ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing privilege assignment events in Event Viewer
Event ID 4876InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4876 – Sécurité : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 4876 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés lors de l'authentification.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4876Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4876 représente un composant critique de l'audit de sécurité Windows qui suit les attributions de privilèges spéciaux lors des sessions de connexion utilisateur. Lorsque Windows authentifie un utilisateur et détermine que des privilèges spéciaux doivent être attribués à son jeton de sécurité, cet événement capture les détails de ce processus d'attribution de privilèges.

L'événement contient plusieurs points de données clés, y compris le nom du compte cible, le domaine, l'ID de connexion et, surtout, les privilèges spécifiques qui ont été attribués. Les privilèges courants suivis incluent SeDebugPrivilege, SeBackupPrivilege, SeRestorePrivilege et d'autres droits système sensibles qui pourraient être utilisés pour des tâches administratives ou des activités potentiellement malveillantes.

Cet événement est généré par le sous-système de sécurité Windows et apparaît dans les environnements où l'audit de sécurité avancé est activé. L'événement aide les équipes de sécurité à comprendre le paysage des privilèges de leur environnement en fournissant une visibilité sur le moment où des autorisations élevées sont accordées et à qui. Il est particulièrement précieux pour détecter les tentatives d'escalade de privilèges, surveiller les activités des comptes de service et assurer la conformité avec les politiques de sécurité qui régissent l'accès administratif.

Dans les environnements Windows modernes exécutant les mises à jour de 2026, cet événement est devenu encore plus important car Microsoft a amélioré les capacités de suivi des privilèges et introduit des contrôles d'audit plus granulaires pour les attributions de privilèges spéciaux.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur administratif se connectant avec des privilèges élevés
  • Comptes de service démarrant avec des privilèges système spéciaux
  • Applications demandant des jetons d'accès élevés via UAC
  • Tâches planifiées s'exécutant avec des privilèges spéciaux
  • Stratégie de groupe appliquant des attributions de privilèges aux comptes d'utilisateur
  • Contrôleurs de domaine attribuant des privilèges lors de l'authentification Kerberos
  • Autorité de sécurité locale (LSA) accordant des droits spéciaux lors de la connexion
  • Logiciel de sécurité tiers demandant des privilèges au niveau système
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4876 pour comprendre quels privilèges ont été attribués et à quel compte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4876 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4876 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4876 pour voir les détails
  6. Examinez l'onglet Général pour les informations sur le compte et les privilèges attribués
  7. Vérifiez l'onglet Détails pour les données XML contenant les noms des privilèges
Astuce pro : Recherchez le champ PrivilegeList dans les détails de l'événement pour voir exactement quels privilèges spéciaux ont été attribués à la session utilisateur.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4876 sur votre système.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour récupérer les événements récents 4876 :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  1. Pour une analyse plus détaillée, extrayez des propriétés d'événement spécifiques :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        PrivilegeList = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'} | Select-Object -ExpandProperty '#text'
    }
}
  1. Pour rechercher des attributions de privilèges spécifiques, filtrez par nom de privilège :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876} | Where-Object {$_.Message -like '*SeDebugPrivilege*'}
03

Analyser les modèles d'attribution de privilèges

Enquêter sur les modèles d'attribution de privilèges pour identifier le comportement normal par rapport aux préoccupations potentielles en matière de sécurité.

  1. Créer un script PowerShell pour analyser la fréquence d'attribution des privilèges :
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876; StartTime=(Get-Date).AddDays(-7)}
$privilegeStats = @{}

foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $privileges = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'} | Select-Object -ExpandProperty '#text'
    $user = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    
    if ($privileges) {
        $key = "$user - $privileges"
        if ($privilegeStats.ContainsKey($key)) {
            $privilegeStats[$key]++
        } else {
            $privilegeStats[$key] = 1
        }
    }
}

$privilegeStats.GetEnumerator() | Sort-Object Value -Descending | Format-Table Name, Value
  1. Vérifier les attributions de privilèges inhabituelles en les comparant au comportement de référence
  2. Examiner la politique d'attribution des droits utilisateur dans la console de gestion des stratégies de groupe
  3. Accéder à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéPolitiques localesAttribution des droits utilisateur
  4. Vérifier que les attributions de privilèges sont conformes aux politiques de sécurité de l'organisation
04

Configurer l'audit avancé pour le suivi des privilèges

Améliorez la surveillance des privilèges en configurant des politiques d'audit avancées pour une meilleure visibilité sur les attributions de privilèges.

  1. Ouvrez Éditeur de stratégie de groupe locale en exécutant gpedit.msc
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration des politiques d'audit avancéesPolitiques d'auditUtilisation des privilèges
  3. Activez Audit de l'utilisation des privilèges sensibles pour les succès et les échecs
  4. Appliquez la politique en exécutant :
gpupdate /force
  1. Pour les environnements de domaine, configurez la politique d'audit via la gestion des stratégies de groupe :
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable
  1. Vérifiez la configuration de l'audit :
auditpol /get /subcategory:"Sensitive Privilege Use"
Avertissement : Activer un audit complet des privilèges peut générer un volume de journaux important. Surveillez l'espace disque et envisagez le transfert des journaux vers une solution de journalisation centrale.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance automatisée pour détecter en temps réel les activités suspectes d'attribution de privilèges.

  1. Créez une tâche planifiée pour surveiller les attributions de privilèges inhabituelles :
$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Monitor-PrivilegeAssignments.ps1'
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "Monitor-Event4876" -Action $action -Trigger $trigger -Principal $principal
  1. Créez le script de surveillance à C:\Scripts\Monitor-PrivilegeAssignments.ps1 :
# Monitor-PrivilegeAssignments.ps1
$lastCheck = (Get-Date).AddMinutes(-15)
$suspiciousPrivileges = @('SeDebugPrivilege', 'SeTakeOwnershipPrivilege', 'SeLoadDriverPrivilege')

$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4876; StartTime=$lastCheck} -ErrorAction SilentlyContinue

foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $privileges = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'} | Select-Object -ExpandProperty '#text'
    $user = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    
    foreach ($suspiciousPriv in $suspiciousPrivileges) {
        if ($privileges -like "*$suspiciousPriv*") {
            Write-EventLog -LogName Application -Source "PrivilegeMonitor" -EventId 1001 -EntryType Warning -Message "Suspicious privilege assignment: $suspiciousPriv to user $user at $($event.TimeCreated)"
        }
    }
}
  1. Enregistrez la source d'événements personnalisée :
New-EventLog -LogName Application -Source "PrivilegeMonitor"
  1. Configurez le transfert d'événements Windows (WEF) pour centraliser la surveillance des privilèges sur plusieurs systèmes

Aperçu

L'ID d'événement 4876 se déclenche lorsque Windows attribue des privilèges spéciaux à une session de connexion utilisateur nouvellement établie. Cet événement d'audit de sécurité capture le moment où des droits d'accès élevés sont accordés à un compte utilisateur pendant le processus d'authentification. L'événement apparaît dans le journal de sécurité et fournit des informations détaillées sur les privilèges attribués, à quel compte utilisateur, et pendant quelle session de connexion.

Cet événement est particulièrement significatif pour la surveillance de la sécurité car il suit les activités d'escalade de privilèges. Lorsqu'un utilisateur se connecte avec des droits administratifs, que des comptes de service commencent avec des privilèges élevés, ou que des applications demandent des jetons d'accès spéciaux, l'ID d'événement 4876 documente ces attributions de privilèges. L'événement aide les administrateurs à suivre qui reçoit des permissions élevées et quand ces attributions se produisent.

L'événement apparaît généralement aux côtés d'autres événements de connexion comme 4624 (connexion réussie) et fournit un contexte supplémentaire sur les permissions de sécurité accordées pendant le processus d'authentification. Comprendre cet événement est crucial pour maintenir une surveillance de sécurité appropriée et détecter un potentiel abus de privilèges dans les environnements Windows.

Questions Fréquentes

Que signifie l'ID d'événement 4876 et pourquoi est-il important ?+
L'ID d'événement 4876 indique que des privilèges spéciaux ont été attribués à une session de connexion utilisateur. Cet événement est crucial pour la surveillance de la sécurité car il suit quand des permissions élevées sont accordées, aidant les administrateurs à détecter les tentatives d'escalade de privilèges et à assurer la conformité avec les politiques de sécurité. L'événement offre une visibilité sur les privilèges spécifiques qui ont été attribués et à quel compte utilisateur.
Quels privilèges sont couramment suivis par l'ID d'événement 4876 ?+
Les privilèges couramment suivis incluent SeDebugPrivilege (déboguer des programmes), SeBackupPrivilege (sauvegarder des fichiers et des répertoires), SeRestorePrivilege (restaurer des fichiers et des répertoires), SeTakeOwnershipPrivilege (prendre possession de fichiers), SeLoadDriverPrivilege (charger des pilotes de périphériques) et SeSystemtimePrivilege (changer l'heure système). Ces privilèges accordent un accès système significatif et sont souvent ciblés par les attaquants.
Comment puis-je distinguer entre les occurrences normales et suspectes de l'ID d'événement 4876 ?+
Les occurrences normales impliquent généralement des comptes administratifs connus, des comptes de service ou des tâches planifiées recevant des privilèges attendus pendant les heures de bureau normales. Les activités suspectes incluent des comptes d'utilisateur inconnus recevant des droits à haut privilège, des attributions de privilèges en dehors des heures normales, ou des utilisateurs recevant des privilèges dont ils n'ont généralement pas besoin. Établissez des bases de référence des modèles normaux d'attribution de privilèges pour identifier les anomalies.
Pourquoi ne vois-je pas l'ID d'événement 4876 dans mon journal de sécurité ?+
L'ID d'événement 4876 nécessite l'activation de l'audit de sécurité avancé. Vérifiez que 'Audit de l'utilisation des privilèges sensibles' est configuré dans votre stratégie d'audit. Vous pouvez le vérifier en utilisant la commande 'auditpol /get /subcategory:"Sensitive Privilege Use"'. Si l'audit est désactivé, activez-le via la stratégie de groupe ou en utilisant la commande auditpol. Assurez-vous également que votre compte utilisateur dispose de privilèges suffisants pour afficher les événements du journal de sécurité.
Comment dois-je réagir aux événements inattendus d'ID d'événement 4876 ?+
Tout d'abord, vérifiez la légitimité de l'attribution de privilèges en vérifiant si elle correspond à des activités administratives autorisées ou à des tâches planifiées. Examinez le compte utilisateur impliqué et confirmez qu'il devrait avoir ces privilèges. Si l'attribution semble non autorisée, enquêtez immédiatement sur les activités récentes de l'utilisateur, recherchez des signes de compromission, envisagez de désactiver temporairement le compte et examinez d'autres journaux de sécurité pour des événements suspects connexes. Documentez l'incident et suivez les procédures de réponse en matière de sécurité de votre organisation.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security event auditing and configurationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/auditing-security-events
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for privilege monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#privilege-escalation#security-auditing#event-id-4876

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...