ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying audit policy events and security logs
Event ID 4714InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4714 – Microsoft-Windows-Security-Auditing : La liste de contrôle d'accès à la sécurité du système a été modifiée

L'ID d'événement 4714 se déclenche lorsque la liste de contrôle d'accès système (SACL) est modifiée sur un système Windows, indiquant des changements dans les politiques d'audit ou les configurations de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4714Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4714 représente une capacité fondamentale de surveillance de la sécurité au sein de l'infrastructure d'audit de Windows. Lorsque cet événement se déclenche, il indique qu'une personne ou un processus a modifié la liste de contrôle d'accès système, qui régit quels événements de sécurité sont enregistrés et dans quelles circonstances.

La SACL est distincte de la liste de contrôle d'accès discrétionnaire (DACL) qui contrôle les autorisations d'accès. Alors que les DACL déterminent qui peut accéder à quoi, les SACL déterminent ce qui est audité lorsqu'il est accédé. Cela rend l'ID d'événement 4714 particulièrement significatif pour les professionnels de la sécurité, car il suit les modifications des mécanismes mêmes qui fournissent une visibilité sur l'activité du système.

Dans Windows Server 2025 et Windows 11, cet événement a été amélioré avec des champs de contexte supplémentaires qui fournissent des informations plus détaillées sur la nature du changement de SACL. L'événement inclut des détails sur le principal de sécurité effectuant le changement, l'objet ou la politique cible modifié, et les catégories d'audit spécifiques affectées.

D'un point de vue conformité, l'ID d'événement 4714 sert de preuve que les politiques d'audit sont activement gérées et que les modifications des configurations de surveillance de la sécurité sont correctement enregistrées. Cela crée une piste d'audit des modifications de la piste d'audit, souvent requise par les cadres réglementaires qui exigent des capacités de journalisation et de surveillance complètes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur modifiant les stratégies d'audit via la Stratégie de sécurité locale (secpol.msc)
  • Modifications de la stratégie de groupe affectant les paramètres de stratégie d'audit appliqués aux systèmes joints au domaine
  • Scripts PowerShell ou applications modifiant programmatiquement les configurations d'audit via l'API SetSecurityInfo
  • Logiciels de sécurité ou outils de protection des points de terminaison modifiant les paramètres d'audit système
  • Windows Update ou tâches de maintenance système mettant à jour les stratégies d'audit par défaut
  • Outils de gestion tiers modifiant les configurations d'audit à distance
  • Modifications manuelles du registre des clés de stratégie d'audit sous HKLM\SECURITY
  • Opérations de restauration du système qui annulent les modifications de la stratégie d'audit
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4714 pour comprendre ce qui a changé et qui l'a initié.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4714 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4714 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur une entrée récente de l'ID d'événement 4714 pour voir les détails
  6. Examinez l'onglet Général pour les informations de base et l'onglet Détails pour les données XML
  7. Notez les champs Sujet montrant qui a effectué le changement et les champs Objet montrant ce qui a été modifié

Utilisez PowerShell pour un filtrage plus efficace :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4714} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Le message de l'événement contient l'ID de sécurité de l'utilisateur qui a effectué le changement et la catégorie de politique d'audit spécifique qui a été modifiée.
02

Analyser la configuration actuelle de la politique d'audit

Comparez les paramètres actuels de la politique d'audit avec votre référence pour identifier les changements spécifiques qui ont été effectués.

  1. Ouvrez une session d'invite de commandes ou PowerShell avec élévation
  2. Exécutez la commande de requête de politique d'audit pour voir les paramètres actuels :
auditpol /get /category:*
  1. Pour des informations plus détaillées sur les sous-catégories :
auditpol /get /subcategory:* /r
  1. Exportez la politique d'audit actuelle pour documentation :
auditpol /backup /file:C:\temp\current_audit_policy.csv
  1. Comparez avec une politique de référence connue si disponible
  2. Vérifiez les paramètres de la stratégie de groupe qui pourraient avoir déclenché le changement :
gpresult /h C:\temp\gpresult.html
  1. Examinez le rapport HTML généré pour les paramètres de politique d'audit sous Configuration de l'ordinateur
Avertissement : Les changements de politique d'audit peuvent avoir un impact significatif sur le volume des journaux et les performances du système. Assurez-vous que les changements sont conformes à vos exigences de sécurité et à votre capacité de stockage.
03

Enquêter en utilisant le filtrage avancé de PowerShell

Utilisez PowerShell pour effectuer une analyse détaillée des occurrences de l'ID d'événement 4714 et les corréler avec d'autres événements de sécurité.

  1. Créez une requête complète pour analyser les modèles :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4714; StartTime=(Get-Date).AddDays(-7)}
$Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        SubjectDomainName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
        CategoryId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'CategoryId'} | Select-Object -ExpandProperty '#text'
        SubcategoryId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubcategoryId'} | Select-Object -ExpandProperty '#text'
    }
} | Format-Table -AutoSize
  1. Cherchez des événements corrélés autour du même moment :
$TimeWindow = (Get-Date).AddHours(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4719,4817,4902,4904,4905); StartTime=$TimeWindow} | Format-Table TimeCreated, Id, Message -Wrap
  1. Vérifiez les événements de traitement de la stratégie de groupe :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(1500,1501,1502)} -MaxEvents 10 | Format-Table TimeCreated, Id, Message -Wrap
Conseil pro : Les ID d'événement 4719 (politique d'audit système modifiée) et 4817 (paramètres d'audit sur l'objet modifiés) apparaissent souvent avec 4714 et fournissent un contexte supplémentaire.
04

Analyse du registre pour les modifications de la politique d'audit

Examinez les emplacements du registre où les paramètres de la politique d'audit sont stockés pour comprendre les détails techniques des modifications.

  1. Ouvrez l'Éditeur du Registre en tant qu'Administrateur (regedit.exe)
  2. Accédez à l'emplacement principal de la politique d'audit :
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv
  1. Vérifiez les paramètres avancés de la politique d'audit :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit
  1. Utilisez PowerShell pour interroger les valeurs du registre liées à l'audit :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Audit" | Format-List
  1. Vérifiez les paramètres d'audit appliqués par la stratégie de groupe :
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" -ErrorAction SilentlyContinue | Format-List
  1. Surveillez les modifications du registre en temps réel à l'aide de Process Monitor (ProcMon) :
  2. Téléchargez ProcMon depuis Microsoft Sysinternals
  3. Définissez des filtres pour que le nom du processus contienne "lsass.exe" et que le chemin contienne "Audit"
  4. Reproduisez le changement de politique d'audit pour voir les modifications du registre
Avertissement : La ruche de registre SECURITY nécessite des autorisations spéciales pour y accéder. Certaines valeurs peuvent ne pas être visibles même avec des privilèges d'administrateur en raison de l'architecture de sécurité de Windows.
05

Intégration avancée de SIEM et réponse automatisée

Mettre en œuvre une surveillance complète et une réponse automatisée pour l'ID d'événement 4714 dans les environnements d'entreprise.

  1. Configurer Windows Event Forwarding (WEF) pour centraliser l'ID d'événement 4714 :
# Sur le serveur collecteur
wecutil cs subscription.xml

# Créer subscription.xml avec filtre ID d'événement 4714
$SubscriptionXML = @"

    AuditPolicyChanges
    SourceInitiated
    Surveiller les changements de politique d'audit
    true
    http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
    Normal
    
            
                
            
        
    ]]>

"@
$SubscriptionXML | Out-File -FilePath "C:\temp\audit_subscription.xml" -Encoding UTF8
  1. Créer un script PowerShell pour l'analyse automatisée :
# Monitor-AuditChanges.ps1
param(
    [int]$Hours = 24
)

$StartTime = (Get-Date).AddHours(-$Hours)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4714; StartTime=$StartTime}

foreach ($Event in $Events) {
    $xml = [xml]$Event.ToXml()
    $UserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $Domain = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
    
    # Envoyer une alerte si le changement est effectué par un compte non-admin
    if ($UserName -notmatch "admin|service") {
        Write-Warning "Changement suspect de politique d'audit par $Domain\$UserName à $($Event.TimeCreated)"
        # Ajouter l'intégration SIEM ici
    }
}
  1. Configurer une tâche planifiée pour exécuter le script de surveillance :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-AuditChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "MonitorAuditChanges" -Action $Action -Trigger $Trigger -Principal $Principal
Astuce pro : Intégrer avec Microsoft Sentinel ou d'autres solutions SIEM en utilisant le connecteur Windows Event Forwarding pour des alertes en temps réel sur les changements non autorisés de politique d'audit.

Aperçu

L'ID d'événement 4714 est un événement d'audit de sécurité qui se déclenche chaque fois que la liste de contrôle d'accès système (SACL) est modifiée sur un système Windows. Cet événement fait partie du cadre de politique d'audit avancé introduit dans Windows Vista et affiné à travers Windows 11 et Server 2025. La SACL contrôle quels événements de sécurité sont audités pour des objets, utilisateurs ou composants système spécifiques.

Cet événement apparaît dans le journal de sécurité lorsque les administrateurs modifient les politiques d'audit via la stratégie de groupe, la stratégie de sécurité locale ou de manière programmatique via des API. L'événement capture qui a effectué le changement, ce qui a été modifié et quand la modification a eu lieu. Dans les environnements d'entreprise, cet événement est crucial pour maintenir l'intégrité de la piste d'audit et assurer la conformité avec des cadres de sécurité comme SOX, HIPAA ou PCI-DSS.

L'événement se déclenche immédiatement après que les modifications de la SACL sont appliquées au système, ce qui le rend précieux pour la surveillance de la sécurité en temps réel. Les équipes de sécurité configurent souvent des systèmes SIEM pour alerter sur cet événement, car des modifications non autorisées de la SACL pourraient indiquer des tentatives d'escalade de privilèges ou des menaces internes essayant de désactiver la journalisation d'audit.

Questions Fréquentes

Que signifie l'ID d'événement 4714 et pourquoi est-il important ?+
L'ID d'événement 4714 indique que la liste de contrôle d'accès système (SACL) a été modifiée sur votre système Windows. Cela est important car la SACL contrôle quels événements de sécurité sont audités et enregistrés. Lorsqu'une personne modifie les politiques d'audit, cet événement se déclenche pour créer une piste d'audit de ces modifications. C'est crucial pour la surveillance de la sécurité car des modifications non autorisées des paramètres d'audit pourraient être une tentative de dissimuler une activité malveillante en désactivant la journalisation.
Comment puis-je savoir qui a effectué le changement de politique d'audit qui a déclenché l'ID d'événement 4714 ?+
L'ID d'événement 4714 contient des détails sur le sujet montrant exactement qui a effectué le changement. Recherchez les champs SubjectUserName et SubjectDomainName dans les détails de l'événement. Vous pouvez extraire cette information en utilisant PowerShell : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4714} | ForEach-Object { $xml = [xml]$_.ToXml(); $xml.Event.EventData.Data | Where-Object {$_.Name -match 'Subject'} }. L'événement inclut également l'ID de sécurité (SID) du compte qui a effectué la modification.
L'ID d'événement 4714 est-il toujours une préoccupation de sécurité ?+
Pas nécessairement. L'ID d'événement 4714 est informatif et peut résulter d'activités administratives légitimes comme l'application de mises à jour de la stratégie de groupe, l'installation de logiciels de sécurité ou l'ajustement manuel des politiques d'audit par les administrateurs. Cependant, cela devient une préoccupation de sécurité lorsque : les modifications sont effectuées par des utilisateurs non autorisés, se produisent en dehors des fenêtres de maintenance, désactivent des catégories d'audit critiques, ou se produisent fréquemment sans explication. Le contexte et le timing sont essentiels pour déterminer si l'événement représente des opérations normales ou des problèmes de sécurité potentiels.
Quelles catégories de politique d'audit sont le plus souvent affectées par l'ID d'événement 4714 ?+
Les catégories de stratégie d'audit les plus couramment modifiées incluent les événements de connexion/déconnexion, la gestion des comptes, l'accès aux objets, le changement de politique et l'utilisation des privilèges. Dans Windows 11 et Server 2025, vous verrez souvent des modifications des sous-catégories de la stratégie d'audit avancée comme 'Changement de stratégie d'audit', 'Gestion des groupes de sécurité', 'Accès aux partages de fichiers' et 'Stockage amovible'. Ces catégories sont fréquemment ajustées en fonction des exigences de conformité, des besoins de surveillance de la sécurité ou des considérations de performance, car certaines catégories d'audit peuvent générer de grands volumes d'événements.
Comment puis-je empêcher les modifications non autorisées qui déclenchent l'ID d'événement 4714 ?+
Pour empêcher les modifications non autorisées de la politique d'audit : 1) Mettre en œuvre un contrôle d'accès basé sur les rôles approprié limitant qui peut modifier les politiques d'audit, 2) Utiliser la stratégie de groupe pour appliquer les paramètres d'audit depuis un emplacement central, rendant les modifications locales inefficaces, 3) Activer la politique 'Audit : Forcer les paramètres de sous-catégorie de la politique d'audit' pour empêcher les remplacements locaux, 4) Surveiller l'ID d'événement 4714 avec des outils SIEM pour des alertes en temps réel, 5) Examiner régulièrement les configurations de la politique d'audit par rapport à votre référence, et 6) Envisager d'utiliser Windows Defender Application Control ou des outils similaires pour empêcher les outils non autorisés de modifier les paramètres de sécurité du système.
Documentation

Références (2)

1
Microsoft Learn - Advanced Security Audit PoliciesComprehensive guide to Windows advanced audit policies and security event monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policies
2
Microsoft Security Compliance ToolkitOfficial Microsoft toolkit for security baseline configurations including audit policy recommendationshttps://www.microsoft.com/en-us/download/details.aspx?id=55319
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#audit-policy#event-id-4714

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...