ID d'événement Windows 4892 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

Commencez par examiner les détails spécifiques de l'ID d'événement 4892 pour comprendre le contexte du changement d'heure.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 4892 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
4. Entrez 4892 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 4892 pour voir les informations détaillées
6. Notez les valeurs Ancienne heure et Nouvelle heure dans la description de l'événement
7. Vérifiez l'ID de processus et l'ID de thread pour identifier la source du changement d'heure

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=4892} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Examinez les paramètres du service de temps Windows pour déterminer si la synchronisation de l'heure est correctement configurée.

1. Ouvrez Invite de commandes en tant qu'administrateur
2. Vérifiez l'état actuel du service de temps :

w32tm /query /status

3. Examinez la configuration de la source de temps :

w32tm /query /source

4. Affichez la configuration détaillée du service de temps :

w32tm /query /configuration

5. Vérifiez les événements récents de synchronisation de l'heure :

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 10

6. Vérifiez la connectivité du serveur NTP si la synchronisation externe est configurée :

w32tm /stripchart /computer:time.windows.com /samples:5

Identifiez quels processus ou services initient des changements d'heure en corrélant l'ID d'événement 4892 avec l'activité des processus.

1. Activez le suivi des processus dans la stratégie de sécurité locale :
2. Ouvrez Stratégie de sécurité locale (secpol.msc)
3. Accédez à Configuration avancée de la stratégie d'audit → Accès aux objets
4. Activez Audit de la création de processus pour les événements de réussite
5. Utilisez PowerShell pour corréler les événements de changement d'heure avec la création de processus :

# Obtenez les événements récents de changement d'heure avec les détails du processus
$TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=4892} -MaxEvents 5

foreach ($Event in $TimeChangeEvents) {
    $EventTime = $Event.TimeCreated
    Write-Host "Événement de changement d'heure : $EventTime" -ForegroundColor Yellow
    
    # Recherchez les événements de processus autour du même moment (±2 minutes)
    $StartTime = $EventTime.AddMinutes(-2)
    $EndTime = $EventTime.AddMinutes(2)
    
    $ProcessEvents = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4688
        StartTime=$StartTime
        EndTime=$EndTime
    } -ErrorAction SilentlyContinue
    
    $ProcessEvents | Select-Object TimeCreated, @{Name='ProcessName';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*New Process Name:*'}) -replace '.*New Process Name:\s*',''}}
}

6. Vérifiez les tâches planifiées qui pourraient changer l'heure système :

Get-ScheduledTask | Where-Object {$_.Actions.Execute -like '*time*' -or $_.Actions.Arguments -like '*time*'} | Select-Object TaskName, State, Actions

Examinez les problèmes de synchronisation temporelle liés au matériel, en particulier dans les environnements virtualisés.

1. Vérifiez l'état de la batterie CMOS et la précision de l'horloge matérielle :

# Comparez l'horloge matérielle avec l'heure système
$HardwareTime = Get-WmiObject -Class Win32_BIOS | Select-Object -ExpandProperty ReleaseDate
$SystemTime = Get-Date
Write-Host "Heure système : $SystemTime"
Write-Host "Date du BIOS : $HardwareTime"

2. Pour les machines virtuelles, vérifiez les paramètres de synchronisation temporelle :

# Détectez si vous êtes dans une VM et vérifiez la synchronisation temporelle
$VM = Get-WmiObject -Class Win32_ComputerSystem | Select-Object Manufacturer, Model
if ($VM.Manufacturer -like '*VMware*' -or $VM.Manufacturer -like '*Microsoft*') {
    Write-Host "Machine virtuelle détectée : $($VM.Manufacturer) $($VM.Model)" -ForegroundColor Green
    # Vérifiez VMware Tools ou Hyper-V Integration Services
    Get-Service | Where-Object {$_.Name -like '*vmtools*' -or $_.Name -like '*vmictime*'}
}

3. Examinez les journaux d'événements système pour les problèmes temporels liés au matériel :

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-Power'} -MaxEvents 10 | Where-Object {$_.Message -like '*time*'}

4. Vérifiez les paramètres du registre pour le comportement de synchronisation temporelle :

# Examinez les paramètres du registre du service de temps
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" | Select-Object Type, NtpServer
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config" | Select-Object MaxPosPhaseCorrection, MaxNegPhaseCorrection

Configurez une surveillance complète des changements de temps pour détecter les modèles et les problèmes de sécurité potentiels.

1. Créez un script PowerShell pour la surveillance continue des changements de temps :

# TimeChangeMonitor.ps1
param(
    [int]$MonitorDurationMinutes = 60,
    [string]$LogPath = "C:\Logs\TimeChangeMonitor.log"
)

$StartTime = Get-Date
$EndTime = $StartTime.AddMinutes($MonitorDurationMinutes)

Write-Host "Surveillance des changements de temps jusqu'à $EndTime" -ForegroundColor Green

while ((Get-Date) -lt $EndTime) {
    $Events = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=4892
        StartTime=(Get-Date).AddMinutes(-1)
    } -ErrorAction SilentlyContinue
    
    foreach ($Event in $Events) {
        $LogEntry = "$(Get-Date): Changement de temps détecté - $($Event.Message)"
        Write-Host $LogEntry -ForegroundColor Yellow
        Add-Content -Path $LogPath -Value $LogEntry
        
        # Envoyer une alerte si le changement de temps est significatif (>30 secondes)
        if ($Event.Message -match 'Old Time: (.+) New Time: (.+)') {
            $OldTime = [DateTime]::Parse($Matches[1])
            $NewTime = [DateTime]::Parse($Matches[2])
            $TimeDiff = [Math]::Abs(($NewTime - $OldTime).TotalSeconds)
            
            if ($TimeDiff -gt 30) {
                Write-Host "ALERTE : Changement de temps significatif détecté ($TimeDiff secondes)" -ForegroundColor Red
                # Ajoutez votre mécanisme d'alerte ici (email, SIEM, etc.)
            }
        }
    }
    
    Start-Sleep -Seconds 10
}

2. Configurez le transfert d'événements Windows pour une surveillance centralisée :

wecutil qc
wecutil cs TimeChangeSubscription.xml

3. Créez une tâche planifiée pour exécuter le script de surveillance :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\TimeChangeMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest

4. Configurez une traçabilité personnalisée avec Windows Performance Toolkit (WPT) pour une analyse détaillée :

wpr -start GeneralProfile -filemode
# Reproduisez le problème de changement de temps
wpr -stop TimeChangeTrace.etl