ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4935 password reset security alerts
Event ID 4935WarningMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4935 – Microsoft-Windows-Security-Auditing : Tentatives maximales de réinitialisation de mot de passe quotidiennes dépassées

L'ID d'événement 4935 se déclenche lorsqu'un compte utilisateur dépasse le nombre maximal de tentatives de réinitialisation de mot de passe autorisées sur une période de 24 heures, activant des mécanismes de verrouillage de sécurité pour prévenir les attaques par force brute.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4935Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4935 sert d'indicateur de sécurité critique dans le cadre Microsoft-Windows-Security-Auditing, spécifiquement conçu pour détecter et enregistrer les tentatives excessives de réinitialisation de mot de passe qui pourraient indiquer une activité malveillante. Cet événement est généré par l'Autorité de sécurité locale (LSA) lorsque le nombre de demandes de réinitialisation de mot de passe pour un compte utilisateur spécifique dépasse le seuil quotidien configuré.

Le mécanisme d'événement fonctionne indépendamment des politiques standard de verrouillage de compte, se concentrant spécifiquement sur les opérations de réinitialisation de mot de passe. Cette séparation garantit que les tentatives d'authentification légitimes ne sont pas affectées par l'abus de réinitialisation de mot de passe, tout en offrant une protection contre les attaquants qui pourraient exploiter la fonctionnalité de réinitialisation de mot de passe en libre-service.

Lorsque cet événement se déclenche, Windows bloque temporairement d'autres tentatives de réinitialisation de mot de passe pour le compte affecté, généralement pour une période de 24 heures. La durée exacte et les valeurs de seuil sont configurables via les paramètres de stratégie de groupe ou de politique de sécurité locale. L'entrée du journal des événements inclut des détails complets tels que le nom du compte cible, l'adresse IP source ou le nom de la station de travail, et l'horodatage de la tentative déclenchante.

Dans les environnements Windows modernes, en particulier ceux intégrés à Azure AD ou aux solutions d'identité hybrides, cet événement devient de plus en plus important car la fonctionnalité de réinitialisation de mot de passe est souvent exposée via des portails web et des applications mobiles. L'événement aide les administrateurs à identifier les menaces potentielles pour la sécurité tout en maintenant l'utilisabilité pour les utilisateurs légitimes qui peuvent occasionnellement avoir besoin de réinitialiser leurs mots de passe.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur tentant à plusieurs reprises de réinitialiser le mot de passe en raison de confusion sur les exigences actuelles du mot de passe
  • Outils de gestion de mots de passe automatisés mal configurés avec des identifiants incorrects
  • Attaques par force brute ciblant les portails de réinitialisation de mot de passe en libre-service
  • Acteurs malveillants tentant d'exploiter la fonctionnalité de réinitialisation de mot de passe pour prendre le contrôle de comptes
  • Comptes de service avec des scripts de réinitialisation de mot de passe automatisés rencontrant des problèmes d'authentification
  • Problèmes d'intégration entre les fournisseurs d'identité causant des tentatives de réinitialisation répétées
  • Applications mobiles ou identifiants mis en cache déclenchant plusieurs demandes de réinitialisation
  • Attaques de phishing où les victimes tentent à plusieurs reprises de réinitialiser des comptes compromis
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement de sécurité

Commencez par examiner les détails spécifiques de l'ID d'événement 4935 pour comprendre l'étendue et la source des tentatives de réinitialisation de mot de passe.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4935 en utilisant la commande PowerShell suivante :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4935} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  1. Examinez les détails de l'événement pour :
    • Nom du compte cible et domaine
    • Poste de travail source ou adresse IP
    • Modèles de timestamp indiquant la fréquence
    • Informations associées au type de connexion
  2. Faites une référence croisée avec l'ID d'événement 4625 (tentatives de connexion échouées) pour identifier les attaques coordonnées :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625,4935; StartTime=(Get-Date).AddHours(-24)} | Sort-Object TimeCreated
Astuce pro : Recherchez des modèles dans le timing entre les événements - les utilisateurs légitimes espacent généralement les tentatives de réinitialisation, tandis que les attaques automatisées montrent des intervalles cohérents.
02

Vérifier la configuration de la politique de réinitialisation de mot de passe

Vérifiez et ajustez les seuils de tentative de réinitialisation de mot de passe pour équilibrer la sécurité avec l'utilisabilité.

  1. Ouvrez Stratégie de sécurité locale ou Console de gestion des stratégies de groupe
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéStratégies de compteStratégie de verrouillage de compte
  3. Examinez les paramètres suivants :
    • Seuil de verrouillage de compte
    • Durée de verrouillage de compte
    • Réinitialiser le compteur de verrouillage de compte après
  4. Vérifiez le registre pour les paramètres spécifiques de réinitialisation de mot de passe :
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "MaximumPasswordAge" -ErrorAction SilentlyContinue
  1. Pour les environnements de domaine, vérifiez les paramètres de stratégie de groupe :
gpresult /h C:\temp\gpresult.html
  1. Examinez les paramètres Azure AD Connect si vous utilisez une identité hybride :
Get-ADSyncScheduler
Avertissement : La modification des politiques de verrouillage affecte tous les utilisateurs. Testez les modifications dans un environnement non productif d'abord.
03

Enquêter sur l'IP source et l'activité réseau

Analysez la source réseau des tentatives de réinitialisation de mot de passe pour identifier les menaces potentielles ou les systèmes compromis.

  1. Extrait les adresses IP sources des entrées Event ID 4935 :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4935; StartTime=(Get-Date).AddDays(-7)}
$Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        TargetUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        WorkstationName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'WorkstationName'} | Select-Object -ExpandProperty '#text'
        IpAddress = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object IpAddress | Sort-Object Count -Descending
  1. Vérifiez les journaux du pare-feu Windows pour un contexte supplémentaire :
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Firewall With Advanced Security/Firewall'; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*password*' -or $_.Message -like '*reset*'}
  1. Examinez les journaux IIS si vous exécutez des portails de réinitialisation de mot de passe basés sur le web :
Get-Content "C:\inetpub\logs\LogFiles\W3SVC1\*.log" | Select-String "password|reset" | Select-Object -Last 50
  1. Utilisez netstat pour vérifier les connexions suspectes :
netstat -an | findstr :443
Astuce pro : Corrélez les adresses IP avec des flux de renseignements sur les menaces ou vérifiez-les par rapport à des bases de données d'IP malveillantes connues.
04

Mettre en œuvre une surveillance et une alerte améliorées

Configurez une surveillance proactive pour détecter et répondre aux modèles d'abus de réinitialisation de mot de passe avant qu'ils n'affectent les utilisateurs.

  1. Créez un abonnement personnalisé de transfert d'événements Windows pour l'ID d'événement 4935 :
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>PasswordResetMonitoring</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Surveiller les tentatives excessives de réinitialisation de mot de passe</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query><![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[(EventID=4935)]]</Select>
            </Query>
        </QueryList>
    ]]></Query>
</Subscription>
  1. Créez un script PowerShell pour l'alerte automatisée :
# Enregistrer sous Monitor-PasswordResetAbuse.ps1
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4935; StartTime=(Get-Date).AddMinutes(-15)}
if ($Events.Count -gt 5) {
    $AlertMessage = "Volume élevé de tentatives de réinitialisation de mot de passe détecté : $($Events.Count) événements dans les 15 dernières minutes"
    Write-EventLog -LogName Application -Source "Password Reset Monitor" -EventId 9999 -EntryType Warning -Message $AlertMessage
    # Envoyer une alerte par email
    Send-MailMessage -To "admin@company.com" -From "monitor@company.com" -Subject "Password Reset Alert" -Body $AlertMessage -SmtpServer "mail.company.com"
}
  1. Planifiez le script de surveillance à l'aide du Planificateur de tâches :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-PasswordResetAbuse.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Password Reset Monitoring" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Configurez la taille du journal des événements Windows pour assurer la rétention :
wevtutil sl Security /ms:1073741824
05

Mettre en œuvre des procédures de protection et de récupération des comptes

Déployer des mesures de protection des comptes complètes et établir des procédures pour gérer les incidents d'abus de réinitialisation de mot de passe.

  1. Activer Advanced Threat Analytics (ATA) ou la surveillance de Microsoft Defender for Identity :
# Vérifier si le capteur Defender for Identity est installé
Get-Service -Name "AATPSensor" -ErrorAction SilentlyContinue
  1. Mettre en œuvre des politiques d'accès conditionnel pour les opérations de réinitialisation de mot de passe (environnements Azure AD) :
# Se connecter à Azure AD
Connect-AzureAD
# Examiner les politiques d'accès conditionnel existantes
Get-AzureADMSConditionalAccessPolicy | Where-Object {$_.Conditions.Applications.IncludeApplications -contains "All"}
  1. Configurer des exemptions de verrouillage de compte pour les comptes de service :
# Ajouter des comptes de service au groupe d'exemption de verrouillage
$ServiceAccounts = @("svc-backup", "svc-monitoring", "svc-app")
foreach ($Account in $ServiceAccounts) {
    Add-ADGroupMember -Identity "Lockout Exempt Accounts" -Members $Account -ErrorAction SilentlyContinue
}
  1. Créer des procédures de réponse aux incidents :
# Script automatisé de protection des comptes
function Protect-CompromisedAccount {
    param([string]$Username)
    
    # Désactiver temporairement le compte
    Disable-ADAccount -Identity $Username
    
    # Forcer la réinitialisation du mot de passe
    Set-ADUser -Identity $Username -ChangePasswordAtLogon $true
    
    # Enregistrer l'action
    Write-EventLog -LogName Application -Source "Security Response" -EventId 8888 -EntryType Information -Message "Account $Username protected due to password reset abuse"
    
    # Notifier l'équipe de sécurité
    Send-MailMessage -To "security@company.com" -From "automated-response@company.com" -Subject "Account Protection: $Username" -Body "Account $Username has been temporarily disabled due to excessive password reset attempts." -SmtpServer "mail.company.com"
}
  1. Mettre en œuvre l'authentification multi-facteurs pour les opérations de réinitialisation de mot de passe :
# Vérifier le statut MFA pour les utilisateurs subissant des abus de réinitialisation
Get-MsolUser | Where-Object {$_.StrongAuthenticationRequirements.State -ne "Enforced"} | Select-Object UserPrincipalName, @{Name="MFAStatus";Expression={$_.StrongAuthenticationRequirements.State}}
Avertissement : La protection automatisée des comptes peut affecter les utilisateurs légitimes. Assurez-vous que des flux de travail d'approbation appropriés et des procédures de retour en arrière sont en place.

Aperçu

L'ID d'événement 4935 apparaît dans le journal de sécurité lorsque Windows détecte qu'un compte utilisateur a dépassé le nombre maximal de tentatives de réinitialisation de mot de passe configuré dans une fenêtre de 24 heures. Ce mécanisme de sécurité empêche les attaques par force brute automatisées contre les comptes utilisateurs en bloquant temporairement les demandes de réinitialisation de mot de passe supplémentaires.

L'événement se déclenche dans le cadre de la protection intégrée de verrouillage de compte de Windows, ciblant spécifiquement les opérations de réinitialisation de mot de passe plutôt que les tentatives d'authentification standard. Cette distinction est cruciale car les tentatives de réinitialisation de mot de passe contournent souvent les politiques traditionnelles de verrouillage de compte qui s'appliquent aux échecs de connexion réguliers.

Vous verrez généralement cet événement dans des environnements avec des portails de réinitialisation de mot de passe en libre-service, des systèmes de gestion de mot de passe automatisés, ou lorsque des attaquants tentent d'exploiter la fonctionnalité de réinitialisation de mot de passe. L'événement fournit des informations détaillées sur le compte affecté, la source des tentatives et le seuil configuré qui a été dépassé.

Cet événement nécessite une enquête immédiate car il indique souvent soit une confusion légitime de l'utilisateur concernant les procédures de réinitialisation de mot de passe, soit une activité malveillante ciblant les comptes de votre organisation. Le moment et la fréquence de ces événements peuvent révéler des schémas qui aident à distinguer entre une erreur utilisateur et des attaques coordonnées.

Questions Fréquentes

Que signifie l'ID d'événement 4935 et pourquoi devrais-je m'en préoccuper ?+
L'ID d'événement 4935 indique qu'un compte utilisateur a dépassé le nombre maximal de tentatives de réinitialisation de mot de passe autorisées sur une période de 24 heures. Cela est préoccupant car cela signale souvent soit une attaque par force brute ciblant votre fonctionnalité de réinitialisation de mot de passe, soit un compte compromis en cours d'exploitation. Contrairement aux échecs de connexion réguliers, l'abus de réinitialisation de mot de passe peut contourner les mécanismes traditionnels de verrouillage de compte, faisant de cet événement un indicateur de sécurité critique nécessitant une enquête immédiate.
Comment puis-je distinguer entre une confusion légitime de l'utilisateur et une activité malveillante en voyant l'ID d'événement 4935 ?+
Les utilisateurs légitimes montrent généralement des schémas de timing irréguliers avec des intervalles plus longs entre les tentatives de réinitialisation, souvent pendant les heures de bureau, et généralement à partir d'adresses IP ou de postes de travail cohérents. L'activité malveillante affiche des schémas automatisés avec des intervalles constants (toutes les quelques secondes ou minutes), se produit à des heures inhabituelles, provient de plusieurs adresses IP ou d'adresses IP suspectes, et cible souvent plusieurs comptes simultanément. Vérifiez les détails de l'événement pour l'IP source, les schémas de timing, et croisez avec d'autres événements de sécurité comme 4625 (échecs de connexion) pour obtenir une image complète.
Quels sont les seuils par défaut pour les tentatives de réinitialisation de mot de passe avant que l'ID d'événement 4935 ne se déclenche ?+
Windows n'a pas de seuil par défaut universel pour les tentatives de réinitialisation de mot de passe, car cela varie selon l'implémentation et la configuration. Le seuil est généralement configuré via la stratégie de groupe sous les paramètres de la stratégie de verrouillage de compte ou au sein d'applications spécifiques comme les portails de réinitialisation de mot de passe en libre-service. Les configurations d'entreprise courantes vont de 3 à 10 tentatives par période de 24 heures. Vous pouvez vérifier vos paramètres actuels dans la stratégie de sécurité locale sous Politiques de compte → Stratégie de verrouillage de compte, ou utiliser PowerShell pour interroger les valeurs du registre sous HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters.
L'ID d'événement 4935 peut-il être déclenché par des comptes de service ou des systèmes automatisés ?+
Oui, les comptes de service et les systèmes automatisés peuvent déclencher l'ID d'événement 4935 s'ils sont configurés avec des identifiants incorrects ou rencontrent des problèmes d'authentification qui provoquent des tentatives répétées de réinitialisation de mot de passe. Cela se produit couramment avec les outils de gestion des mots de passe, les systèmes de sauvegarde automatisés ou les applications qui mettent en cache les identifiants. Pour éviter les faux positifs, envisagez d'ajouter des comptes de service aux groupes d'exemption de verrouillage, de mettre en œuvre une gestion appropriée des identifiants pour les systèmes automatisés et de configurer la surveillance pour distinguer les événements de compte de service et de compte utilisateur.
Comment dois-je réagir lorsque l'ID d'événement 4935 apparaît pour plusieurs comptes simultanément ?+
Des occurrences multiples et simultanées de l'ID d'événement 4935 indiquent généralement une attaque coordonnée ou un problème à l'échelle du système. Enquêtez immédiatement sur les adresses IP sources et les schémas de temps pour déterminer s'il s'agit d'une activité malveillante. Si cela est confirmé comme une attaque, mettez en œuvre des mesures d'urgence : bloquez les adresses IP suspectes au niveau du pare-feu, désactivez temporairement les comptes affectés si nécessaire, forcez la réinitialisation des mots de passe pour les comptes potentiellement compromis, et informez votre équipe de sécurité. Vérifiez également les événements connexes comme 4625 (échecs de connexion) et examinez les journaux d'authentification des applications web ou des fournisseurs d'identité pour comprendre l'ampleur complète de l'incident.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including account management and authentication monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Account Lockout Policy ConfigurationOfficial documentation for configuring account lockout policies and thresholds in Windows environments.https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-lockout-policy
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4935#password-reset

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...