ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4793 privileged service call monitoring on a SOC dashboard
Event ID 4793InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4793 – Microsoft-Windows-Security-Auditing : Une tentative a été faite pour appeler un service privilégié

L'ID d'événement 4793 enregistre lorsqu'un processus tente d'appeler une opération de service privilégiée. Cet événement d'audit de sécurité suit l'utilisation des privilèges de service pour la surveillance de la conformité et l'analyse de sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4793Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4793 représente un composant critique de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour surveiller les appels de service privilégiés au sein du système d'exploitation. Lorsque cet événement se déclenche, il indique qu'un processus a tenté d'invoquer une opération de service nécessitant des privilèges élevés au-delà des autorisations utilisateur standard.

La structure de l'événement inclut des métadonnées complètes sur la demande de privilège, y compris l'ID de sécurité (SID) du processus demandeur, le nom du service cible, le privilège spécifique demandé et le résultat de la demande. Ce détail granulaire rend l'ID d'événement 4793 inestimable pour les analystes de sécurité enquêtant sur un éventuel abus de privilège ou effectuant une analyse médico-légale des activités du système.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation des événements pour inclure un contexte supplémentaire sur le thread appelant et une meilleure corrélation avec d'autres événements de sécurité. L'événement s'intègre parfaitement avec Windows Event Forwarding (WEF) et peut être collecté de manière centralisée à l'aide d'outils comme System Center Operations Manager ou des solutions SIEM tierces.

Les organisations mettant en œuvre des modèles de sécurité Zero Trust bénéficient particulièrement de la surveillance de l'ID d'événement 4793, car il fournit une visibilité sur les modèles d'utilisation des privilèges qui peuvent indiquer des tentatives de mouvement latéral ou des menaces internes. L'événement prend également en charge l'analyse avancée grâce à l'intégration de Windows Analytics et Azure Sentinel pour les environnements hybrides cloud.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Opérations du gestionnaire de contrôle des services nécessitant des privilèges élevés
  • Services Windows demandant des privilèges spécifiques lors du démarrage ou de l'opération
  • Outils d'administration accédant aux fonctions de service privilégiées
  • Applications tierces appelant les API de service Windows avec des permissions élevées
  • Opérations de maintenance système nécessitant une élévation de privilèges de service
  • Logiciels de sécurité effectuant des tâches d'intégration système approfondies
  • Opérations de sauvegarde et de récupération accédant aux ressources de service protégées
  • Services réseau établissant des connexions ou opérations privilégiées
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4793 pour comprendre le contexte et identifier le processus demandeur.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4793 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4793 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4793 pour voir des informations détaillées incluant :
    • ID de sécurité du sujet et nom du compte
    • ID de processus et nom du processus
    • Nom du service et nom du privilège
    • Informations sur la demande de service
  6. Notez l'horodatage, les détails du processus, et le privilège spécifique demandé
  7. Recoupez l'ID de processus avec le Gestionnaire des tâches ou Process Monitor si le processus est toujours en cours d'exécution
Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour copier des valeurs de champs spécifiques pour une enquête plus approfondie ou une corrélation avec d'autres événements de sécurité.
02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser les modèles d'ID d'événement 4793 et identifier les tendances ou anomalies dans les appels de service privilégiés.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4793 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4793} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage horaire spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4793; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez et analysez les informations de processus :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4793} -MaxEvents 100 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
        ServiceName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ServiceName'} | Select-Object -ExpandProperty '#text'
        PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object ProcessName | Sort-Object Count -Descending
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4793} -MaxEvents 1000 | Export-Csv -Path "C:\Temp\Event4793_Analysis.csv" -NoTypeInformation
Avertissement : Les requêtes volumineuses contre le journal de sécurité peuvent affecter les performances du système. Utilisez le paramètre -MaxEvents pour limiter les résultats et exécutez pendant les fenêtres de maintenance lorsque cela est possible.
03

Configurer la politique d'audit avancée pour une surveillance détaillée

Ajustez la configuration de la stratégie d'audit pour contrôler la génération de l'ID d'événement 4793 et garantir une couverture de surveillance de sécurité appropriée.

  1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc en tant qu'administrateur
  2. Accédez à Configuration avancée de la stratégie d'auditStratégies d'audit systèmeUtilisation des privilèges
  3. Double-cliquez sur Audit de l'utilisation des privilèges et configurez :
    • Cochez Configurer les événements d'audit suivants
    • Sélectionnez Succès pour enregistrer l'utilisation réussie des privilèges
    • Sélectionnez Échec pour enregistrer les tentatives de privilèges échouées
  4. Appliquez la stratégie et vérifiez la configuration avec PowerShell :
    auditpol /get /subcategory:"Privilege Use"
  5. Pour les environnements de domaine, configurez via la stratégie de groupe :
    • Ouvrez Console de gestion des stratégies de groupe
    • Modifiez le GPO approprié
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Configurez les mêmes paramètres d'utilisation des privilèges
  6. Testez la configuration en effectuant une opération privilégiée et en vérifiant la génération de l'ID d'événement 4793
  7. Surveillez la taille du journal de sécurité et configurez des stratégies de rétention appropriées :
    wevtutil gl Security
Astuce pro : Dans les environnements à fort volume, envisagez d'utiliser le transfert d'événements pour centraliser la collecte de l'ID d'événement 4793 et réduire les besoins de stockage des journaux locaux.
04

Corréler avec l'activité des processus et des services

Enquêter sur le contexte plus large de l'ID d'événement 4793 en corrélant avec les événements système et l'activité des processus associés.

  1. Identifier l'ID de processus à partir des détails de l'ID d'événement 4793
  2. Rechercher des événements associés en utilisant le même ID de processus :
    $ProcessID = "1234"  # Remplacer par le PID réel de l'événement 4793
Get-WinEvent -FilterHashtable @{LogName='Security'} | Where-Object {$_.Message -like "*Process ID: $ProcessID*"} | Select-Object TimeCreated, Id, Message
  3. Vérifier le journal Système pour les événements liés aux services :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036,7040} -MaxEvents 100 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}
  4. Utiliser Process Monitor (ProcMon) pour capturer l'activité des processus en temps réel :
    • Télécharger et exécuter Process Monitor de Microsoft Sysinternals
    • Filtrer par le nom de processus identifié dans l'ID d'événement 4793
    • Surveiller l'activité des fichiers, du registre et du réseau lors des demandes de privilèges
  5. Examiner les dépendances des services Windows :
    $ServiceName = "YourServiceName"  # De l'événement 4793
Get-Service -Name $ServiceName | Select-Object -ExpandProperty ServicesDependedOn
Get-Service -Name $ServiceName | Select-Object -ExpandProperty DependentServices
  6. Examiner le journal des applications pour les erreurs ou avertissements associés :
    Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2,3} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddMinutes(-30)}
  7. Documenter les résultats et créer une chronologie des événements pour l'analyse de sécurité
Avertissement : Process Monitor peut générer de grandes quantités de données. Utiliser des filtres appropriés et limiter la durée de capture pour éviter un impact sur les performances.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance automatisée pour l'ID d'événement 4793 afin de détecter les appels de service privilégiés anormaux et les menaces de sécurité potentielles.

  1. Créez un abonnement personnalisé de transfert d'événements Windows :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>Event4793Monitor</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4793]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  2. Configurez l'abonnement en utilisant wecutil :
    wecutil cs Event4793Monitor.xml
  3. Créez un script PowerShell pour l'analyse automatisée :
    # Event4793Monitor.ps1
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4793; StartTime=(Get-Date).AddMinutes(-15)}
foreach ($Event in $Events) {
    $xml = [xml]$Event.ToXml()
    $ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $ServiceName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ServiceName'} | Select-Object -ExpandProperty '#text'
    
    # Définir les modèles suspects
    $SuspiciousProcesses = @('powershell.exe', 'cmd.exe', 'wscript.exe', 'cscript.exe')
    
    if ($ProcessName -in $SuspiciousProcesses) {
        Write-Warning "Appel de service privilégié suspect détecté : $ProcessName appelant $ServiceName"
        # Envoyer une alerte ou enregistrer dans le SIEM
    }
}
  4. Planifiez le script de surveillance à l'aide du Planificateur de tâches :
    $Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Event4793Monitor.ps1'
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "Event4793Monitor" -Action $Action -Trigger $Trigger -Principal $Principal
  5. Configurez le transfert du journal des événements Windows vers le SIEM ou le système de journalisation central
  6. Configurez des compteurs de performance personnalisés pour suivre la fréquence de l'ID d'événement 4793 :
    Get-Counter "\LogicalDisk(*)\% Free Space" -Continuous -SampleInterval 5
  7. Testez le système de surveillance en générant des événements de test et en vérifiant la fonctionnalité d'alerte
Conseil pro : Intégrez la surveillance de l'ID d'événement 4793 avec Microsoft Sentinel ou d'autres solutions SIEM pour des capacités avancées de détection des menaces et de réponse automatisée.

Aperçu

L'ID d'événement 4793 se déclenche lorsqu'un processus tente d'appeler une opération de service privilégiée sur les systèmes Windows. Cet événement d'audit de sécurité fait partie de la Configuration de la stratégie d'audit avancée et suit spécifiquement lorsque des applications ou des services demandent des privilèges élevés pour effectuer des opérations sensibles. L'événement capture des détails sur le processus appelant, le service cible et le privilège spécifique demandé.

Cet événement est crucial pour la surveillance de la sécurité et les cadres de conformité comme SOX, HIPAA et PCI-DSS qui nécessitent des pistes d'audit détaillées des opérations privilégiées. Windows génère cet événement lorsque la politique Audit Privilege Use est activée, ce qui est généralement configuré dans les environnements d'entreprise pour la supervision de la sécurité.

L'événement apparaît dans le journal de sécurité et fournit aux enquêteurs judiciaires des informations détaillées sur les tentatives d'escalade de privilèges, à la fois légitimes et potentiellement malveillantes. Comprendre cet événement aide les administrateurs à suivre les interactions de service, à identifier l'utilisation non autorisée des privilèges et à maintenir des pistes d'audit complètes pour la conformité réglementaire.

Questions Fréquentes

Que signifie l'ID d'événement 4793 et pourquoi est-il important pour la sécurité ?+
L'ID d'événement 4793 indique qu'un processus a tenté d'appeler une opération de service privilégiée sur votre système Windows. Cet événement est crucial pour la surveillance de la sécurité car il suit quand des applications ou des services demandent des privilèges élevés pour effectuer des opérations sensibles. Il aide les équipes de sécurité à identifier les abus potentiels de privilèges, les tentatives d'accès non autorisées, et à maintenir la conformité avec les exigences réglementaires. L'événement fournit des informations détaillées sur le processus demandeur, le service cible, et les privilèges spécifiques impliqués, ce qui le rend précieux pour l'analyse judiciaire et la détection des menaces.
Comment activer la journalisation de l'ID d'événement 4793 si elle n'apparaît pas dans mon journal de sécurité ?+
L'ID d'événement 4793 nécessite que la politique 'Audit de l'utilisation des privilèges' soit activée. Ouvrez la Stratégie de sécurité locale (secpol.msc), accédez à Configuration avancée de la stratégie d'audit → Stratégies d'audit système → Utilisation des privilèges, et activez 'Audit de l'utilisation des privilèges' pour les événements de réussite et d'échec. Dans les environnements de domaine, configurez cela via la Stratégie de groupe. Vous pouvez vérifier le paramètre actuel en utilisant la commande 'auditpol /get /subcategory:"Privilege Use"'. Notez que l'activation de cette politique d'audit peut augmenter le volume du journal de sécurité, assurez-vous donc d'avoir une capacité de rétention et de stockage des journaux adéquate.
L'ID d'événement 4793 peut-il indiquer une activité malveillante ou est-il toujours légitime ?+
L'ID d'événement 4793 peut indiquer à la fois une activité légitime et potentiellement malveillante. Les déclencheurs légitimes incluent les opérations normales de service, les outils d'administration et les tâches de maintenance du système. Cependant, il peut également signaler une activité malveillante telle que des tentatives d'escalade de privilèges, des mouvements latéraux par des attaquants ou une manipulation non autorisée de services. Les indicateurs clés d'une activité suspecte incluent des processus inhabituels (comme cmd.exe ou powershell.exe) effectuant des appels de service privilégiés, des événements se produisant en dehors des heures ouvrables normales, ou des schémas qui dévient des bases établies. Toujours corréler l'ID d'événement 4793 avec d'autres événements de sécurité et le comportement des processus pour une évaluation précise des menaces.
Comment puis-je réduire le volume des événements d'ID d'événement 4793 sans perdre d'informations de sécurité importantes ?+
Pour gérer le volume de l'ID d'événement 4793 tout en maintenant la visibilité de la sécurité, mettez en œuvre des stratégies d'audit sélectives. Utilisez la stratégie de groupe pour configurer les politiques d'audit uniquement pour les systèmes ou groupes d'utilisateurs critiques. Configurez le transfert d'événements pour centraliser les journaux de plusieurs systèmes, réduisant ainsi les besoins de stockage local. Créez des scripts PowerShell pour filtrer et analyser les événements, en vous concentrant sur les modèles suspects plutôt que sur toutes les occurrences. Envisagez d'utiliser Windows Analytics ou des solutions SIEM avec des capacités de filtrage avancées. Vous pouvez également ajuster la taille du journal de sécurité et les politiques de rétention, et mettre en œuvre des stratégies de rotation des journaux pour équilibrer les coûts de stockage avec les exigences de sécurité.
Que dois-je faire si je constate une augmentation inhabituelle des occurrences de l'ID d'événement 4793 ?+
Une augmentation inhabituelle des événements d'ID d'événement 4793 nécessite une enquête immédiate. Tout d'abord, identifiez la plage horaire et les systèmes affectés en utilisant des requêtes PowerShell pour analyser les modèles. Vérifiez si l'augmentation est corrélée à des changements de système, des installations de logiciels ou des activités de maintenance. Examinez les processus et services spécifiques impliqués pour identifier des facteurs communs. Recherchez des signes de logiciels malveillants, de logiciels non autorisés ou de comptes compromis. Faites des recoupements avec d'autres événements de sécurité comme les échecs de connexion (ID d'événement 4625) ou les tentatives d'escalade de privilèges. Si l'augmentation semble malveillante, isolez les systèmes affectés, collectez des preuves médico-légales et suivez vos procédures de réponse aux incidents. Documentez les conclusions et mettez en place une surveillance supplémentaire si nécessaire.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4793 and privilege use monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for privilege use and security monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#privilege-monitoring#event-id-4793

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...