis que l'ID d'événement 4688 enregistre les événements généraux de création de processus en mettant l'accent sur le chemin exécutable, les arguments de ligne de commande et les informations de processus de base. L'ID d'événement 4696 fournit une analyse plus approfondie des jetons de sécurité, y compris les niveaux d'usurpation, les attributions de privilèges et le contexte d'authentification, ce qui le rend plus précieux pour les enquêtes de sécurité. L'ID d'événement 4688 est plus large et capture toute l'activité de création de processus avec les détails de la ligne de commande lorsqu'il est activé. Les deux événements se complètent dans des stratégies de surveillance de processus complètes.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including process creation monitoring and audit policy configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for detailed tracking and process creation auditing.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#process-monitoring#event-id-4696

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...