ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying audit policy change events on a cybersecurity monitoring dashboard
Event ID 4719InformationMicrosoft-Windows-Security-AuditingWindows Security

ID d'événement Windows 4719 – Microsoft-Windows-Security-Auditing : Politique d'audit système modifiée

L'ID d'événement 4719 se déclenche lorsque les paramètres de la politique d'audit de Windows sont modifiés, indiquant des changements dans la configuration de l'audit de sécurité qui affectent les événements enregistrés.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4719Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4719 représente l'un des événements d'audit de sécurité les plus importants dans la journalisation Windows. Lorsque cet événement apparaît dans votre journal de sécurité, il indique que quelqu'un ou quelque chose a modifié la configuration de la politique d'audit du système. La politique d'audit contrôle quels types d'événements de sécurité Windows enregistrera, rendant les modifications de ces paramètres potentiellement significatives d'un point de vue sécurité.

L'événement contient des détails complets sur la modification, y compris le compte utilisateur qui a effectué le changement, le processus qui a initié le changement, et les catégories d'audit spécifiques qui ont été affectées. Chaque catégorie d'audit peut être configurée pour les événements de succès, les événements d'échec, les deux, ou aucun. L'événement montre à la fois la configuration précédente et la nouvelle configuration pour chaque catégorie modifiée.

D'un point de vue sécurité, cet événement est particulièrement précieux car désactiver la journalisation d'audit est une technique courante utilisée par les attaquants pour cacher leurs activités. En surveillant l'ID d'événement 4719, les équipes de sécurité peuvent détecter quand les politiques d'audit sont modifiées et enquêter pour savoir si ces changements sont des actions administratives légitimes ou des indicateurs potentiels de compromission. L'événement joue également un rôle crucial dans les cadres de conformité qui exigent que les organisations maintiennent des pistes d'audit et détectent les modifications non autorisées des configurations de sécurité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur modifiant manuellement la politique d'audit via la console de la stratégie de sécurité locale
  • Mises à jour de la stratégie de groupe modifiant les paramètres de la politique d'audit sur les systèmes du domaine
  • Modifications en ligne de commande utilisant auditpol.exe ou des outils similaires
  • Scripts PowerShell ou outils d'automatisation ajustant les configurations d'audit
  • Logiciel de sécurité tiers modifiant les paramètres d'audit lors de l'installation ou de l'exploitation
  • Logiciels malveillants ou attaquants tentant de désactiver la journalisation d'audit pour masquer des activités
  • Opérations de restauration du système qui rétablissent les paramètres de la politique d'audit à des états antérieurs
  • Installations de logiciels qui modifient les politiques de sécurité dans le cadre de leur processus d'installation
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4719 pour comprendre ce qui a changé et qui a initié la modification.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4719 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4719 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'ID d'événement 4719 le plus récent pour voir les détails
  6. Consultez l'onglet Général pour des informations de base incluant l'horodatage et le compte utilisateur
  7. Vérifiez l'onglet Détails pour des informations complètes sur les modifications de la politique d'audit
  8. Notez la section Sujet montrant qui a effectué le changement et la section Changement de politique d'audit montrant ce qui a été modifié
Astuce pro : Portez une attention particulière aux champs Catégorie et Sous-catégorie pour comprendre exactement quels paramètres d'audit ont été modifiés et s'ils ont été activés ou désactivés.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 4719 et extraire des informations détaillées sur les modifications de la stratégie d'audit.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4719 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Obtenez des informations détaillées sur des événements spécifiques :
    $events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 5
foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    Write-Host "Time: $($event.TimeCreated)"
    Write-Host "User: $($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Category: $($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'CategoryId'} | Select-Object -ExpandProperty '#text')"
    Write-Host "---"
}
  4. Filtrez les événements par plage de temps spécifique :
    $startTime = (Get-Date).AddDays(-7)
$endTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719; StartTime=$startTime; EndTime=$endTime}
Avertissement : Les journaux de sécurité volumineux peuvent ralentir ces requêtes. Envisagez d'utiliser le paramètre -MaxEvents pour limiter les résultats pour une analyse initiale.
03

Vérifier la configuration actuelle de la politique d'audit

Vérifiez les paramètres actuels de la politique d'audit pour comprendre quels journaux sont actuellement activés et comparez-les à vos exigences de sécurité.

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Affichez les paramètres actuels de la politique d'audit :
    auditpol /get /category:*
  3. Obtenez des informations détaillées sur les sous-catégories :
    auditpol /get /subcategory:*
  4. Vérifiez les catégories d'audit spécifiques qui sont couramment ciblées :
    auditpol /get /subcategory:"Logon" /subcategory:"Account Logon" /subcategory:"Object Access" /subcategory:"Policy Change"
  5. Exportez la politique d'audit actuelle pour sauvegarde :
    auditpol /backup /file:C:\temp\current_audit_policy.csv
  6. Comparez avec les paramètres de la stratégie de groupe en ouvrant Console de gestion des stratégies de groupe et en naviguant vers Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
Astuce pro : Documentez votre configuration de politique d'audit de base afin de pouvoir rapidement identifier les modifications non autorisées lorsque l'ID d'événement 4719 apparaît.
04

Enquêter sur le processus et le contexte utilisateur

Analysez le contexte autour de l'ID d'événement 4719 pour déterminer si le changement de politique d'audit était légitime ou potentiellement malveillant.

  1. Corrélez avec d'autres événements de sécurité autour de la même période :
    $auditChangeTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 1).TimeCreated
$startTime = $auditChangeTime.AddMinutes(-10)
$endTime = $auditChangeTime.AddMinutes(10)
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$startTime; EndTime=$endTime} | Where-Object {$_.Id -in @(4624,4625,4648,4672)} | Format-Table TimeCreated, Id, Message -Wrap
  2. Vérifiez les événements de création de processus (ID d'événement 4688) autour de la même période :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$startTime; EndTime=$endTime} | Where-Object {$_.Message -like '*auditpol*' -or $_.Message -like '*secpol*'}
  3. Examinez les événements de connexion pour l'utilisateur qui a effectué le changement :
    $userSID = "S-1-5-21-..." # Extraire des détails de l'ID d'événement 4719
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.Message -like "*$userSID*"} | Select-Object -First 5
  4. Vérifiez le journal des événements système pour les événements de service ou d'application connexes :
    Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$startTime; EndTime=$endTime} | Where-Object {$_.Message -like '*policy*' -or $_.Message -like '*audit*'}
05

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance proactive pour détecter et alerter sur les occurrences de l'ID d'événement 4719 pour améliorer la posture de sécurité.

  1. Créez un abonnement personnalisé de transfert d'événements Windows pour une surveillance centralisée :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AuditPolicyChanges</SubscriptionId>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4719]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  2. Configurez une tâche planifiée pour exécuter le script de surveillance PowerShell :
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Monitor-AuditPolicyChanges.ps1'
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
$principal = New-ScheduledTaskPrincipal -UserId 'SYSTEM' -LogonType ServiceAccount
Register-ScheduledTask -TaskName 'Monitor-Event4719' -Action $action -Trigger $trigger -Principal $principal
  3. Créez le contenu du script de surveillance :
    # Monitor-AuditPolicyChanges.ps1
$lastCheck = (Get-Date).AddMinutes(-20)
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719; StartTime=$lastCheck} -ErrorAction SilentlyContinue
if ($events) {
    $events | ForEach-Object {
        $message = "ALERT: Audit policy changed at $($_.TimeCreated) by user in event details"
        Write-EventLog -LogName Application -Source "Custom Security Monitor" -EventId 9999 -Message $message -EntryType Warning
    }
}
  4. Configurez Windows Performance Toolkit (WPT) pour une analyse avancée si nécessaire
  5. Configurez l'intégration SIEM pour transférer l'ID d'événement 4719 à votre centre d'opérations de sécurité
Avertissement : Assurez-vous que les scripts de surveillance ont les autorisations appropriées et une gestion des erreurs pour éviter toute interruption de service.

Aperçu

L'ID d'événement 4719 est un événement d'audit de sécurité critique qui se déclenche chaque fois que les paramètres de la stratégie d'audit de Windows sont modifiés sur un système. Cet événement apparaît dans le journal de sécurité et suit les modifications de la configuration d'audit qui détermine quels événements de sécurité Windows enregistrera. L'événement capture qui a effectué la modification, quand elle a eu lieu et quelles catégories d'audit spécifiques ont été modifiées.

Cet événement est essentiel pour la surveillance de la sécurité car les modifications de la stratégie d'audit peuvent masquer une activité malveillante en désactivant l'enregistrement pour des catégories d'événements spécifiques. Les attaquants modifient souvent les stratégies d'audit pour couvrir leurs traces, faisant de cet événement un indicateur clé pour les équipes de sécurité. L'événement se déclenche immédiatement lorsque les stratégies d'audit sont modifiées via la stratégie de groupe, la stratégie de sécurité locale ou des outils en ligne de commande comme auditpol.exe.

L'événement fournit des informations détaillées sur les paramètres de la stratégie d'audit précédents et nouveaux, permettant aux administrateurs de suivre exactement ce qui a changé. Ce détail granulaire le rend inestimable pour les audits de conformité et les enquêtes judiciaires où la compréhension de la piste d'audit est cruciale.

Questions Fréquentes

Que signifie l'ID d'événement 4719 et pourquoi est-il important ?+
L'ID d'événement 4719 indique que les paramètres de la politique d'audit Windows ont été modifiés sur le système. Cet événement est d'une importance cruciale pour la surveillance de la sécurité car les politiques d'audit contrôlent quels événements de sécurité sont enregistrés. Les attaquants modifient souvent les politiques d'audit pour désactiver l'enregistrement et cacher leurs activités malveillantes. L'événement fournit des informations détaillées sur les catégories d'audit qui ont été modifiées, qui a effectué les modifications et quand elles ont eu lieu, ce qui le rend essentiel pour détecter les modifications non autorisées des configurations de sécurité.
Comment puis-je savoir si l'ID d'événement 4719 représente une menace pour la sécurité ?+
Pour déterminer si l'ID d'événement 4719 représente une menace, examinez le contexte autour de l'événement. Vérifiez si l'utilisateur qui a effectué la modification est autorisé à modifier les politiques d'audit, si le moment coïncide avec la maintenance programmée, et si les modifications désactivent la journalisation de sécurité critique. Recherchez des événements corrélés tels que des connexions inhabituelles, des escalades de privilèges ou des exécutions de processus suspects autour de la même période. Les modifications légitimes se produisent généralement pendant les heures de bureau par des administrateurs connus, tandis que les modifications malveillantes se produisent souvent en dehors des heures normales ou par des comptes compromis.
Quels changements de politique d'audit devraient m'inquiéter le plus ?+
Soyez particulièrement préoccupé par les modifications qui désactivent la journalisation pour les catégories de sécurité critiques, y compris les événements de connexion de compte, les événements de connexion/déconnexion, l'accès aux objets, les modifications de politique, l'utilisation des privilèges et le suivi des processus. Désactiver l'audit des réussites pour les événements de connexion peut masquer des attaques réussies, tandis que désactiver l'audit des échecs peut empêcher la détection des tentatives de force brute. Toute modification qui réduit la posture globale de journalisation de la sécurité doit être examinée, surtout si elle affecte des catégories sur lesquelles votre organisation compte pour la conformité ou la surveillance de la sécurité.
L'ID d'événement 4719 peut-il être généré par des processus système légitimes ?+
Oui, l'ID d'événement 4719 peut être généré par des processus légitimes, y compris les mises à jour de la stratégie de groupe, les administrateurs système utilisant la console de stratégie de sécurité locale, les scripts automatisés exécutant des commandes auditpol.exe, et certaines installations de logiciels qui modifient les paramètres de sécurité. Les installations de Windows Update et les opérations de restauration du système peuvent également déclencher cet événement. L'essentiel est de vérifier que ces modifications sont conformes aux processus de gestion des changements de votre organisation et qu'elles sont effectuées par du personnel ou des systèmes autorisés.
Comment devrais-je réagir lorsque je détecte l'ID d'événement 4719 dans mon environnement ?+
Lorsque vous détectez l'ID d'événement 4719, vérifiez immédiatement la légitimité du changement en vérifiant s'il a été autorisé via votre processus de gestion des changements. Examinez la configuration actuelle de la politique d'audit en utilisant auditpol /get /category:* pour comprendre ce qui est actuellement activé. Si le changement semble non autorisé, restaurez la politique d'audit à partir d'une sauvegarde connue comme bonne, enquêtez sur le compte utilisateur qui a effectué le changement pour des signes de compromission, et examinez les journaux de sécurité pour toute activité suspecte qui pourrait s'être produite pendant que la journalisation était désactivée. Documentez l'incident et envisagez de mettre en place une surveillance supplémentaire pour les futurs changements de politique d'audit.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4719 and audit policy configurationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring and managing Windows audit policies and understanding audit eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#audit-policy#event-id-4719

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...