ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4778 session reconnection logs on a security monitoring dashboard
Event ID 4778InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4778 – Microsoft-Windows-Security-Auditing : Session reconnectée à une station de travail

L'ID d'événement 4778 enregistre lorsqu'une session utilisateur se reconnecte à une station de travail ou un serveur Windows, généralement après une déconnexion de Bureau à distance ou un changement de console. Critique pour suivre l'activité des utilisateurs et la gestion des sessions.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4778Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4778 représente un événement d'audit de sécurité critique que Windows génère chaque fois qu'une session utilisateur se reconnecte à une station de fenêtre. La station de fenêtre est un objet sécurisé qui contient un presse-papiers, une table d'atomes et des objets de bureau, représentant essentiellement l'environnement de bureau interactif de l'utilisateur.

Cet événement se produit dans plusieurs scénarios : lorsque les utilisateurs se reconnectent à des sessions RDP précédemment déconnectées, lors du passage entre la console locale et les sessions de bureau à distance, pendant les opérations de changement rapide d'utilisateur, et lorsque les sessions de services terminal reprennent après des interruptions réseau. L'événement capture des informations judiciaires essentielles, y compris l'identifiant de sécurité de l'utilisateur (SID), l'ID de connexion, le nom de la session, le nom du client et l'adresse IP source.

Le sous-système d'audit de sécurité de Windows génère cet événement uniquement lorsque la politique 'Audit des événements de connexion' est activée dans la stratégie de groupe ou la politique de sécurité locale. L'événement apparaît dans le journal des événements de sécurité avec des données XML détaillées qui incluent des informations sur le package d'authentification, le nom de la station de travail et les caractéristiques de la session. Les équipes de sécurité utilisent cet événement pour corréler l'activité des utilisateurs sur plusieurs systèmes, détecter les tentatives de détournement de session et maintenir la conformité avec les exigences réglementaires qui imposent le suivi de l'activité des utilisateurs.

L'importance de l'événement va au-delà de la simple journalisation - il fournit un contexte crucial pour comprendre les modèles de comportement des utilisateurs, identifier les incidents de sécurité potentiels et résoudre les problèmes de connectivité de session dans les environnements d'entreprise avec des déploiements complexes de services terminal.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur se reconnectant à une session Remote Desktop Protocol (RDP) précédemment déconnectée
  • Opération de changement rapide d'utilisateur reconnectant une session utilisateur suspendue
  • Reconnexion de session console après avoir basculé entre l'accès local et à distance
  • Reprise de session Terminal Services après la restauration de la connectivité réseau
  • Citrix ou autres solutions d'accès à distance tierces reconnectant les sessions utilisateur
  • Opération de déverrouillage de station de travail Windows rétablissant la connectivité de session
  • Tâche planifiée ou service se reconnectant à un contexte de session interactive
  • Broker de session reconnectant les utilisateurs à des sessions d'infrastructure de bureau virtuel (VDI) mutualisées
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Accédez à l'Observateur d'événements pour examiner les détails spécifiques des occurrences de l'ID d'événement 4778.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4778 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 4778 pour voir les informations détaillées
  6. Consultez l'onglet Général pour les informations sur le compte utilisateur, l'ID de session et la source
  7. Vérifiez l'onglet Détails pour les données XML incluant le nom du client et l'adresse IP
  8. Notez l'ID de connexion pour le corréler avec d'autres événements de connexion (4624, 4647, 4777)
Astuce pro : Recoupez l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour obtenir la chronologie complète de la session.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4778 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4778 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4778} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par compte utilisateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4778} | Where-Object {$_.Message -like "*username*"} | Select-Object TimeCreated, Message
  4. Exportez les événements vers un fichier CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4778} -MaxEvents 100 | Select-Object TimeCreated, Id, @{Name='User';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'}}, @{Name='ClientName';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'ClientName'} | Select-Object -ExpandProperty '#text'}} | Export-Csv -Path "C:\Temp\Event4778.csv" -NoTypeInformation
  5. Interrogez les événements à partir d'ordinateurs distants :
    Get-WinEvent -ComputerName "RemotePC" -FilterHashtable @{LogName='Security'; Id=4778} -MaxEvents 25
Avertissement : L'interrogation des journaux de sécurité nécessite des privilèges administratifs et des autorisations d'audit appropriées.
03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer l'ID d'événement 4778 et les événements de session associés.

  1. Ouvrez la Console de gestion des stratégies de groupe ou exécutez gpedit.msc pour la politique locale
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Politiques d'auditOuverture/Fermeture de session
  4. Double-cliquez sur Audit de l'ouverture de session et activez l'audit pour Succès et Échec
  5. Activez également Audit des autres événements d'ouverture/fermeture de session pour un suivi complet des sessions
  6. Appliquez la politique en utilisant :
    gpupdate /force
  7. Vérifiez les paramètres d'audit avec :
    auditpol /get /category:"Logon/Logoff"
  8. Pour une configuration locale immédiate sans stratégie de groupe :
    auditpol /set /subcategory:"Logon" /success:enable /failure:enable
Astuce pro : Activez 'Audit des autres événements d'ouverture/fermeture de session' pour capturer les événements 4777 (session déconnectée) et 4778 (session reconnectée) en paire.
04

Surveiller les modèles de session avec des scripts personnalisés

Créer des solutions de surveillance pour suivre les modèles de reconnexion de session inhabituels qui pourraient indiquer des préoccupations de sécurité.

  1. Créer un script de surveillance PowerShell:
    # SessionMonitor.ps1
$StartTime = (Get-Date).AddHours(-24)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4778; StartTime=$StartTime}

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    
    $UserName = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
    $ClientName = ($EventData | Where-Object {$_.Name -eq 'ClientName'}).'#text'
    $ClientAddress = ($EventData | Where-Object {$_.Name -eq 'ClientAddress'}).'#text'
    $SessionName = ($EventData | Where-Object {$_.Name -eq 'SessionName'}).'#text'
    
    Write-Output "Time: $($Event.TimeCreated) | User: $UserName | Client: $ClientName | IP: $ClientAddress | Session: $SessionName"
}
  2. Programmer le script pour s'exécuter toutes les heures:
    Register-ScheduledTask -TaskName "SessionMonitor" -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\SessionMonitor.ps1")
  3. Créer des alertes pour les modèles suspects:
    # Alerte pour plusieurs reconnexions depuis différentes IPs
$RecentEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4778; StartTime=(Get-Date).AddMinutes(-30)}
$UserConnections = $RecentEvents | Group-Object {([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'}

foreach ($User in $UserConnections | Where-Object {$_.Count -gt 3}) {
    Write-Warning "User $($User.Name) has $($User.Count) reconnections in the last 30 minutes"
}
05

Intégrer avec SIEM et surveillance de sécurité

Configurer le transfert et l'analyse de l'ID d'événement 4778 pour les plateformes de surveillance de la sécurité d'entreprise.

  1. Configurer le transfert d'événements Windows (WEF) pour la collecte centralisée :
    # Sur le serveur collecteur
wecutil cs subscription.xml
  2. Créer un fichier XML d'abonnement pour l'ID d'événement 4778 :
    <?xml version="1.0" encoding="UTF-8"?>
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SessionReconnections</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Collecter l'ID d'événement 4778 des ordinateurs du domaine</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4778]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  3. Configurer les ordinateurs sources pour le transfert d'événements :
    winrm quickconfig
wecutil qc
  4. Configurer inputs.conf du Splunk Universal Forwarder :
    [WinEventLog://Security]
disabled = false
start_from = oldest
current_only = false
whitelist = 4778
index = windows_security
  5. Créer des règles de détection pour les modèles de session anormaux dans votre plateforme SIEM
Avertissement : Assurez-vous de la sécurité réseau et de l'authentification appropriées lors de la configuration du transfert d'événements à travers les frontières de domaine.

Aperçu

L'ID d'événement 4778 se déclenche lorsqu'une session utilisateur se reconnecte à un poste de travail Windows après avoir été déconnectée. Cet événement fait partie de l'audit de sécurité Windows et suit les changements d'état de session à travers les connexions Remote Desktop Protocol (RDP), les commutations de console et les reconnexions aux services de terminal.

L'événement apparaît dans le journal de sécurité lorsque Windows détecte qu'une session utilisateur précédemment déconnectée a rétabli la connexion à la station de fenêtre locale. Cela se produit couramment lorsque les utilisateurs se reconnectent à des sessions RDP, passent entre des sessions console et distantes, ou lorsque le changement rapide d'utilisateur reconnecte une session qui était temporairement suspendue.

Windows génère cet événement dans le cadre des politiques d'audit de connexion/déconnexion, le rendant essentiel pour la surveillance de la sécurité, les rapports de conformité et le dépannage des problèmes de gestion de session. L'événement fournit des informations détaillées sur la session en cours de reconnexion, y compris le compte utilisateur, l'ID de session, l'adresse réseau source et les détails d'authentification. Les administrateurs système s'appuient sur cet événement pour suivre les modèles d'activité des utilisateurs, enquêter sur les tentatives d'accès non autorisées et surveiller l'utilisation des services de terminal dans leur infrastructure.

Questions Fréquentes

Que signifie l'ID d'événement 4778 et quand se produit-il ?+
L'ID d'événement 4778 indique qu'une session utilisateur s'est reconnectée à une station de travail ou un serveur Windows. Cet événement se déclenche lorsqu'une session précédemment déconnectée rétablit la connexion à la station de fenêtre, se produisant couramment lors des reconnexions RDP, des opérations de changement rapide d'utilisateur, ou lorsque les utilisateurs se reconnectent à des sessions de services de terminal suspendues. L'événement fait partie de l'audit de sécurité Windows et nécessite que la politique 'Audit des événements de connexion' soit activée.
Comment puis-je corréler l'ID d'événement 4778 avec d'autres événements de connexion ?+
Utilisez le champ Logon ID présent dans l'ID d'événement 4778 pour corréler avec les événements connexes. L'ID d'événement 4624 (connexion réussie) aura le même Logon ID lorsque la session a été initialement créée. L'ID d'événement 4777 (session déconnectée) partagera également le même Logon ID, vous permettant de suivre le cycle de vie complet de la session. L'ID d'événement 4647 (déconnexion initiée par l'utilisateur) ou 4634 (déconnexion) clôturera la session avec le même Logon ID. Interrogez ces événements ensemble en utilisant PowerShell pour construire une chronologie complète de l'activité de session utilisateur.
Pourquoi ne vois-je pas l'ID d'événement 4778 dans mon journal de sécurité ?+
L'ID d'événement 4778 nécessite une configuration spécifique de la stratégie d'audit pour apparaître dans les journaux. Assurez-vous que 'Audit des événements de connexion' est activé dans la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d'audit. Pour Windows Server 2008 R2 et versions ultérieures, vérifiez également la Configuration avancée de la stratégie d'audit et activez 'Audit des connexions' et 'Audit des autres événements de connexion/déconnexion'. Utilisez 'auditpol /get /category:"Logon/Logoff"' pour vérifier les paramètres actuels. De plus, l'événement ne se déclenche que pour les reconnexions de session réelles, pas pour les connexions initiales.
L'ID d'événement 4778 peut-il aider à détecter un accès non autorisé ou un détournement de session ?+
Oui, l'ID d'événement 4778 est précieux pour la surveillance de la sécurité lorsqu'il est analysé correctement. Recherchez des modèles tels que des reconnexions rapides multiples à partir de différentes adresses IP pour le même compte utilisateur, des reconnexions depuis des emplacements géographiques inhabituels ou des reconnexions en dehors des heures de bureau normales. Recoupez les champs Nom du client et Adresse du client avec des points d'accès légitimes connus. Des modèles de reconnexion de session inhabituels, surtout lorsqu'ils sont combinés avec l'ID d'événement 4777 (déconnexion), peuvent indiquer des tentatives de détournement de session ou un accès non autorisé. Mettez en place une surveillance automatisée pour alerter sur les modèles de reconnexion suspects.
Comment dépanner les entrées d'ID d'événement 4778 manquantes ou excessives ?+
Pour les événements manquants, vérifiez la configuration de la stratégie d'audit en utilisant 'auditpol /get /subcategory:"Logon"' et assurez-vous que l'audit des réussites et des échecs est activé. Vérifiez que le journal de sécurité n'est pas plein ou configuré avec des politiques de rétention restrictives. Pour les événements excessifs, examinez si des applications ou des services se connectent et se déconnectent des sessions de manière programmatique. Passez en revue la configuration des services de terminal et vérifiez les paramètres de reconnexion automatique qui pourraient provoquer des changements fréquents d'état de session. Utilisez la commande 'qwinsta' pour voir les états de session actuels et identifier les processus qui pourraient causer une activité de session inattendue. Envisagez d'ajuster les politiques d'audit pour vous concentrer sur des types de sessions spécifiques si le volume surcharge votre infrastructure de journalisation.
Documentation

Références (2)

1
Microsoft Learn - Windows Security AuditingComprehensive guide to Windows security auditing including logon event configuration and monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Microsoft Docs - Advanced Security Audit PoliciesDetailed documentation on configuring advanced audit policies for comprehensive security monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policies
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#session-management#event-id-4778

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...