ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying event logs and audit information in a cybersecurity operations center
Event ID 4890InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4890 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée

L'ID d'événement 4890 enregistre lorsqu'un processus demande un handle à un objet système. Cet événement d'audit de sécurité suit les tentatives d'accès aux objets à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4890Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4890 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows. Lorsqu'il est activé via la stratégie de groupe ou la stratégie de sécurité locale, cet événement capture chaque tentative d'un processus d'obtenir un handle vers un objet système. La demande de handle est la première étape du modèle d'accès aux objets de Windows – avant qu'un processus puisse interagir avec un fichier, une clé de registre, un processus ou une autre ressource système, il doit d'abord obtenir un handle.

L'événement fournit des détails granulaires sur la tentative d'accès, y compris les droits d'accès spécifiques demandés (lecture, écriture, exécution, suppression, etc.), le descripteur de sécurité de l'objet, et si la demande a été accordée ou refusée. Cette information est cruciale pour comprendre les schémas d'accès et identifier les violations potentielles de sécurité.

Les versions modernes de Windows génèrent cet événement pour divers types d'objets, y compris les fichiers, les répertoires, les clés de registre, les canaux nommés, les processus, les threads, les jetons et les objets de synchronisation. Les métadonnées riches de l'événement permettent une corrélation avec d'autres événements de sécurité pour construire des pistes d'audit complètes. Les équipes de sécurité utilisent cet événement pour surveiller l'accès privilégié, suivre les tentatives d'exfiltration de données et assurer la conformité avec les exigences réglementaires comme SOX, HIPAA et GDPR.

La fréquence de l'événement peut être substantielle dans des environnements occupés, rendant les outils de filtrage et d'analyse appropriés essentiels. Le transfert d'événements Windows (WEF) et les solutions de journalisation centralisée aident à gérer le volume tout en préservant les informations critiques de sécurité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Processus tentant d'ouvrir un fichier ou un répertoire
  • Application accédant à des clés ou valeurs de registre
  • Service demandant un accès à un autre processus ou thread
  • Logiciel de sécurité scannant des objets système
  • Logiciel de sauvegarde accédant à des fichiers pour des opérations de sauvegarde
  • Tâches de maintenance système accédant à des ressources protégées
  • Applications utilisateur ouvrant des documents ou exécutables
  • Malware tentant d'accéder à des objets système sensibles
  • Outils d'administration effectuant des tâches de gestion système
  • Windows Update accédant à des fichiers système lors des mises à jour
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails de l'événement pour comprendre le contexte et la portée de la demande d'accès à l'objet.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4890 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Dans la boîte de dialogue de filtrage, entrez 4890 dans le champ ID d'événements
  5. Double-cliquez sur un événement 4890 pour voir des informations détaillées, y compris :
    • Sujet : Compte utilisateur effectuant la demande
    • Objet : Chemin et type de l'objet cible
    • Informations sur le processus : Nom exécutable et ID de processus
    • Informations sur la demande d'accès : Droits d'accès demandés
  6. Notez le champ Nom de l'objet pour identifier quelle ressource a été accédée
  7. Vérifiez la valeur du Masque d'accès pour comprendre les permissions demandées
Astuce pro : Utilisez l'onglet Détails en vue XML pour voir tous les champs disponibles pour une analyse programmatique.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4890 sur des plages de temps et des critères spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4890 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par types d'objets spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like "*\Windows\System32\*"}
  4. Extrayez les informations clés des événements :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890} -MaxEvents 100 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data[1].'#text'
        ObjectName = $xml.Event.EventData.Data[6].'#text'
        ProcessName = $xml.Event.EventData.Data[9].'#text'
        AccessMask = $xml.Event.EventData.Data[10].'#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\Event4890_Analysis.csv" -NoTypeInformation
Avertissement : Interroger un grand nombre d'événements de sécurité peut affecter les performances du système. Utilisez les filtres de temps et le paramètre MaxEvents de manière appropriée.
03

Configurer les politiques d'audit d'accès aux objets

Configurez correctement les politiques d'audit pour contrôler quand l'ID d'événement 4890 est généré et assurez-vous de capturer le bon niveau de détail.

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditAccès aux objets
  3. Configurez les politiques suivantes en fonction de vos besoins de surveillance:
    • Audit du système de fichiers : Activer pour l'accès aux fichiers et dossiers
    • Audit du registre : Activer pour l'accès aux clés de registre
    • Audit de la manipulation des poignées : Activer pour les opérations de poignée
    • Audit des objets du noyau : Activer pour l'accès aux objets système
  4. Définissez chaque politique sur Succès et Échec pour une surveillance complète
  5. Appliquez la politique en utilisant:
    gpupdate /force
  6. Vérifiez l'application de la politique:
    auditpol /get /category:"Object Access"
  7. Pour l'audit spécifique des fichiers/dossiers, configurez la SACL (Liste de contrôle d'accès système):
    icacls "C:\Sensitive\" /grant "Everyone:(OI)(CI)F" /audit "Everyone:(OI)(CI)F"
Astuce pro : Utilisez la Configuration avancée de la stratégie d'audit au lieu des politiques d'audit de base pour un contrôle granulaire et de meilleures performances.
04

Analyser les modèles d'accès et corréler les événements

Effectuer une analyse avancée pour identifier des schémas suspects, corréler avec d'autres événements de sécurité et construire des pistes d'audit complètes.

  1. Créer un script PowerShell pour analyser les schémas d'accès :
    # Analyser les événements 4890 pour des schémas inhabituels
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890; StartTime=(Get-Date).AddDays(-1)}

$analysis = $events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        Time = $_.TimeCreated
        User = $xml.Event.EventData.Data[1].'#text'
        Object = $xml.Event.EventData.Data[6].'#text'
        Process = $xml.Event.EventData.Data[9].'#text'
        AccessMask = $xml.Event.EventData.Data[10].'#text'
    }
}

# Regrouper par utilisateur pour identifier les accès à haut volume
$analysis | Group-Object User | Sort-Object Count -Descending | Select-Object Name, Count
  2. Corréler avec les événements de connexion (4624) pour suivre les sessions utilisateur :
    $logons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddHours(-2)}
$objectAccess = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4890; StartTime=(Get-Date).AddHours(-2)}

# Recouper les heures de connexion avec l'accès aux objets
  3. Identifier l'accès à des emplacements sensibles :
    $sensitiveObjects = @("*\Windows\System32\config\*", "*\Users\*\Documents\*", "*\Program Files\*")
$events | Where-Object {$_.Message -match ($sensitiveObjects -join "|")}
  4. Mettre en place une surveillance automatisée avec des tâches planifiées :
    $action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4890.ps1"
$trigger = New-ScheduledTaskTrigger -Daily -At "09:00"
Register-ScheduledTask -TaskName "Monitor4890Events" -Action $action -Trigger $trigger
  5. Exporter les résultats vers une plateforme SIEM ou d'analyse de journaux pour une tendance à long terme
Astuce pro : Combiner l'ID d'événement 4890 avec 4656 (poignée demandée), 4658 (poignée fermée) et 4663 (objet accédé) pour un suivi complet du cycle de vie de l'accès aux objets.
05

Mettre en œuvre une surveillance et une alerte avancées

Déployez des solutions de surveillance de niveau entreprise pour gérer les événements 4890 à haut volume et mettre en œuvre des alertes intelligentes pour les incidents de sécurité.

  1. Configurez Windows Event Forwarding (WEF) pour la collecte centralisée :
    # Sur le serveur collecteur
wecutil cs subscription.xml

# contenu de subscription.xml :
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>Security4890Collection</SubscriptionId>
    <Query><![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4890]]</Select>
            </Query>
        </QueryList>
    ]]></Query>
</Subscription>
  2. Configurez des traces personnalisées Windows Performance Toolkit (WPT) pour une analyse détaillée :
    wpr -start GeneralProfile -start CPU -start FileIO
  3. Configurez Microsoft Sentinel (si disponible) avec des requêtes KQL personnalisées :
    SecurityEvent
| where EventID == 4890
| where TimeGenerated > ago(1h)
| summarize count() by Account, ObjectName
| where count_ > 100
  4. Mettez en œuvre une surveillance en temps réel basée sur PowerShell :
    # Surveillance des événements en temps réel
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4890" -Action {
    $event = $Event.SourceEventArgs.NewEvent
    if ($event.Message -match "sensitive_pattern") {
        Send-MailMessage -To "security@company.com" -Subject "Suspicious 4890 Event" -Body $event.Message
    }
}
  5. Créez des vues personnalisées du journal des événements pour un triage rapide :
    • Ouvrez Observateur d'événementsVues personnaliséesCréer une vue personnalisée
    • Filtrez par ID d'événement 4890 et critères spécifiques
    • Enregistrez sous "Accès aux objets critiques" pour un accès rapide
  6. Intégrez avec des solutions SIEM tierces en utilisant le transfert syslog standard ou des connecteurs API
Avertissement : Les événements 4890 à haute fréquence peuvent surcharger l'infrastructure de journalisation. Mettez en œuvre des politiques de filtrage et de rétention appropriées pour gérer l'impact sur le stockage et les performances.

Aperçu

L'ID d'événement 4890 se déclenche lorsqu'un processus demande un handle à un objet système tel que des fichiers, des clés de registre, des processus ou des threads. Cet événement fait partie du cadre d'audit d'accès aux objets de Windows et apparaît dans le journal de sécurité lorsque les politiques d'audit d'accès aux objets sont activées. L'événement capture des détails critiques, y compris le processus demandeur, l'objet cible, les droits d'accès demandés et le contexte de sécurité dans lequel la demande a été faite.

Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. Il aide les administrateurs à suivre qui a accédé à quelles ressources et quand, ce qui le rend inestimable pour détecter les tentatives d'accès non autorisées ou les schémas d'activité suspects. L'événement se déclenche avant que l'accès réel ne se produise, enregistrant l'intention d'accéder plutôt que l'achèvement réussi de l'accès.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré les informations contextuelles de l'événement pour inclure une télémétrie de processus supplémentaire et une meilleure corrélation avec d'autres événements de sécurité. L'événement s'intègre à Windows Defender Advanced Threat Protection (ATP) et Microsoft Sentinel pour des scénarios avancés de détection de menaces.

Questions Fréquentes

Que signifie l'ID d'événement 4890 et quand se produit-il ?+
L'ID d'événement 4890 indique qu'un processus a demandé un handle à un objet système. Cet événement se produit chaque fois qu'une application, un service ou un processus système tente d'accéder à des fichiers, des clés de registre, des processus, des threads ou d'autres objets Windows. L'événement est généré avant que l'accès réel ne se produise, enregistrant l'intention et les autorisations demandées. Il fait partie du cadre d'audit d'accès aux objets de Windows et n'apparaît que lorsque les politiques d'audit appropriées sont activées. L'événement fournit des informations cruciales pour la surveillance de la sécurité, y compris le processus demandeur, l'objet cible, le contexte utilisateur et les droits d'accès spécifiques demandés.
Comment puis-je réduire le volume des événements d'ID d'événement 4890 sans perdre la visibilité de sécurité ?+
Pour gérer le volume d'événements 4890 tout en maintenant la couverture de sécurité, mettez en œuvre des stratégies d'audit ciblées. Utilisez la Configuration des stratégies d'audit avancées pour activer l'audit uniquement pour les types d'objets critiques comme 'Audit File System' pour les répertoires sensibles plutôt que pour tout accès aux fichiers. Configurez les Listes de contrôle d'accès système (SACL) sur des cibles spécifiques de grande valeur au lieu d'un audit à l'échelle du système. Mettez en œuvre le filtrage des événements au niveau de la collecte en utilisant des abonnements Windows Event Forwarding avec des requêtes XPath pour capturer uniquement les événements correspondant à des critères spécifiques. Envisagez d'utiliser l'audit de réussite uniquement pour les opérations de routine et de réussite/échec pour les ressources sensibles. Déployez une journalisation centralisée avec des règles de filtrage intelligentes qui priorisent les événements en fonction de la sensibilité des objets, du niveau de privilège des utilisateurs et des modèles d'accès.
L'ID d'événement 4890 peut-il aider à détecter des logiciels malveillants ou des tentatives d'accès non autorisées ?+
Oui, l'ID d'événement 4890 est précieux pour détecter les activités malveillantes et les accès non autorisés. Les logiciels malveillants génèrent souvent des motifs distinctifs 4890 lors de l'accès aux fichiers système, aux clés de registre ou en tentant de s'injecter dans des processus. Recherchez des motifs d'accès inhabituels tels que des processus non standard accédant à des répertoires système sensibles, des tentatives d'accès à haute fréquence à partir de processus uniques, ou un accès à des objets système généralement inutilisés. Corrélez les événements 4890 avec les événements de création de processus (4688) pour identifier un comportement exécutable suspect. Surveillez les tentatives d'accès aux clés de registre liées à la sécurité, aux fichiers de configuration système ou aux magasins d'identifiants utilisateur. Établissez des bases de référence des motifs d'accès aux objets normaux et alertez sur les écarts. Les métadonnées riches de l'événement permettent une corrélation avec les flux de renseignements sur les menaces et une analyse comportementale pour identifier les menaces persistantes avancées et les menaces internes.
Quelle est la différence entre l'ID d'événement 4890 et d'autres événements d'accès aux objets comme 4656 et 4663 ?+
L'ID d'événement 4890, 4656 et 4663 représentent différentes étapes du cycle de vie de l'accès aux objets Windows. L'événement 4890 se produit lorsqu'une poignée vers un objet est demandée - c'est la tentative initiale d'accès. L'événement 4656 se déclenche lorsqu'une poignée est ouverte avec succès, indiquant que la demande d'accès a été accordée. L'événement 4663 enregistre lorsque l'objet est effectivement accédé ou utilisé via la poignée ouverte. Cette séquence fournit une piste d'audit complète : 4890 (demande) → 4656 (poignée ouverte) → 4663 (objet accédé) → 4658 (poignée fermée). Pour une surveillance complète, analysez tous ces événements ensemble. L'événement 4890 est utile pour détecter les tentatives d'accès même si elles échouent, tandis que 4663 montre un accès aux données réussi. La combinaison aide à distinguer entre les tentatives de reconnaissance et l'exfiltration réelle de données.
Comment puis-je dépanner l'absence d'événements d'ID d'événement 4890 lorsque je m'attends à ce qu'ils soient générés ?+
Les événements manquants 4890 résultent généralement d'une configuration incorrecte de la politique d'audit ou de permissions insuffisantes. Tout d'abord, vérifiez que l'audit d'accès aux objets est activé en utilisant 'auditpol /get /category:"Object Access"' - assurez-vous que les sous-catégories pertinentes affichent 'Succès et Échec'. Vérifiez que la Configuration Avancée de la Politique d'Audit est utilisée plutôt que les politiques d'audit héritées, car elles peuvent entrer en conflit. Vérifiez que les Listes de Contrôle d'Accès Système (SACL) sont correctement configurées sur les objets cibles en utilisant 'icacls filename /audit'. Confirmez que le journal de sécurité n'est pas plein ou fréquemment effacé. Vérifiez l'application de la Stratégie de Groupe avec 'gpresult /r' pour vous assurer que les politiques d'audit sont appliquées correctement. Vérifiez que le compte générant les événements a le privilège 'Générer des audits de sécurité'. Testez d'abord avec un scénario simple d'accès à un fichier, puis étendez à des objets plus complexes. Rappelez-vous que certains processus système peuvent être exclus de l'audit par défaut pour des raisons de performance.
Documentation

Références (2)

1
Microsoft Learn - Advanced Security Audit PoliciesComprehensive guide to configuring advanced audit policies including object access auditing and Event ID 4890 generation.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policies
2
Microsoft Security Compliance ToolkitOfficial toolkit containing security baselines and audit policy recommendations for Windows systems.https://www.microsoft.com/en-us/download/details.aspx?id=55319
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#object-access#event-id-4890

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...