ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event Viewer with security audit logs and policy configurations
Event ID 4933InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4933 – Microsoft-Windows-Security-Auditing : Création de la table de stratégie d'audit par utilisateur

L'ID d'événement 4933 se déclenche lorsque Windows crée une table de stratégie d'audit par utilisateur lors du démarrage du système ou lorsque les stratégies d'audit sont modifiées. Cet événement d'audit de sécurité suit l'initialisation des paramètres d'audit spécifiques à l'utilisateur.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4933Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4933 représente un composant critique de l'infrastructure avancée d'audit de sécurité de Windows. Lorsque cet événement se déclenche, il signale que le système d'exploitation a réussi à créer ou à mettre à jour la table de politique d'audit par utilisateur, qui sert de fondation pour la journalisation des événements de sécurité spécifiques à l'utilisateur.

La table de politique d'audit par utilisateur est une structure de données maintenue par le Service du Sous-système de l'Autorité de Sécurité Locale (LSASS) qui associe des comptes d'utilisateurs individuels à leurs paramètres de politique d'audit spécifiques. Contrairement aux politiques d'audit traditionnelles à l'échelle du système qui s'appliquent uniformément à tous les utilisateurs, les politiques par utilisateur permettent aux administrateurs de configurer différentes catégories d'audit pour différents utilisateurs ou groupes. Par exemple, les comptes administratifs peuvent avoir un audit complet activé tandis que les utilisateurs standard ont un audit minimal pour réduire le volume des journaux.

Cet événement devient particulièrement significatif dans les environnements d'entreprise où les exigences de conformité nécessitent un suivi détaillé des activités des utilisateurs privilégiés tout en maintenant les performances du système pour les utilisateurs réguliers. La création de la table de politique d'audit garantit que les événements de sécurité ultérieurs seront correctement catégorisés et enregistrés selon les politiques spécifiques à l'utilisateur définies par les administrateurs.

Dans les déploiements modernes de Windows, cet événement indique également que le système est prêt à traiter les configurations avancées de politique d'audit livrées via la Stratégie de Groupe. Le moment de cet événement peut être crucial pour le dépannage des problèmes de déploiement de politique d'audit, car il confirme que l'infrastructure sous-jacente est opérationnelle et prête à appliquer les politiques configurées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage du système et initialisation de l'Autorité de sécurité locale (LSA)
  • Actualisation de la stratégie de groupe incluant les paramètres de stratégie d'audit par utilisateur
  • Modification manuelle des stratégies d'audit de sécurité locale via secpol.msc
  • Application de nouvelles configurations de stratégie d'audit via la commande auditpol.exe
  • Redémarrage du service du sous-système de l'Autorité de sécurité locale (LSASS)
  • Installation ou configuration de logiciels de gestion de la sécurité qui modifient les stratégies d'audit
  • Réplication de la stratégie du contrôleur de domaine incluant les paramètres d'audit par utilisateur
  • Opérations de récupération du système qui reconstruisent les bases de données de stratégie de sécurité
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le journal de sécurité

Commencez par examiner les détails de l'événement pour comprendre le contexte et le moment de la création de la table de politique d'audit.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4933 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4933 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'ID d'événement 4933 le plus récent pour voir des informations détaillées
  6. Notez l'horodatage, le contexte utilisateur, et tout détail supplémentaire dans la description de l'événement

Utilisez PowerShell pour interroger plusieurs instances :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4933} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Vérifiez la fréquence de cet événement. Il devrait généralement apparaître lors du démarrage du système ou des cycles de rafraîchissement de la politique, pas en continu.
02

Examiner la configuration actuelle de la politique d'audit

Examinez les paramètres actuels de la stratégie d'audit par utilisateur pour comprendre ce qui a déclenché la création de la table.

  1. Ouvrez une session d'invite de commandes ou PowerShell avec élévation de privilèges
  2. Exécutez la commande suivante pour afficher les paramètres actuels de la stratégie d'audit :
auditpol /get /category:*
  1. Pour vérifier spécifiquement les stratégies d'audit par utilisateur :
auditpol /get /user:* /category:*
  1. Examinez les paramètres de la stratégie de groupe en ouvrant gpedit.msc (Éditeur de stratégie de groupe locale)
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  3. Vérifiez si des stratégies d'audit par utilisateur sont configurées sous Stratégies d'audit
  4. Vérifiez que la sous-catégorie Changement de stratégie d'audit est activée pour suivre les modifications futures de la stratégie
Avertissement : La modification des stratégies d'audit peut avoir un impact significatif sur les performances du système et le volume des journaux. Testez toujours les modifications dans un environnement non productif d'abord.
03

Analyser l'application des stratégies de groupe

Enquêter pour savoir si des modifications de la stratégie de groupe ont déclenché la création de la table de stratégie d'audit.

  1. Vérifier l'état d'application de la stratégie de groupe :
gpresult /r /scope:computer
  1. Générer un rapport détaillé de la stratégie de groupe :
gpresult /h C:\temp\gpreport.html /scope:computer
  1. Ouvrir le rapport HTML généré et rechercher les paramètres de la stratégie d'audit
  2. Vérifier le journal des événements de la stratégie de groupe pour les événements d'application de la stratégie :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-GroupPolicy'} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)}
  1. Forcer une actualisation de la stratégie de groupe pour tester si l'événement se reproduit :
gpupdate /force
  1. Surveiller le journal de sécurité pour les nouvelles entrées d'ID d'événement 4933 après l'actualisation de la stratégie
  2. Si dans un environnement de domaine, vérifier les journaux d'événements du contrôleur de domaine pour les problèmes de réplication de la stratégie
04

Enquêter sur le service LSASS et le sous-système de sécurité

Examinez le service du sous-système de l'autorité de sécurité locale et les composants associés qui gèrent les politiques d'audit.

  1. Vérifiez l'état du service LSASS et les événements de redémarrage récents :
Get-Service -Name LSASS | Format-List *
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036} | Where-Object {$_.Message -like '*LSASS*'} | Select-Object TimeCreated, Id, Message
  1. Examinez les événements d'initialisation du sous-système de sécurité :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4608,4609} -MaxEvents 10
  1. Vérifiez la corruption de la base de données de la politique de sécurité ou les événements de reconstruction :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-General'} | Where-Object {$_.Message -like '*security*'}
  1. Examinez l'emplacement du registre de la politique de sécurité pour les modifications récentes :
Get-ItemProperty -Path "HKLM\SECURITY\Policy" -ErrorAction SilentlyContinue
Astuce pro : La ruche de registre SECURITY est protégée et peut nécessiter des autorisations spéciales pour y accéder. Utilisez Process Monitor (ProcMon) pour suivre l'accès aux fichiers et au registre lors de l'initialisation de la politique.
05

Dépannage avancé avec le traçage de la politique d'audit

Activez le traçage détaillé pour les opérations de politique d'audit afin de capturer des informations de diagnostic complètes.

  1. Activez la journalisation de débogage de la politique d'audit en modifiant le registre :
New-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" -Name "AuditBaseObjects" -Value 1 -PropertyType DWORD -Force
  1. Activez la journalisation d'audit et d'authentification LSA :
auditpol /set /subcategory:"Authentication Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Authorization Policy Change" /success:enable /failure:enable
  1. Utilisez Windows Performance Toolkit (WPT) pour tracer l'activité du sous-système de sécurité :
# Démarrer la trace ETW pour les opérations LSA
wpr -start GeneralProfile -filemode
  1. Reproduisez le problème en redémarrant le système ou en forçant une actualisation de la politique
  2. Arrêtez la trace et analysez :
wpr -stop C:\temp\lsa_trace.etl
  1. Utilisez Event Tracing for Windows (ETW) pour surveiller les événements de politique d'audit en temps réel :
# Script PowerShell pour surveiller les événements ETW de la politique d'audit
$session = New-EtwTraceSession -Name "AuditPolicyTrace" -LogFileMode 0x8000100
Add-EtwTraceProvider -SessionName "AuditPolicyTrace" -Guid "{54849625-5478-4994-A5BA-3E3B0328C30D}" -Level 5
Start-EtwTraceSession -Name "AuditPolicyTrace"
Avertissement : Le traçage ETW peut générer de grandes quantités de données et affecter les performances du système. Utilisez uniquement pendant le dépannage actif et arrêtez les traces une fois terminé.

Aperçu

L'ID d'événement 4933 apparaît dans le journal de sécurité lorsque Windows crée ou initialise une table de stratégie d'audit par utilisateur. Cet événement se déclenche lors du démarrage du système lorsque l'Autorité de sécurité locale (LSA) établit des paramètres de stratégie d'audit pour des utilisateurs individuels, ou lorsque les stratégies d'audit sont modifiées dynamiquement via les modifications de la stratégie de groupe ou de la stratégie de sécurité locale.

La fonctionnalité de stratégie d'audit par utilisateur permet aux administrateurs de configurer différents paramètres d'audit pour des utilisateurs spécifiques plutôt que d'appliquer des stratégies d'audit à l'échelle du système. Ce contrôle granulaire est particulièrement précieux dans les environnements où différents rôles d'utilisateur nécessitent différents niveaux de surveillance de la sécurité. L'événement indique que Windows a réussi à établir le cadre de la stratégie d'audit pour suivre les événements de sécurité spécifiques à l'utilisateur.

Cet événement fait partie de la configuration avancée de la stratégie d'audit introduite dans Windows Vista et améliorée dans les versions ultérieures. Dans Windows 11 et Server 2025, les capacités d'audit par utilisateur ont été étendues pour prendre en charge des attributions de stratégie plus granulaires et améliorer les performances pour les déploiements à grande échelle. L'événement apparaît généralement peu de temps après le démarrage du système ou lors des actualisations de la stratégie de groupe.

Questions Fréquentes

Que signifie l'ID d'événement 4933 et quand se produit-il ?+
L'ID d'événement 4933 indique que Windows a créé ou initialisé une table de stratégie d'audit par utilisateur. Cet événement se produit lors du démarrage du système lorsque l'Autorité de sécurité locale (LSA) établit les paramètres de stratégie d'audit, lors des actualisations de la stratégie de groupe qui incluent des modifications de la stratégie d'audit, ou lorsque les stratégies d'audit sont modifiées manuellement. L'événement confirme que le système est prêt à appliquer des stratégies d'audit spécifiques à l'utilisateur plutôt que de simples paramètres à l'échelle du système.
L'ID d'événement 4933 est-il une préoccupation de sécurité ou un comportement normal du système ?+
L'ID d'événement 4933 est un comportement normal du système et n'est pas une préoccupation de sécurité. C'est un événement informatif qui indique le bon fonctionnement de l'infrastructure de la politique d'audit de Windows. Cependant, si vous voyez cet événement se produire fréquemment en dehors des cycles normaux de démarrage ou de rafraîchissement des politiques, cela pourrait indiquer des problèmes avec l'application des stratégies de groupe, une instabilité du service LSASS ou des modifications non autorisées des politiques d'audit qui nécessitent une enquête.
Comment puis-je déterminer ce qui a déclenché l'apparition de l'ID d'événement 4933 ?+
Pour déterminer le déclencheur, comparez l'horodatage de l'événement avec les temps de démarrage du système, les cycles de rafraîchissement de la stratégie de groupe et toute modification récente de la stratégie d'audit. Utilisez 'gpresult /r' pour vérifier les applications récentes de la stratégie de groupe, examinez le journal Système pour les événements de redémarrage de service autour de la même période, et examinez les événements d'ID 4719 (changement de stratégie d'audit) qui pourraient avoir précédé l'événement 4933. Les détails de l'événement peuvent également inclure le contexte concernant l'utilisateur ou le processus spécifique qui a initié la création de la table de stratégie.
Puis-je désactiver l'ID d'événement 4933 s'il génère trop d'entrées de journal ?+
Bien que vous puissiez désactiver cet événement en désactivant la sous-catégorie 'Audit Authentication Policy Change' en utilisant 'auditpol /set /subcategory:"Authentication Policy Change" /success:disable', cela n'est pas recommandé dans les environnements soucieux de la sécurité. Au lieu de cela, examinez pourquoi l'événement se produit fréquemment. Les systèmes normaux ne devraient générer cet événement qu'au démarrage et lors de rafraîchissements occasionnels de la politique. Des occurrences fréquentes peuvent indiquer des problèmes sous-jacents qui nécessitent une résolution plutôt qu'une suppression.
Quelle est la différence entre les politiques d'audit par utilisateur et les politiques d'audit à l'échelle du système ?+
Les stratégies d'audit à l'échelle du système appliquent les mêmes paramètres d'audit à tous les utilisateurs du système, tandis que les stratégies d'audit par utilisateur permettent des configurations d'audit différentes pour des utilisateurs ou groupes individuels. Les stratégies par utilisateur offrent un contrôle granulaire, permettant aux administrateurs d'appliquer un audit complet aux comptes privilégiés tout en utilisant un audit minimal pour les utilisateurs standard afin de réduire le volume des journaux et d'améliorer les performances. L'ID d'événement 4933 se rapporte spécifiquement à l'initialisation de l'infrastructure de la stratégie d'audit par utilisateur, qui gère ces paramètres spécifiques aux utilisateurs.
Documentation

Références (2)

1
Microsoft Learn - Advanced Security Audit PoliciesComprehensive guide to configuring and managing advanced audit policies in Windows, including per-user audit policy settings.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policies
2
Microsoft Docs - Audit Authentication Policy ChangeOfficial documentation for the Authentication Policy Change audit subcategory that generates Event ID 4933.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-authentication-policy-change
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4933#audit-policies

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...