Event ID 4816InformationSecurity-AuditingWindows

ID d'événement Windows 4816 – Audit de sécurité : Package d'authentification NTLM chargé

L'ID d'événement 4816 indique que le package d'authentification NTLM a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les capacités d'authentification NTLM sont initialisées sur les systèmes Windows.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 4816Security-Auditing 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement 4816 représente un événement d'audit de sécurité généré par le service du sous-système de sécurité locale de Windows (LSASS) lorsqu'il charge avec succès le package d'authentification NTLM. Cet événement fait partie de la catégorie d'audit d'accès aux objets et nécessite une configuration avancée de la stratégie d'audit pour apparaître dans les journaux.

Le chargement du package d'authentification NTLM est un événement de sécurité critique car NTLM, bien que nécessaire pour la compatibilité rétroactive, est considéré comme moins sécurisé que l'authentification Kerberos moderne. Les organisations mettant en œuvre des politiques de sécurité strictes surveillent souvent ces événements pour s'assurer que l'utilisation de NTLM est conforme à leurs exigences de sécurité et pour identifier les systèmes qui pourraient nécessiter une modernisation.

Lorsque cet événement se produit, il indique que le système est prêt à gérer les demandes d'authentification NTLM. L'événement contient des détails sur le package d'authentification chargé, le processus responsable de son chargement et le contexte de sécurité dans lequel l'opération a eu lieu. Ces informations sont précieuses pour l'audit de sécurité, le reporting de conformité et le dépannage des problèmes d'authentification dans les environnements d'entreprise.

L'événement devient particulièrement important dans les environnements où les administrateurs tentent de minimiser ou d'éliminer l'utilisation de NTLM au profit de méthodes d'authentification plus sécurisées. En surveillant l'ID d'événement 4816, les équipes de sécurité peuvent suivre quels systèmes chargent les capacités NTLM et potentiellement identifier des opportunités d'amélioration de la sécurité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Démarrage du système initialisant les services d'authentification et chargeant les packages d'authentification requis
Démarrage du service Windows nécessitant des capacités d'authentification NTLM pour le support des applications héritées
Demandes d'application pour l'authentification NTLM lors de la connexion à des systèmes ou services hérités
Initialisation du contrôleur de domaine chargeant les packages d'authentification pour les demandes d'authentification des clients
Démarrage du serveur web IIS chargeant les modules d'authentification, y compris NTLM pour l'authentification des applications web
SQL Server ou autres services de base de données initialisant les fournisseurs d'authentification, y compris le support NTLM
Démarrage des services de bureau à distance chargeant les packages d'authentification pour les connexions au serveur terminal
Applications ou services tiers demandant explicitement le chargement du package d'authentification NTLM

Méthodes de résolution

Étapes de dépannage

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4816 pour comprendre le contexte et la source du chargement du package d'authentification.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Sécurité
Filtrez pour l'ID d'événement 4816 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
Entrez 4816 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur les entrées de l'ID d'événement 4816 pour voir des informations détaillées, y compris :
- Nom et ID du processus qui a chargé le package
- Nom du package d'authentification (généralement NTLM)
- ID de connexion associé au processus de chargement
- ID de sécurité du contexte de compte
Notez l'horodatage et la fréquence de ces événements pour identifier des modèles

Astuce pro : Exportez ces événements en CSV pour analyse en utilisant le menu Action si vous devez examiner plusieurs occurrences sur des périodes de temps.

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour interroger et analyser de manière programmatique les occurrences de l'ID d'événement 4816 pour une enquête et un rapport détaillés.

Ouvrez PowerShell en tant qu'administrateur

Interrogez les entrées récentes de l'ID d'événement 4816 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4816} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Obtenez les propriétés détaillées de l'événement pour l'analyse :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4816} -MaxEvents 10 | ForEach-Object { $_.Properties }

Filtrez les événements par plage de temps spécifique :

$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4816; StartTime=$StartTime; EndTime=$EndTime}

Exportez les événements vers un fichier CSV pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4816} -MaxEvents 100 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\Event4816.csv" -NoTypeInformation

Astuce pro : Utilisez le paramètre -Oldest avec Get-WinEvent pour récupérer les événements dans l'ordre chronologique pour l'analyse de la chronologie.

Configurer les paramètres de stratégie d'audit avancée

Assurez-vous de configurer correctement la politique d'audit pour capturer l'ID d'événement 4816 et les événements de chargement de package d'authentification associés.

Ouvrez Éditeur de stratégie de groupe locale en exécutant gpedit.msc
Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit
Développez Accès aux objets et localisez Audit des modifications de la politique d'authentification
Double-cliquez sur la politique et configurez :
- Activez Configurer les événements d'audit suivants
- Cochez à la fois Succès et Échec si vous souhaitez une journalisation complète
Appliquez la politique en utilisant gpupdate /force
Vérifiez les paramètres d'audit en utilisant PowerShell :
```
auditpol /get /subcategory:"Authentication Policy Change"
```
Pour les environnements de domaine, configurez la politique au niveau du domaine via la Console de gestion des stratégies de groupe

Avertissement : Activer la journalisation complète des audits peut générer un volume de journaux important. Surveillez l'espace disque et configurez les politiques de rétention des journaux de manière appropriée.

Analyser l'utilisation de NTLM et les implications en matière de sécurité

Enquêter sur les implications de sécurité du chargement du package NTLM et évaluer les opportunités de modernisation de l'authentification.

Vérifier les paramètres d'audit NTLM actuels dans le registre :

Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic" -ErrorAction SilentlyContinue

Activer l'audit NTLM pour suivre les modèles d'utilisation :
- Ouvrir Stratégie de sécurité locale (secpol.msc)
- Accéder à Stratégies locales → Options de sécurité
- Configurer Sécurité réseau : Restreindre NTLM : Auditer l'authentification NTLM dans ce domaine
- Définir sur Activer l'audit pour les comptes de domaine ou Activer l'audit pour tous les comptes
Surveiller les événements d'utilisation NTLM (ID d'événement 8004, 8005, 8006) avec 4816 :
```
Get-WinEvent -FilterHashtable @{LogName='System'; Id=8004,8005,8006} -MaxEvents 20
```
Examiner les applications et services nécessitant NTLM :
- Vérifier les paramètres d'authentification IIS dans %windir%\system32\inetsrv\config\applicationHost.config
- Examiner la configuration d'authentification de SQL Server
- Identifier les applications héritées dans les journaux d'événements d'application
Documenter les dépendances NTLM pour l'évaluation de la sécurité et la planification de la modernisation

Conseil pro : Utilisez les directives et outils de blocage NTLM de Microsoft pour réduire progressivement l'utilisation de NTLM dans votre environnement tout en surveillant les modèles d'ID d'événement 4816.

Mettre en œuvre la surveillance et l'alerte pour les événements d'authentification

Configurez une surveillance et une alerte complètes pour l'ID d'événement 4816 et les événements de package d'authentification associés pour les opérations de sécurité.

Créez un script de surveillance PowerShell:

# Surveiller l'ID d'événement 4816 et envoyer des alertes
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4816; StartTime=(Get-Date).AddMinutes(-15)} -ErrorAction SilentlyContinue
if ($Events) {
    $EventCount = $Events.Count
    $LatestEvent = $Events[0]
    Write-Host "Trouvé $EventCount événements de chargement de package NTLM dans les 15 dernières minutes"
    # Ajoutez votre logique d'alerte ici (email, intégration SIEM, etc.)
}

Configurez le transfert d'événements Windows pour une collecte centralisée:
- Exécutez wecutil qc pour configurer le collecteur
- Créez un abonnement pour les événements de sécurité incluant 4816
- Configurez les ordinateurs sources en utilisant winrm quickconfig
Configurez des vues personnalisées dans le Visualiseur d'événements:
- Cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
- Filtrez pour l'ID d'événement 4816 et les événements d'authentification associés
- Enregistrez la vue pour un accès rapide

Intégrez avec des solutions SIEM en utilisant le transfert de journal d'événements Windows:

# Configurer le transfert de journal d'événements vers SIEM
wevtutil sl Security /rt:false
wevtutil sl Security /ab:true

Créez des tâches planifiées pour une surveillance régulière:
- Utilisez Planificateur de tâches pour exécuter des scripts de surveillance
- Configurez des déclencheurs basés sur la survenue d'événements ou des intervalles de temps
- Configurez des notifications par email pour les événements d'authentification critiques

Avertissement : Assurez-vous que les solutions de surveillance ont les autorisations appropriées et considérez l'impact sur les performances des requêtes fréquentes de journaux d'événements sur les systèmes de production.

Aperçu

L'ID d'événement 4816 se déclenche lorsque l'Autorité de sécurité locale (LSA) charge le package d'authentification NTLM lors du démarrage du système ou lorsque les services d'authentification sont initialisés. Cet événement apparaît dans le journal de sécurité et fait partie du cadre d'audit de sécurité avancé de Windows introduit pour suivre les activités de chargement des packages d'authentification.

Le package d'authentification NTLM (NT LAN Manager) offre une compatibilité rétroactive pour les scénarios d'authentification hérités où Kerberos ne peut pas être utilisé. Lorsque la LSA charge ce package, elle permet au système de gérer les demandes d'authentification NTLM provenant de clients, de services ou d'applications qui nécessitent ce protocole d'authentification plus ancien.

Cet événement se produit généralement lors du démarrage du système, du démarrage d'un service ou lorsque des applications spécifiques demandent des capacités d'authentification NTLM. Les administrateurs système surveillent cet événement pour suivre l'initialisation des packages d'authentification, assurer la conformité aux politiques de sécurité appropriées et enquêter sur les problèmes potentiels liés à l'authentification dans des environnements mixtes avec des systèmes hérités.

Questions Fréquentes

Que signifie l'ID d'événement 4816 concernant la sécurité du système ?+

L'ID d'événement 4816 indique que le package d'authentification NTLM a été chargé par l'Autorité de sécurité locale, ce qui signifie que le système est prêt à gérer les demandes d'authentification NTLM. Bien qu'il s'agisse d'un comportement normal du système, c'est important d'un point de vue sécurité car NTLM est considéré comme moins sécurisé que Kerberos. Les administrateurs de sécurité surveillent cet événement pour suivre quand les systèmes activent les capacités NTLM, ce qui aide dans les évaluations de sécurité et la planification des efforts de modernisation de l'authentification. L'événement en lui-même n'indique pas un problème de sécurité, mais il offre une visibilité sur l'initialisation du package d'authentification qui est précieuse pour l'audit de sécurité et la conformité.

Pourquoi vois-je fréquemment l'ID d'événement 4816 lors du démarrage du système ?+

L'ID d'événement 4816 apparaît fréquemment lors du démarrage du système car l'Autorité de sécurité locale (LSA) charge divers packages d'authentification dans le cadre du processus de démarrage normal. Windows charge NTLM et d'autres packages d'authentification pour s'assurer que le système peut gérer différents types de demandes d'authentification provenant de services, d'applications et de connexions réseau. C'est un comportement attendu, surtout dans les environnements d'entreprise où la compatibilité avec les systèmes hérités nécessite le support NTLM. La fréquence lors du démarrage est normale et indique que les services d'authentification s'initialisent correctement. Cependant, si vous voyez ces événements à des moments inhabituels en dehors du démarrage ou de l'initialisation des services, cela peut justifier une enquête.

Comment puis-je réduire l'utilisation de NTLM indiquée par l'ID d'événement 4816 ?+

Pour réduire l'utilisation de NTLM, commencez par identifier quelles applications et services déclenchent le chargement du package NTLM grâce à l'analyse de l'ID d'événement 4816. Activez l'audit NTLM en utilisant la stratégie de groupe pour suivre les tentatives d'authentification NTLM réelles (événements 8004-8006). Modernisez les applications pour utiliser l'authentification Kerberos lorsque c'est possible, configurez IIS pour préférer Kerberos à NTLM, et mettez à jour les connexions SQL Server pour utiliser l'authentification Windows intégrée avec Kerberos. Mettez en œuvre des politiques de blocage NTLM progressivement, en commençant par des restrictions de trafic NTLM sortant, puis des restrictions entrantes. Utilisez les directives de réduction NTLM de Microsoft et des outils comme les recommandations de blocage NTLM. Surveillez les modèles de l'ID d'événement 4816 avant et après les changements pour vous assurer que la fonctionnalité d'authentification reste intacte tout en réduisant la dépendance à NTLM.

Devrais-je m'inquiéter de l'apparition de l'ID d'événement 4816 dans mes journaux de sécurité ?+

L'ID d'événement 4816 apparaissant dans les journaux de sécurité n'est généralement pas une source d'inquiétude car il représente un comportement normal de chargement de package d'authentification. Il s'agit d'un événement informatif qui indique le bon fonctionnement du système plutôt qu'un problème de sécurité. Cependant, vous devez prêter attention au contexte et à la fréquence de ces événements. Des schémas inhabituels, tels que le chargement fréquent du package NTLM en dehors des heures de démarrage normales, ou le chargement par des processus inattendus, peuvent justifier une enquête. L'événement est précieux pour l'audit de sécurité et les objectifs de conformité, aidant les administrateurs à comprendre quand et pourquoi les capacités NTLM sont initialisées. Concentrez-vous sur l'utilisation de ces informations pour la planification de la sécurité et la modernisation de l'authentification plutôt que de les traiter comme une préoccupation de sécurité immédiate.

Comment configurer les stratégies d'audit pour capturer de manière cohérente l'ID d'événement 4816 ?+

Pour capturer systématiquement l'ID d'événement 4816, configurez la stratégie d'audit avancée pour 'Audit des modifications de la stratégie d'authentification' sous la catégorie Accès aux objets. Utilisez l'Éditeur de stratégie de groupe (gpedit.msc) pour naviguer vers Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Configuration de la stratégie d'audit avancée > Stratégies d'audit > Accès aux objets. Activez l'audit des réussites et des échecs pour une couverture complète. Appliquez la stratégie en utilisant 'gpupdate /force' et vérifiez les paramètres avec 'auditpol /get /subcategory:"Authentication Policy Change"'. Pour les environnements de domaine, configurez cela au niveau du domaine via la Console de gestion des stratégies de groupe. Assurez-vous que des politiques de rétention des journaux adéquates sont en place car les événements d'authentification peuvent générer un volume de journaux important. Envisagez d'utiliser le transfert d'événements Windows pour centraliser ces événements pour une meilleure analyse et gestion de la rétention.

Documentation

Références (2)

Microsoft Security Auditing DocumentationComprehensive guide to Windows security auditing including authentication package events and audit policy configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview

Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for security events including authentication package loading.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs

Event 6276

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min

Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment

Event 6274

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min

Network Policy Server monitoring dashboard showing authentication events and security logs

Event 6273

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min

Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs

Event 6272

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...