ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with Event ID 4697 service installation events on a SOC monitoring dashboard
Event ID 4697InformationSecurity-AuditingWindows

ID d'événement Windows 4697 – Audit de sécurité : Un service a été installé sur le système

L'ID d'événement 4697 se déclenche lorsqu'un nouveau service Windows est installé sur le système. Cet événement d'audit de sécurité aide à suivre les installations de services à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4697Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4697 représente un point d'audit de sécurité critique qui suit les installations de services sur les systèmes Windows. Lorsque Windows détecte un nouveau service enregistré dans le Gestionnaire de contrôle des services (SCM), il génère cet événement pour fournir aux administrateurs une visibilité sur les modifications du système pouvant affecter la posture de sécurité.

L'événement contient des détails complets sur le service installé, y compris le nom du service, le nom d'affichage, le chemin de l'exécutable, le type de service (pilote de noyau, pilote de système de fichiers, service Win32, etc.), le type de démarrage (automatique, manuel, désactivé) et le contexte de sécurité sous lequel le service s'exécutera. Ces informations s'avèrent inestimables lors de l'enquête sur des incidents de sécurité potentiels ou de la réalisation d'audits de conformité.

Dans les environnements Windows modernes, cet événement est devenu de plus en plus important en raison de la prévalence des menaces persistantes avancées (APT) et des logiciels malveillants qui exploitent l'installation de services pour la persistance. Les attaquants installent souvent des services malveillants pour maintenir l'accès aux systèmes compromis, faisant de l'ID d'événement 4697 un indicateur clé pour les centres d'opérations de sécurité (SOC) et les équipes de réponse aux incidents.

L'événement capture également des activités administratives légitimes, telles que les installations de logiciels, les mises à jour Windows et les tâches de maintenance système nécessitant la création de services. Cette double nature rend le filtrage et l'analyse appropriés cruciaux pour une surveillance de sécurité efficace sans submerger les administrateurs avec de faux positifs.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Installation de nouvelles applications logicielles incluant des services Windows
  • Création manuelle de services à l'aide de l'outil en ligne de commande sc.exe
  • Création de services PowerShell à l'aide de la cmdlet New-Service
  • Windows Update installant des services système ou des pilotes
  • Installateurs de logiciels tiers enregistrant des services en arrière-plan
  • Logiciels malveillants ou programmes potentiellement indésirables (PUPs) installant des mécanismes de persistance
  • Administrateurs système déployant des logiciels d'entreprise avec des composants de service
  • Installations de pilotes de périphériques s'enregistrant comme services du noyau
  • Déploiement de logiciels piloté par la stratégie de groupe créant des services
  • Installation de services à distance via WMI ou PowerShell remoting
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4697 pour comprendre quel service a été installé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4697 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 4697 pour examiner les détails
  6. Examinez les champs clés dans les détails de l'événement:
    • Sujet: Montre le compte utilisateur qui a installé le service
    • Nom du service: Le nom interne du service
    • Nom du fichier de service: Chemin complet vers l'exécutable du service
    • Type de service: Type de service (Win32, pilote de noyau, etc.)
    • Type de démarrage du service: Comment le service démarre (automatique, manuel, désactivé)
  7. Recoupez les chemins de service suspects avec des indicateurs de logiciels malveillants connus
  8. Documentez tous les services installés à partir d'emplacements inhabituels comme les répertoires temporaires ou les profils utilisateur
Astuce pro : Faites particulièrement attention aux services installés à partir de %TEMP%, %APPDATA%, ou d'autres emplacements modifiables par l'utilisateur, car ceux-ci indiquent souvent une activité malveillante.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour interroger et analyser de manière programmatique l'ID d'événement 4697 sur plusieurs systèmes ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents d'installation de service :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des informations détaillées sur le service :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ServiceName = $Event.Event.EventData.Data[5].'#text'
        ServiceFileName = $Event.Event.EventData.Data[6].'#text'
        ServiceType = $Event.Event.EventData.Data[7].'#text'
        ServiceStartType = $Event.Event.EventData.Data[8].'#text'
        ServiceAccount = $Event.Event.EventData.Data[9].'#text'
        InstalledBy = $Event.Event.EventData.Data[1].'#text'
    }
}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697} | Export-Csv -Path "C:\Temp\ServiceInstalls.csv" -NoTypeInformation
Avertissement : Les grands environnements peuvent générer des milliers de ces événements. Utilisez des filtres temporels appropriés pour éviter les problèmes de performance.
03

Enquêter sur la légitimité du service

Vérifiez si les services installés sont légitimes en examinant leurs propriétés et signatures numériques.

  1. Listez tous les services et leurs chemins exécutables :
    Get-WmiObject -Class Win32_Service | Select-Object Name, DisplayName, PathName, StartMode, State | Sort-Object Name
  2. Vérifiez les signatures numériques des exécutables de service :
    Get-WmiObject -Class Win32_Service | ForEach-Object {
    $ServicePath = $_.PathName -replace '"', '' -split ' ' | Select-Object -First 1
    if (Test-Path $ServicePath) {
        $Signature = Get-AuthenticodeSignature -FilePath $ServicePath
        [PSCustomObject]@{
            ServiceName = $_.Name
            ExecutablePath = $ServicePath
            SignatureStatus = $Signature.Status
            SignerCertificate = $Signature.SignerCertificate.Subject
        }
    }
}
  3. Examinez les propriétés du service dans la console Services :
    • Ouvrez services.msc
    • Localisez le service mentionné dans l'ID d'événement 4697
    • Cliquez avec le bouton droit et sélectionnez Propriétés
    • Examinez les onglets Général, Connexion, et Dépendances
    • Vérifiez si le service s'exécute sous un compte privilégié
  4. Vérifiez l'emplacement et les propriétés de l'exécutable du service :
    $ServiceName = "SuspiciousService"
$Service = Get-WmiObject -Class Win32_Service -Filter "Name='$ServiceName'"
$ExecutablePath = $Service.PathName -replace '"', '' -split ' ' | Select-Object -First 1
Get-ItemProperty -Path $ExecutablePath | Select-Object Name, VersionInfo, CreationTime, LastWriteTime
  5. Recoupez avec des bases de données de renseignement sur les menaces ou soumettez les fichiers suspects à VirusTotal
04

Configurer l'audit et la surveillance avancés

Configurez une surveillance complète pour suivre de manière proactive les installations de services dans votre environnement.

  1. Activez l'audit de sécurité avancé via la stratégie de groupe:
    • Ouvrez Console de gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration de la stratégie d'audit avancée
    • Développez Stratégies d'audit systèmeSystème
    • Configurez Audit de l'extension du système de sécurité sur Succès et Échec
  2. Créez des vues personnalisées dans le Visualiseur d'événements pour la surveillance des services:
    • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Définissez le Niveau d'événement sur Information, Avertissement et Erreur
    • Entrez 4697 dans le champ ID d'événements
    • Nommer la vue "Installations de services" et enregistrez
  3. Configurez un script de surveillance basé sur PowerShell:
    # Créer un script de surveillance
$ScriptContent = @'
Register-WmiEvent -Query "SELECT * FROM Win32_VolumeChangeEvent WHERE EventType = 2" -Action {
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697} -MaxEvents 1 | ForEach-Object {
        $Event = [xml]$_.ToXml()
        $ServiceName = $Event.Event.EventData.Data[5].'#text'
        $ServicePath = $Event.Event.EventData.Data[6].'#text'
        Write-EventLog -LogName Application -Source "ServiceMonitor" -EventId 1001 -EntryType Information -Message "Nouveau service installé: $ServiceName à $ServicePath"
    }
}
'@
$ScriptContent | Out-File -FilePath "C:\Scripts\ServiceMonitor.ps1"
  4. Configurez le transfert d'événements Windows (WEF) pour la collecte centralisée:
    • Exécutez wecutil qc sur le serveur collecteur
    • Créez un fichier de configuration d'abonnement
    • Configurez les ordinateurs sources pour transférer les événements de sécurité
  5. Mettez en œuvre l'intégration SIEM pour des alertes automatisées sur les installations de services suspectes
Conseil pro : Envisagez de mettre en œuvre des solutions de liste blanche d'applications comme Windows Defender Application Control (WDAC) pour empêcher complètement les installations de services non autorisées.
05

Analyse Forensique et Réponse aux Incidents

Effectuez une analyse médico-légale détaillée lorsque l'ID d'événement 4697 indique des incidents de sécurité potentiels.

  1. Collectez des données de corrélation d'événements complètes :
    # Rassemblez les événements de sécurité liés autour de l'heure d'installation du service
$ServiceInstallTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697} -MaxEvents 1).TimeCreated
$StartTime = $ServiceInstallTime.AddMinutes(-30)
$EndTime = $ServiceInstallTime.AddMinutes(30)

# Collectez les événements liés
$RelatedEvents = @(4688, 4689, 4624, 4625, 4648, 4672, 4698, 4699, 4700, 4701, 4702)
$RelatedEvents | ForEach-Object {
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$_; StartTime=$StartTime; EndTime=$EndTime} -ErrorAction SilentlyContinue
} | Sort-Object TimeCreated
  2. Analysez les événements de création de processus menant à l'installation du service :
    # Trouvez les événements de création de processus qui ont pu mener à l'installation du service
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {
    $_.Message -match "sc.exe|powershell.exe|cmd.exe|msiexec.exe"
}
  3. Examinez les modifications du registre liées à l'installation du service :
    • Vérifiez HKLM\SYSTEM\CurrentControlSet\Services pour la nouvelle clé de service
    • Examinez les paramètres et la configuration du service
    • Cherchez des autorisations ou des propriétés inhabituelles du registre
  4. Effectuez une analyse du système de fichiers :
    # Analysez l'exécutable du service et les fichiers associés
$ServiceExecutable = "C:\Path\To\Service.exe"
Get-ItemProperty -Path $ServiceExecutable | Select-Object *
Get-FileHash -Path $ServiceExecutable -Algorithm SHA256

# Vérifiez les fichiers supplémentaires dans le même répertoire
Get-ChildItem -Path (Split-Path $ServiceExecutable) -Recurse | Select-Object Name, CreationTime, LastWriteTime, Length
  5. Documentez les résultats et créez une chronologie de l'incident :
    • Corrélez tous les événements avec les activités des utilisateurs et les changements du système
    • Identifiez le vecteur d'attaque et le mécanisme de persistance
    • Déterminez l'étendue de la compromission et les systèmes affectés
    • Préparez un plan de remédiation incluant la suppression du service et le renforcement du système
  6. Préservez les preuves pour d'éventuelles procédures judiciaires :
    # Exportez tous les événements liés au format EVTX pour la préservation
wevtutil epl Security C:\Evidence\Security_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx "/q:*[System[EventID=4697]]"

# Créez une image médico-légale de l'exécutable du service
Copy-Item -Path $ServiceExecutable -Destination "C:\Evidence\" -Force
Avertissement : Lors de la réponse à un incident, évitez d'exécuter des exécutables de service suspects ou de modifier l'état du système jusqu'à ce que la collecte de preuves soit terminée.

Aperçu

L'ID d'événement 4697 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un nouveau service Windows est installé sur le système. Cet événement apparaît dans le journal de sécurité et fournit des informations détaillées sur l'installation du service, y compris le nom du service, le chemin du fichier, le type de service et le compte qui a effectué l'installation.

Cet événement est particulièrement précieux pour les équipes de sécurité et les administrateurs système qui ont besoin de suivre les installations de services dans leur environnement. Étant donné que les logiciels malveillants s'installent souvent comme un service Windows pour maintenir la persistance, la surveillance de l'ID d'événement 4697 aide à détecter les installations de services non autorisées qui pourraient indiquer une compromission ou des violations de politique.

L'événement se déclenche indépendamment du fait que l'installation du service ait été effectuée via des outils administratifs légitimes comme sc.exe, des cmdlets PowerShell ou des installateurs tiers. Il capture à la fois les installations interactives et les déploiements automatisés, ce qui le rend essentiel pour maintenir une piste d'audit des changements système dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 4697 et pourquoi est-il important pour la sécurité ?+
L'ID d'événement 4697 indique qu'un nouveau service Windows a été installé sur le système. Cet événement est crucial pour la sécurité car les logiciels malveillants s'installent souvent comme un service Windows pour maintenir la persistance sur les systèmes compromis. En surveillant ces événements, les équipes de sécurité peuvent détecter des installations de services non autorisées qui peuvent indiquer des infections par des logiciels malveillants, des menaces internes ou des violations de politiques. L'événement fournit des informations détaillées sur le nom du service, le chemin de l'exécutable et le compte qui a effectué l'installation, ce qui le rend précieux pour l'analyse judiciaire et l'audit de conformité.
Comment puis-je distinguer les installations de services légitimes des installations malveillantes dans l'ID d'événement 4697 ?+
Pour distinguer entre les installations de services légitimes et malveillants, examinez plusieurs indicateurs clés : Premièrement, vérifiez le chemin de l'exécutable du service - les services légitimes s'installent généralement dans des emplacements standard comme System32 ou Program Files, tandis que les services malveillants utilisent souvent des répertoires temporaires ou des profils utilisateurs. Deuxièmement, vérifiez les signatures numériques en utilisant le cmdlet Get-AuthenticodeSignature de PowerShell - les services légitimes doivent être signés par des éditeurs de confiance. Troisièmement, corrélez l'heure d'installation avec des activités administratives connues ou des déploiements de logiciels. Quatrièmement, examinez le compte utilisateur installant - les services installés par des comptes système lors des mises à jour sont généralement légitimes, tandis que ceux installés par des utilisateurs réguliers peuvent nécessiter une enquête. Enfin, croisez le nom du service et l'exécutable avec des bases de données de renseignements sur les menaces.
L'ID d'événement 4697 peut-il être généré par des mises à jour Windows ou des installations de logiciels légitimes ?+
Oui, l'ID d'événement 4697 est couramment généré par des activités légitimes, y compris les mises à jour Windows, les installations de logiciels et les tâches administratives. Windows Update installe fréquemment de nouveaux services pour les composants système, les mises à jour de sécurité et les installations de pilotes. Les déploiements de logiciels d'entreprise, les installations d'antivirus et les outils de gestion de système génèrent également ces événements. Pour gérer le volume d'événements légitimes, mettez en œuvre un filtrage basé sur les éditeurs de logiciels connus, les chemins d'installation standard et les fenêtres de maintenance programmées. Envisagez de créer une documentation de référence des installations de services attendues dans votre environnement et concentrez la surveillance sur les écarts par rapport aux modèles établis.
Quels sont les commandes PowerShell les plus efficaces pour analyser l'ID d'événement 4697 sur plusieurs systèmes ?+
L'approche PowerShell la plus efficace combine Get-WinEvent avec des capacités de filtrage personnalisé et d'exécution à distance. Utilisez 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4697}' pour des requêtes de base, puis améliorez avec l'analyse XML pour extraire des détails spécifiques sur le service. Pour plusieurs systèmes, utilisez 'Invoke-Command -ComputerName @('Server1','Server2') -ScriptBlock {}' pour exécuter des requêtes à distance. Créez des objets personnalisés pour structurer la sortie avec des propriétés telles que ServiceName, ServiceFileName, TimeCreated et InstalledBy. Exportez les résultats en utilisant 'Export-Csv' pour une analyse dans Excel ou des outils SIEM. Envisagez d'utiliser 'Register-WmiEvent' pour une surveillance en temps réel et une alerte automatisée sur les installations de services suspectes.
Comment dois-je configurer les politiques d'audit pour m'assurer que l'ID d'événement 4697 est correctement enregistré ?+
Pour s'assurer que l'ID d'événement 4697 est correctement enregistré, configurez la politique 'Audit Security System Extension' sous Configuration avancée de la stratégie d'audit. Accédez à la Console de gestion des stratégies de groupe, puis Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit système → Système. Réglez 'Audit Security System Extension' sur 'Succès et Échec' pour capturer à la fois les installations de services réussies et échouées. De plus, assurez-vous que le journal de sécurité a une taille suffisante (recommandé au moins 100 Mo) et des paramètres de rétention appropriés. Pour les environnements d'entreprise, implémentez le Transfert d'événements Windows (WEF) pour centraliser ces événements sur des serveurs collecteurs dédiés. Envisagez de compléter avec 'Audit Process Creation' (ID d'événement 4688) pour capturer les processus qui installent des services.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4697 and related service installation monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies to capture service installation events and other security-relevant activities.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4697#service-installation

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...