ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying audit policy events on a professional monitoring dashboard
Event ID 4964InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4964 – Microsoft-Windows-Security-Auditing : Politique d'audit d'accès aux objets modifiée

L'ID d'événement 4964 enregistre lorsque les paramètres de la stratégie d'audit d'accès aux objets sont modifiés sur les systèmes Windows, indiquant des changements dans la configuration de l'audit des fichiers, dossiers ou registres.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4964Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4964 représente un composant critique de l'infrastructure d'audit de sécurité de Windows. Lorsque cet événement se déclenche, il indique que quelqu'un ou quelque chose a modifié les paramètres de la stratégie d'audit d'accès aux objets qui déterminent quelles tentatives d'accès aux fichiers, dossiers, registres et autres objets sont enregistrées dans le journal des événements de sécurité.

L'événement contient des informations détaillées sur le changement de stratégie, y compris l'état de la stratégie précédente, le nouvel état de la stratégie et le contexte de sécurité dans lequel le changement s'est produit. Ce suivi granulaire aide les administrateurs de sécurité à comprendre exactement ce qui a changé et qui a initié la modification.

Les stratégies d'audit d'accès aux objets contrôlent si Windows enregistre les tentatives d'accès réussies, les tentatives d'accès échouées, ou les deux pour divers types d'objets. Ces stratégies sont fondamentales pour la surveillance de la sécurité car elles déterminent la visibilité sur les modèles d'accès aux ressources. Sans un audit d'accès aux objets approprié, les organisations perdent des capacités d'analyse critique et des preuves de conformité.

L'événement se produit généralement lors des cycles de rafraîchissement des stratégies de groupe, des modifications manuelles de la stratégie via la console de stratégie de sécurité locale, ou des modifications programmatiques à l'aide d'outils comme auditpol.exe. Dans les environnements d'entreprise, cet événement est souvent corrélé avec des mises à jour programmées des stratégies de groupe ou des fenêtres de maintenance administrative.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur modifiant manuellement la politique d'audit via la console de la stratégie de sécurité locale
  • Mises à jour de l'objet de stratégie de groupe (GPO) modifiant les paramètres de la politique d'audit
  • Outils en ligne de commande comme auditpol.exe utilisés pour modifier la configuration d'audit
  • Scripts PowerShell ou outils d'automatisation modifiant la politique d'audit de manière programmatique
  • Logiciels de sécurité ou outils de conformité ajustant les paramètres d'audit
  • Opérations de restauration du système rétablissant les modifications de la politique d'audit
  • Réplication de la politique du contrôleur de domaine mettant à jour les paramètres d'audit locaux
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4964 pour comprendre ce qui a changé.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4964 en utilisant l'option Filtrer le journal actuel
  4. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4964 pour voir les détails
  5. Examinez l'onglet Général pour les informations sur le changement de politique, y compris :
    • ID de sécurité du sujet (qui a fait le changement)
    • État précédent de la politique
    • Nouvel état de la politique
    • Informations sur le processus
  6. Vérifiez l'onglet Détails pour la vue XML avec les données complètes de l'événement
Astuce pro : Les détails de l'événement montrent à la fois les anciens et nouveaux états de la politique d'audit en format hexadécimal. Utilisez la documentation de la politique d'audit Windows pour décoder ces valeurs.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour récupérer et analyser les occurrences de l'ID d'événement 4964 avec des capacités de filtrage et de formatage.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4964 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4964} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Obtenez des informations détaillées pour des événements spécifiques :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4964} -MaxEvents 10
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    Write-Host "Time: $($Event.TimeCreated)"
    Write-Host "Subject: $($EventData | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Previous Policy: $($EventData | Where-Object {$_.Name -eq 'PreviousPolicy'} | Select-Object -ExpandProperty '#text')"
    Write-Host "New Policy: $($EventData | Where-Object {$_.Name -eq 'NewPolicy'} | Select-Object -ExpandProperty '#text')"
    Write-Host "---"
}
  4. Exportez les événements vers un fichier CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4964} | Select-Object TimeCreated, Id, LevelDisplayName, UserId, ProcessId, Message | Export-Csv -Path "C:\Temp\Event4964.csv" -NoTypeInformation
03

Vérifier la configuration actuelle de la politique d'audit

Vérifiez les paramètres actuels de la politique d'audit pour comprendre la configuration actuelle du système et comparez-les avec les changements historiques.

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Affichez les paramètres actuels de la politique d'audit :
    auditpol /get /category:*
  3. Concentrez-vous sur les politiques d'audit d'accès aux objets :
    auditpol /get /subcategory:"File System" /subcategory:"Registry" /subcategory:"Kernel Object" /subcategory:"SAM" /subcategory:"Certification Services" /subcategory:"Application Generated"
  4. Vérifiez les paramètres d'audit de la stratégie de groupe :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "AuditBaseObjects"
  5. Examinez les paramètres de la politique de sécurité locale en ouvrant secpol.msc et en naviguant vers Politiques localesPolitique d'audit
  6. Comparez les paramètres actuels avec les états de la politique enregistrés dans l'ID d'événement 4964 pour identifier les écarts
Avertissement : Les changements de politique d'audit peuvent avoir un impact significatif sur les performances du système et le volume des journaux. Assurez-vous que des politiques adéquates d'espace disque et de rétention des journaux sont en place.
04

Enquêter sur les sources de stratégie de groupe

Déterminez si les modifications de la stratégie d'audit proviennent des mises à jour de la stratégie de groupe et identifiez le GPO source.

  1. Vérifiez les événements d'application de la stratégie de groupe :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 20 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)}
  2. Examinez le traitement de la stratégie de groupe pour la stratégie d'audit :
    Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational'} -MaxEvents 50 | Where-Object {$_.Message -like "*audit*"}
  3. Utilisez les résultats de la stratégie de groupe pour identifier les stratégies appliquées :
    gpresult /h C:\Temp\GPResult.html /f
  4. Vérifiez les paramètres spécifiques du GPO de la stratégie d'audit :
    gpresult /z | findstr /i "audit"
  5. Examinez les journaux d'événements du contrôleur de domaine si dans un environnement de domaine :
    Get-WinEvent -ComputerName "DC01" -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 10
  6. Examinez les événements de modification du GPO sur les contrôleurs de domaine :
    Get-WinEvent -ComputerName "DC01" -FilterHashtable @{LogName='Security'; Id=5136,5137,5141} | Where-Object {$_.Message -like "*audit*"}
05

Corrélation avancée et analyse judiciaire

Effectuer une analyse complète pour corréler l'ID d'événement 4964 avec d'autres événements de sécurité et identifier les implications potentielles en matière de sécurité.

  1. Créer une chronologie des événements de sécurité liés :
    $StartTime = (Get-Date).AddDays(-7)
$Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4964; StartTime=$StartTime}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719; StartTime=$StartTime}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4902; StartTime=$StartTime}
$Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id, Message -Wrap
  2. Vérifier les événements d'escalade de privilèges autour de la même période :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674} | Where-Object {$_.TimeCreated -gt $StartTime -and $_.TimeCreated -lt $StartTime.AddHours(1)}
  3. Analyser les événements de création de processus pour les outils de politique d'audit :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*auditpol*" -or $_.Message -like "*secpol*"}
  4. Examiner les événements d'accès au registre pour les clés de politique d'audit :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -like "*CurrentControlSet\Control\Lsa\Audit*"}
  5. Générer un rapport complet de changement de politique d'audit :
    $Report = @()
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4964} | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    $Report += [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        Domain = ($EventData | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
        ProcessName = ($EventData | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
        PreviousPolicy = ($EventData | Where-Object {$_.Name -eq 'PreviousPolicy'}).'#text'
        NewPolicy = ($EventData | Where-Object {$_.Name -eq 'NewPolicy'}).'#text'
    }
}
$Report | Export-Csv -Path "C:\Temp\AuditPolicyChanges.csv" -NoTypeInformation
Astuce pro : Corréler l'ID d'événement 4964 avec les événements de connexion (4624/4625) pour identifier si des changements de politique ont eu lieu pendant des sessions de connexion suspectes.

Aperçu

L'ID d'événement 4964 se déclenche lorsque Windows détecte des modifications des paramètres de la stratégie d'audit d'accès aux objets. Cet événement d'audit de sécurité suit les modifications des politiques d'audit qui contrôlent si le système enregistre les tentatives d'accès aux fichiers, dossiers, clés de registre et autres objets sécurisables. L'événement apparaît dans le journal de sécurité chaque fois qu'un administrateur ou un processus automatisé modifie les paramètres de la stratégie d'audit via la stratégie de groupe, la stratégie de sécurité locale ou des outils en ligne de commande comme auditpol.exe.

Cet événement est crucial pour la surveillance de la sécurité car l'audit d'accès aux objets contrôle la visibilité sur qui accède aux ressources sensibles. Les modifications de ces politiques peuvent indiquer des actions administratives légitimes ou une éventuelle altération de la politique de sécurité. L'événement capture à la fois les anciens et nouveaux états de la politique, fournissant une piste d'audit complète des modifications de politique.

Windows génère cet événement sur les contrôleurs de domaine, les serveurs membres et les stations de travail lorsque des modifications de la politique d'audit se produisent localement ou via l'application de la stratégie de groupe. Les équipes de sécurité s'appuient sur cet événement pour suivre les dérives de la politique d'audit et garantir la conformité aux exigences de sécurité organisationnelles.

Questions Fréquentes

Que signifie l'ID d'événement 4964 et pourquoi est-il important ?+
L'ID d'événement 4964 indique que les paramètres de la stratégie d'audit d'accès aux objets ont été modifiés sur le système Windows. Cet événement est crucial pour la surveillance de la sécurité car il suit les modifications des stratégies qui contrôlent si Windows enregistre les tentatives d'accès aux fichiers, dossiers, clés de registre et autres objets sécurisables. Ces stratégies d'audit sont fondamentales pour les capacités d'analyse judiciaire et les exigences de conformité, donc suivre leurs modifications aide à détecter à la fois les actions administratives légitimes et les éventuelles altérations de la politique de sécurité.
Comment puis-je déterminer qui a modifié la politique d'audit lorsque l'ID d'événement 4964 apparaît ?+
Les détails de l'ID d'événement 4964 contiennent les champs ID de sécurité du sujet et Nom d'utilisateur du sujet qui identifient qui a effectué le changement. Vous pouvez trouver cette information dans le Visualiseur d'événements en double-cliquant sur l'événement et en consultant l'onglet Général, ou utiliser PowerShell pour extraire le SubjectUserName et le SubjectDomainName des données de l'événement. De plus, vérifiez les événements corrélés comme 4688 (création de processus) pour voir si des outils comme auditpol.exe ont été utilisés, et examinez les événements 4624 (ouverture de session) pour comprendre le contexte d'authentification.
L'ID d'événement 4964 est-il normal à voir dans les environnements d'entreprise ?+
Oui, l'ID d'événement 4964 est normal dans les environnements d'entreprise, surtout lors des cycles de rafraîchissement des stratégies de groupe ou des fenêtres de maintenance programmées. Il apparaît couramment lorsque les objets de stratégie de groupe contenant des paramètres de politique d'audit sont mis à jour et appliqués aux systèmes. Cependant, les occurrences inattendues en dehors des fenêtres de maintenance ou les modifications effectuées par des utilisateurs non autorisés doivent être investiguées. La fréquence dépend du calendrier de mise à jour des stratégies de groupe de votre organisation et des pratiques de gestion des politiques d'audit.
Que dois-je faire si je vois des occurrences fréquentes de l'ID d'événement 4964 ?+
Des occurrences fréquentes de l'ID d'événement 4964 peuvent indiquer des problèmes de traitement des stratégies de groupe, des GPO conflictuels ou des préoccupations potentielles en matière de sécurité. Tout d'abord, corrélez les événements avec les cycles de rafraîchissement des stratégies de groupe en utilisant l'ID d'événement 1502/1503 dans le journal Système. Vérifiez si plusieurs GPO appliquent des politiques d'audit conflictuelles. Examinez les schémas de synchronisation - si des changements se produisent en dehors des fenêtres de maintenance normales, enquêtez sur la source. Utilisez gpresult pour identifier quels GPO appliquent des politiques d'audit et assurez-vous qu'ils sont conformes à vos exigences de sécurité. Envisagez de mettre en œuvre des processus de contrôle des modifications pour les modifications des politiques d'audit.
Comment puis-je empêcher les modifications non autorisées des stratégies d'audit qui déclenchent l'ID d'événement 4964 ?+
Pour empêcher les modifications non autorisées de la politique d'audit, mettez en œuvre plusieurs contrôles de sécurité : restreindre l'appartenance aux groupes ayant des privilèges de politique d'audit (comme Administrateurs et Opérateurs de sauvegarde), utiliser la stratégie de groupe pour appliquer les paramètres de politique d'audit depuis un emplacement central, activer la surveillance des modifications de la politique d'audit via l'alerte de l'ID d'événement 4964, mettre en œuvre des processus de gestion des changements appropriés pour les modifications de GPO, et envisager d'utiliser des configurations de sécurité de référence pour maintenir des configurations d'audit cohérentes. De plus, surveillez les schémas inhabituels dans les occurrences de l'ID d'événement 4964 et corrélez-les avec d'autres événements de sécurité pour détecter les tentatives potentielles de falsification de la politique.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security auditing including audit policy configuration and event interpretationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/
2
Windows Security Log Events ReferenceOfficial Microsoft documentation covering security event IDs and their meaningshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#audit-policy#event-id-4964

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...