ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with privilege adjustment logs and security alerts
Event ID 4699InformationMicrosoft-Windows-Security-AuditingWindows Security

ID d'événement Windows 4699 – Sécurité : Un droit de jeton a été ajusté

L'ID d'événement 4699 enregistre lorsque Windows ajuste les privilèges de jeton d'utilisateur ou de processus, généralement lors d'une élévation de privilèges ou de changements de contexte de sécurité. Critique pour l'audit de sécurité et la surveillance des privilèges.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4699Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4699 représente un mécanisme d'audit de sécurité fondamental qui suit les ajustements de privilèges de jeton au sein du sous-système de sécurité Windows. Lorsqu'un processus ou un compte utilisateur nécessite des privilèges supplémentaires pour effectuer des opérations spécifiques, Windows modifie le jeton de sécurité associé à cette entité. Cette modification déclenche l'ID d'événement 4699, créant une piste d'audit des changements de privilèges.

L'événement contient des informations critiques, y compris le nom du compte cible, les privilèges spécifiques qui ont été ajustés, le processus responsable du changement et le contexte de sécurité dans lequel l'ajustement a eu lieu. Ce détail granulaire le rend inestimable pour l'analyse judiciaire et la surveillance de la sécurité.

Les ajustements des droits de jeton se produisent couramment lors du démarrage du système lorsque les services s'initialisent avec leurs privilèges requis, lors des connexions utilisateur lorsque des privilèges spécifiques au profil sont appliqués, ou lorsque des applications invoquent l'UAC pour demander des permissions élevées. L'événement se déclenche également lorsque les changements de stratégie de groupe affectent les attributions de droits utilisateur ou lorsque le logiciel de sécurité modifie les privilèges des processus.

Dans les environnements d'entreprise, l'ID d'événement 4699 sert de pierre angulaire pour les stratégies de surveillance des privilèges. Les équipes de sécurité configurent les systèmes SIEM pour collecter et analyser ces événements, établissant des bases de référence pour les modèles normaux d'ajustement des privilèges et alertant sur les activités anormales qui pourraient indiquer une compromission ou des violations de politique.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Processus de connexion utilisateur appliquant des privilèges et droits spécifiques au profil
  • Services Windows démarrant et acquérant les privilèges opérationnels nécessaires
  • Applications demandant des privilèges élevés via le contrôle de compte utilisateur (UAC)
  • Modifications de la stratégie de groupe affectant les attributions de droits utilisateur et la distribution des privilèges
  • Logiciels de sécurité ou outils de protection des points de terminaison modifiant les privilèges des jetons de processus
  • Outils administratifs comme RunAs ou PowerShell s'exécutant avec différents contextes de sécurité
  • Processus système ajustant les privilèges pendant la séquence de démarrage ou l'initialisation des services
  • Applications ou pilotes tiers demandant des privilèges système spécifiques
  • Scénarios d'usurpation de jeton où les processus assument différents contextes utilisateur
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4699 pour comprendre quel privilège a été ajusté et pour quel compte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4699 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4699 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4699 pour voir des informations détaillées incluant :
    • Nom et domaine du compte sujet
    • Compte cible pour l'ajustement de privilège
    • Privilèges spécifiques qui ont été modifiés
    • Nom et ID du processus responsable du changement
    • ID de connexion lié aux événements d'authentification associés
  6. Faites une référence croisée de l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour comprendre le contexte complet
Astuce pro : Recherchez le champ "Privilèges" dans les détails de l'événement pour voir exactement quels droits ont été ajustés, tels que SeDebugPrivilege ou SeBackupPrivilege.
02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser les modèles d'ID d'événement 4699 et identifier les activités inhabituelles d'ajustement de privilèges.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4699 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par comptes d'utilisateurs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} | Where-Object {$_.Message -like "*username*"} | Select-Object TimeCreated, Message
  4. Analysez la fréquence d'ajustement des privilèges par heure :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} -MaxEvents 1000 | Group-Object {$_.TimeCreated.Hour} | Sort-Object Name
  5. Exportez les événements pour une analyse détaillée :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} | Export-Csv -Path "C:\temp\Event4699_Analysis.csv" -NoTypeInformation
  6. Recherchez des types de privilèges spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} | Where-Object {$_.Message -like "*SeDebugPrivilege*"}
Avertissement : Des volumes élevés d'entrées d'ID d'événement 4699 pourraient indiquer des attaques d'escalade de privilèges ou des applications mal configurées demandant des privilèges inutiles.
03

Corréler avec les événements de processus et de connexion

Enquêtez sur le contexte plus large en corrélant l'ID d'événement 4699 avec des événements de sécurité connexes pour comprendre le scénario complet d'ajustement de privilèges.

  1. Identifiez l'ID de processus à partir des détails de l'ID d'événement 4699
  2. Recherchez des événements de création de processus (ID d'événement 4688) avec un ID de processus correspondant :
    $ProcessID = "1234"  # Remplacez par le PID réel de l'événement 4699
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*$ProcessID*"}
  3. Trouvez des événements de connexion liés en utilisant l'ID de connexion :
    $LogonID = "0x12345"  # Remplacez par l'ID de connexion réel de l'événement 4699
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} | Where-Object {$_.Message -like "*$LogonID*"}
  4. Vérifiez les événements d'élévation UAC (ID d'événement 4672) qui pourraient être liés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}
  5. Examinez les événements d'application de la stratégie de groupe si les changements de privilèges semblent liés à la stratégie :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503}
  6. Créez une vue chronologique des événements liés :
    $StartTime = (Get-Date).AddHours(-2)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699,4688,4624,4672; StartTime=$StartTime}
$Events | Sort-Object TimeCreated | Select-Object TimeCreated, Id, Message
04

Configurer l'audit et la surveillance avancés

Configurez une surveillance complète des ajustements de privilèges pour détecter les problèmes de sécurité et maintenir la conformité.

  1. Activez l'audit détaillé de l'utilisation des privilèges via la stratégie de groupe:
    • Ouvrez Console de gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Développez Utilisation des privilèges et configurez Audit de l'utilisation des privilèges sensibles
  2. Configurez les paramètres du registre pour un audit de privilèges amélioré:
    Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" -Name "FullPrivilegeAuditing" -Value 1 -Type DWord
  3. Configurez le transfert d'événements Windows pour une collecte centralisée:
    wecutil cs subscription.xml  # Après avoir créé le fichier XML d'abonnement approprié
  4. Créez des vues personnalisées dans le Visualisateur d'événements pour la surveillance de l'ID d'événement 4699:
    • Dans le Visualisateur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Définissez les ID d'événement sur 4699 et configurez des filtres supplémentaires si nécessaire
  5. Configurez une tâche planifiée PowerShell pour une analyse régulière:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Analyze4699Events.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "06:00AM"
Register-ScheduledTask -TaskName "Event4699Analysis" -Action $Action -Trigger $Trigger
Astuce pro : Envisagez de mettre en œuvre une intégration SIEM pour corréler automatiquement l'ID d'événement 4699 avec les flux de renseignements sur les menaces et les analyses comportementales.
05

Examiner les implications de sécurité et la remédiation

Effectuez une analyse de sécurité approfondie lorsque l'ID d'événement 4699 indique un abus potentiel de privilèges ou des tentatives d'accès non autorisées.

  1. Analysez les modèles d'escalade de privilèges à l'aide de requêtes PowerShell avancées :
    $SuspiciousPrivileges = @("SeDebugPrivilege", "SeTakeOwnershipPrivilege", "SeLoadDriverPrivilege")
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} | Where-Object {
    $Message = $_.Message
    $SuspiciousPrivileges | Where-Object {$Message -like "*$_*"}
}
  2. Vérifiez les ajustements de privilèges en dehors des heures de bureau :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} | Where-Object {
    $_.TimeCreated.Hour -lt 6 -or $_.TimeCreated.Hour -gt 22
} | Select-Object TimeCreated, Message
  3. Enquêtez sur les comptes utilisateurs avec des ajustements de privilèges fréquents :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699} -MaxEvents 1000 | ForEach-Object {
    if ($_.Message -match "Account Name:\s+([^\r\n]+)") {
        $matches[1].Trim()
    }
} | Group-Object | Sort-Object Count -Descending
  4. Examinez les affectations actuelles des droits utilisateurs :
    secedit /export /cfg C:\temp\current_rights.inf
Get-Content C:\temp\current_rights.inf | Select-String "Se.*Privilege"
  5. Mettez en œuvre une contention immédiate si une activité suspecte est détectée :
    • Désactivez temporairement les comptes utilisateurs affectés
    • Réinitialisez les mots de passe des comptes compromis
    • Examinez et révoquez les privilèges inutiles
    • Activez la journalisation supplémentaire pour les systèmes affectés
  6. Documentez les résultats et créez une chronologie de réponse aux incidents :
    $IncidentEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4699,4688,4624,4625; StartTime=(Get-Date).AddDays(-1)}
$IncidentEvents | Export-Csv -Path "C:\temp\SecurityIncident_$(Get-Date -Format 'yyyyMMdd').csv"
Avertissement : Des modèles d'ajustement de privilèges inhabituels, en particulier impliquant des privilèges de débogage ou de chargement de pilotes, peuvent indiquer des menaces persistantes avancées ou des attaques internes nécessitant une enquête immédiate.

Aperçu

L'ID d'événement 4699 se déclenche lorsque le sous-système de sécurité de Windows ajuste les droits de jeton pour un compte utilisateur ou un processus. Cet événement capture les modifications de privilèges en temps réel, ce qui le rend essentiel pour la surveillance de la sécurité et l'audit de conformité. L'événement se produit généralement lors des processus de connexion, des démarrages de service ou lorsque des applications demandent des privilèges élevés via le contrôle de compte utilisateur (UAC).

Cet événement d'audit de sécurité apparaît dans le journal de sécurité de Windows et fournit des informations détaillées sur les privilèges qui ont été ajustés, pour quel compte et par quel processus. Les administrateurs de sécurité s'appuient sur cet événement pour suivre les tentatives d'escalade de privilèges, surveiller le comportement des comptes de service et enquêter sur les violations potentielles de sécurité.

L'événement devient particulièrement important dans les environnements où la gestion des privilèges est critique, tels que les contrôleurs de domaine, les systèmes financiers ou les réseaux à haute sécurité. Comprendre quand et pourquoi les droits de jeton sont ajustés aide à maintenir le principe du moindre privilège et à détecter les modifications de privilèges non autorisées.

Questions Fréquentes

Que suit spécifiquement l'ID d'événement Windows 4699 ?+
L'ID d'événement 4699 suit les ajustements de droits de jeton dans le sous-système de sécurité Windows. Il enregistre lorsque des privilèges sont ajoutés ou supprimés des comptes d'utilisateurs ou des jetons de processus, capturant des détails tels que le compte affecté, les privilèges spécifiques modifiés et le processus responsable du changement. Cet événement est crucial pour surveiller l'escalade des privilèges et maintenir des pistes d'audit de sécurité.
Comment puis-je distinguer entre les activités normales et suspectes de l'ID d'événement 4699 ?+
Les activités normales de l'ID d'événement 4699 incluent les démarrages de service, les connexions utilisateur et les élévations UAC pendant les heures de bureau. Les schémas suspects incluent les ajustements de privilèges en dehors des heures de bureau, les modifications fréquentes de privilèges sensibles comme SeDebugPrivilege ou SeTakeOwnershipPrivilege, les ajustements par des processus inhabituels, ou les changements de privilèges à haute fréquence à partir de comptes uniques. Établissez des bases de référence pour identifier les écarts.
Quels privilèges dans l'ID d'événement 4699 devraient déclencher des alertes de sécurité immédiates ?+
Les privilèges critiques qui nécessitent une attention immédiate incluent SeDebugPrivilege (permet de déboguer n'importe quel processus), SeTakeOwnershipPrivilege (peut prendre possession de n'importe quel objet), SeLoadDriverPrivilege (charge des pilotes du noyau), SeBackupPrivilege (contourne les permissions de fichiers), et SeRestorePrivilege (modifie n'importe quel fichier). Ces privilèges peuvent être utilisés pour l'escalade de privilèges et doivent être surveillés de près dans les environnements sensibles à la sécurité.
Comment puis-je corréler l'ID d'événement 4699 avec d'autres événements de sécurité Windows ?+
Corrélez l'ID d'événement 4699 en utilisant le champ ID de connexion avec l'ID d'événement 4624 (connexion réussie) et l'ID de processus avec l'ID d'événement 4688 (création de processus). Vérifiez également l'ID d'événement 4672 (privilèges spéciaux attribués à une nouvelle connexion) et l'ID d'événement 4673 (service privilégié appelé). Utilisez PowerShell pour faire correspondre ces champs à travers les événements et créer des chronologies complètes des activités liées aux privilèges.
L'ID d'événement 4699 peut-il aider à détecter les menaces persistantes avancées (APT) ?+
Oui, l'ID d'événement 4699 est précieux pour la détection des APT car les attaquants ont souvent besoin de privilèges élevés pour la persistance et le mouvement latéral. Recherchez des modèles de privilèges inhabituels, des ajustements de privilèges par des processus inattendus ou des tentatives d'escalade de privilèges en dehors des heures opérationnelles normales. Combinez avec l'analyse comportementale et le renseignement sur les menaces pour identifier les attaques sophistiquées qui reposent sur l'abus de privilèges pour maintenir la persistance dans les réseaux d'entreprise.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including privilege monitoring and token managementhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including privilege use auditinghttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#privilege-monitoring#event-id-4699

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...