ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs and system access events
Event ID 4717InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4717 – Microsoft-Windows-Security-Auditing : Accès à la sécurité du système accordé

L'ID d'événement 4717 enregistre lorsqu'un utilisateur ou un processus se voit accorder des privilèges d'accès à la sécurité du système, impliquant généralement des opérations de sécurité sensibles comme la sauvegarde, la restauration ou les droits d'accès au niveau système.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4717Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4717 représente un événement d'audit de sécurité que Windows génère lorsque le système accorde des privilèges d'accès de sécurité à un utilisateur, un service ou un processus. Cet événement fait partie de la catégorie d'audit Accès aux objets et suit spécifiquement lorsque des descripteurs de sécurité sont modifiés ou lorsque des privilèges liés à la sécurité sont attribués.

L'événement contient des informations détaillées sur l'attribution des privilèges, y compris le compte cible, le type d'accès accordé, le processus demandeur et le contexte de sécurité. Windows génère cet événement via le sous-système de l'Autorité de sécurité locale (LSA) lorsque des jetons de sécurité sont créés ou modifiés avec des privilèges élevés.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation des événements pour inclure un contexte supplémentaire sur la source de l'attribution des privilèges et a amélioré la corrélation avec les événements de sécurité connexes. L'événement aide les administrateurs à suivre la conformité avec les politiques de sécurité et à identifier les abus potentiels de privilèges ou les tentatives d'accès non autorisées.

Cet événement est particulièrement important dans les environnements avec des exigences de sécurité strictes, tels que les institutions financières, les organisations de santé et les agences gouvernementales où chaque attribution de privilège doit être auditée et suivie à des fins de conformité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Modifications des privilèges de compte de service lors du démarrage du service ou des changements de configuration
  • Outils d'administration demandant des permissions de sécurité élevées pour les opérations système
  • Opérations de sauvegarde et de restauration nécessitant des droits d'accès au niveau système
  • Modifications de la politique de sécurité qui modifient les privilèges des utilisateurs ou des groupes
  • Installations d'applications nécessitant des permissions sensibles à la sécurité
  • Mises à jour de la stratégie de groupe affectant les droits d'accès à la sécurité
  • Opérations du contrôleur de domaine impliquant des modifications des principaux de sécurité
  • Opérations des services de certificats nécessitant des privilèges cryptographiques
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4717 pour comprendre quel accès a été accordé et à qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4717 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4717 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4717 pour voir des informations détaillées, y compris :
    • Nom et domaine du compte sujet
    • Compte ou objet cible
    • Droits d'accès accordés
    • Nom et ID du processus
    • ID de connexion pour la corrélation

Utilisez PowerShell pour interroger les événements récents :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4717} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Corréler avec des événements de sécurité connexes

Analyse l'ID d'événement 4717 ainsi que les événements de sécurité associés pour comprendre le contexte de sécurité complet.

  1. Identifiez l'ID de connexion à partir des détails de l'événement 4717
  2. Recherchez les événements associés en utilisant le même ID de connexion :
# Remplacez 0x12345 par l'ID de connexion réel de votre événement 4717
$LogonId = '0x12345'
Get-WinEvent -FilterHashtable @{LogName='Security'} | Where-Object {$_.Message -like "*$LogonId*"} | Select-Object TimeCreated, Id, Message
  1. Recherchez ces événements corrélés :
    • ID d'événement 4624 (Connexion réussie)
    • ID d'événement 4672 (Privilèges spéciaux attribués)
    • ID d'événement 4648 (Connexion avec des identifiants explicites)
    • ID d'événement 4625 (Tentatives de connexion échouées)
  2. Créez une chronologie des événements pour comprendre la séquence des opérations de sécurité
Astuce pro : Utilisez l'ID de connexion comme clé de corrélation pour suivre la session de sécurité complète de la connexion à l'attribution des privilèges.
03

Analyser le contexte des processus et des services

Enquêter sur le processus ou le service qui a demandé l'accès à la sécurité pour déterminer si l'attribution de privilèges est légitime.

  1. Extraire les informations du processus à partir des détails de l'ID d'événement 4717
  2. Vérifier la légitimité du processus en utilisant PowerShell :
# Vérifier les processus en cours et leur contexte de sécurité
Get-Process | Where-Object {$_.ProcessName -eq 'ProcessNameFromEvent'} | Select-Object Id, ProcessName, Path, StartTime

# Vérifier la signature numérique du processus
Get-AuthenticodeSignature -FilePath "C:\Path\To\Process.exe"
  1. Vérifier si le processus est un service système connu :
Get-Service | Where-Object {$_.ServiceName -like '*ServiceName*'} | Select-Object Name, Status, StartType, ServiceType
  1. Examiner le contexte de sécurité et les privilèges du processus :
# Vérifier les privilèges du processus (nécessite un accès administratif)
whoami /priv

# Pour une analyse spécifique du processus, utiliser Process Monitor ou Process Explorer
  1. Valider par rapport à l'inventaire des logiciels approuvés de votre organisation
04

Configurer l'audit de sécurité avancé

Améliorez votre surveillance de sécurité en configurant des politiques d'audit détaillées pour capturer plus de contexte autour de l'ID d'événement 4717.

  1. Ouvrez Stratégie de sécurité locale ou Console de gestion des stratégies de groupe
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée des stratégies d'audit
  3. Configurez ces sous-catégories d'audit :
    • Audit de l'extension du système de sécurité - Réussite et Échec
    • Audit du changement d'état de sécurité - Réussite et Échec
    • Audit de l'intégrité du système - Réussite et Échec
  4. Appliquez la politique en utilisant PowerShell :
# Activer l'audit de sécurité avancé
auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable
auditpol /set /subcategory:"Security State Change" /success:enable /failure:enable
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable

# Vérifier les paramètres d'audit actuels
auditpol /get /category:"System"
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
# Configurer l'abonnement de transfert d'événements
wecutil cs subscription.xml

# Vérifier le statut de l'abonnement
wecutil gs SubscriptionName
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance automatisée pour détecter des modèles inhabituels dans les occurrences de l'ID d'événement 4717 qui pourraient indiquer des problèmes de sécurité.

  1. Créez un script PowerShell pour une surveillance continue :
# Surveiller l'ID d'événement 4717 avec alerte
$Query = @"

  
    
  

"@

# Enregistrer le surveillant d'événements
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4717" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Accès de sécurité accordé : $($Event.Message)"
    # Ajoutez votre logique d'alerte ici
}
  1. Configurez le transfert des journaux d'événements Windows vers les systèmes SIEM
  2. Configurez des vues personnalisées dans le Visualiseur d'événements pour une analyse rapide :
# XML de vue personnalisée pour le Visualiseur d'événements
  1. Créez des tâches planifiées pour des revues régulières des accès de sécurité :
# Créer une tâche planifiée pour la revue quotidienne de sécurité
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\SecurityReview.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "06:00AM"
Register-ScheduledTask -TaskName "Revue quotidienne des accès de sécurité" -Action $Action -Trigger $Trigger
Avertissement : Un audit de sécurité excessif peut affecter les performances du système. Surveillez l'utilisation de l'espace disque et envisagez des politiques de rotation des journaux.

Aperçu

L'ID d'événement 4717 se déclenche lorsque Windows accorde un accès de sécurité système à un compte utilisateur ou à un processus. Cet événement apparaît dans le journal de sécurité chaque fois que le système attribue ou modifie des privilèges liés à la sécurité qui permettent l'accès à des fonctions système sensibles. L'événement se produit généralement lors de scénarios d'escalade de privilèges, de modifications de comptes de service ou lorsque des applications demandent des autorisations de sécurité élevées.

Cet événement d'audit fait partie de l'audit de sécurité avancé de Windows et nécessite l'activation de politiques d'audit spécifiques. L'événement capture des informations critiques sur qui a reçu l'accès, quel type d'accès a été accordé et le contexte dans lequel l'attribution de privilèges a eu lieu. Les administrateurs système utilisent cet événement pour suivre les escalades de privilèges et surveiller les opérations sensibles à la sécurité dans leur infrastructure Windows.

L'événement se déclenche le plus souvent lors des démarrages de service, des lancements d'outils administratifs, des opérations de sauvegarde et des modifications de politiques de sécurité. Comprendre cet événement est crucial pour maintenir une surveillance de sécurité appropriée dans les environnements d'entreprise où la gestion des privilèges et le contrôle d'accès sont primordiaux.

Questions Fréquentes

Que signifie l'ID d'événement 4717 et devrais-je m'en inquiéter ?+
L'ID d'événement 4717 indique que Windows a accordé un accès à la sécurité du système à un utilisateur ou un processus. Cela est généralement un comportement normal lors d'opérations légitimes comme le démarrage de services, les tâches administratives ou les opérations de sauvegarde. Cependant, vous devriez enquêter si vous observez des schémas inhabituels, des processus inconnus ou un accès accordé à des comptes d'utilisateurs inattendus. L'événement lui-même est informatif et indique une attribution de privilèges réussie, mais le contexte détermine s'il représente une activité normale ou suspecte.
Comment puis-je déterminer si un ID d'événement 4717 représente une menace pour la sécurité ?+
Pour évaluer les menaces potentielles à la sécurité, examinez le nom du processus, le compte utilisateur et le moment de l'événement. Les événements légitimes impliquent généralement des processus système connus, des comptes de service ou des utilisateurs administratifs pendant les périodes opérationnelles prévues. Les signaux d'alerte incluent des processus inconnus, des comptes utilisateurs qui ne devraient pas avoir de privilèges élevés, des événements se produisant en dehors des heures de travail, ou des attributions rapides de privilèges multiples. Recoupez le processus avec votre inventaire de logiciels approuvés et vérifiez les signatures numériques des fichiers exécutables impliqués dans l'attribution de privilèges.
Pourquoi ne vois-je pas l'ID d'événement 4717 dans mon journal de sécurité ?+
L'ID d'événement 4717 nécessite l'activation de politiques d'audit spécifiques. Vous devez configurer 'Audit Security System Extension' et les sous-catégories d'audit d'accès aux objets connexes dans votre stratégie de sécurité locale ou stratégie de groupe. De plus, assurez-vous que la politique d'audit de votre système est configurée pour capturer les événements de réussite pour les opérations liées à la sécurité. Utilisez 'auditpol /get /category:System' pour vérifier les paramètres actuels et activez les sous-catégories d'audit nécessaires en utilisant les commandes 'auditpol /set' ou la configuration de la stratégie de groupe.
L'ID d'événement 4717 peut-il aider à répondre aux exigences d'audit de conformité ?+
Oui, l'ID d'événement 4717 est précieux pour l'audit de conformité car il fournit une piste d'audit détaillée des attributions de privilèges de sécurité. L'événement capture qui a reçu l'accès, quand il a été accordé, et le contexte de l'attribution des privilèges. Ces informations soutiennent des cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent la surveillance de l'accès privilégié. Assurez-vous de collecter ces événements de manière centralisée, de les conserver selon vos exigences de conformité, et de les examiner régulièrement pour détecter des escalades de privilèges non autorisées ou des violations de politiques.
Comment puis-je réduire les faux positifs lors de la surveillance de l'ID d'événement 4717 ?+
Pour réduire les faux positifs, établissez des bases de référence de l'activité normale de l'ID d'événement 4717 dans votre environnement en documentant les processus légitimes, les comptes de service et les schémas opérationnels typiques. Créez des règles de filtrage qui excluent les processus connus comme sûrs et les activités attendues des comptes de service. Concentrez la surveillance sur les événements impliquant des comptes d'utilisateurs interactifs, des processus inconnus ou des activités en dehors des heures de bureau normales. Mettez en œuvre des règles de corrélation qui prennent en compte plusieurs événements ensemble plutôt que des événements 4717 individuels isolés, et mettez régulièrement à jour votre base de référence à mesure que votre environnement évolue.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events and configurationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for security monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#privilege-escalation#security-auditing#event-id-4717

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...