ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4976 privilege tracking logs
Event ID 4976InformationMicrosoft-Windows-Security-AuditingWindows Security

ID d'événement Windows 4976 – Microsoft-Windows-Security-Auditing : Connexion spéciale

L'ID d'événement 4976 enregistre lorsqu'un compte utilisateur se voit accorder des privilèges spéciaux lors de la connexion, généralement pour les comptes de service ou l'accès administratif nécessitant des autorisations élevées.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4976Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4976 représente un composant critique de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour suivre les attributions de privilèges lors de l'authentification des utilisateurs. Lorsque l'Autorité de sécurité de Windows accorde des privilèges spéciaux à un compte lors de la connexion, cet événement capture la transaction avec des détails complets sur l'élévation de privilèges.

La structure de l'événement inclut les informations sur le compte cible, les détails de la session de connexion et une liste complète des privilèges accordés. Les scénarios courants déclenchant cet événement incluent les comptes de service démarrant avec des droits de connexion spécifiques, les utilisateurs administratifs accédant aux systèmes avec des privilèges élevés, et les tâches par lots s'exécutant avec des permissions spéciales. L'événement enregistre également le package d'authentification utilisé et le processus de connexion responsable de l'attribution des privilèges.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré le format de l'événement pour inclure un contexte supplémentaire sur les sources de privilèges et les scénarios de délégation. L'événement fournit désormais une meilleure corrélation avec les paramètres de stratégie de groupe et les attributions de privilèges Active Directory, facilitant la traçabilité des origines des privilèges dans des environnements de domaine complexes.

Les équipes de sécurité s'appuient sur l'ID d'événement 4976 pour détecter les escalades de privilèges non autorisées, surveiller le comportement des comptes de service et assurer la conformité avec les principes de moindre privilège. L'énumération détaillée des privilèges de l'événement aide les administrateurs à comprendre exactement quelles capacités ont été accordées, permettant une analyse de sécurité précise et des enquêtes judiciaires.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Comptes de service se connectant avec des droits de connexion spécifiques au service (SeServiceLogonRight)
  • Utilisateurs administratifs accédant aux systèmes avec des privilèges élevés via UAC ou RunAs
  • Tâches par lots ou tâches planifiées s'exécutant avec des autorisations de connexion spéciales (SeBatchLogonRight)
  • Comptes de service réseau s'authentifiant avec des privilèges de délégation
  • Applications demandant et recevant des droits utilisateur spécifiques au démarrage
  • Connexions aux services Terminal ou Bureau à distance avec des privilèges spéciaux
  • Comptes système (SYSTEM, LOCAL SERVICE, NETWORK SERVICE) recevant des privilèges supplémentaires
  • Droits utilisateur assignés par la stratégie de groupe prenant effet lors de la connexion
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4976 pour comprendre quel compte a reçu des privilèges et quelles permissions ont été accordées.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4976 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4976 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4976 pour voir des informations détaillées, y compris :
    • Compte sujet (qui a initié la connexion)
    • Compte cible (qui a reçu les privilèges)
    • Type de connexion et package d'authentification
    • Liste complète des privilèges accordés
  6. Notez le champ Privilèges qui liste des droits spécifiques comme SeServiceLogonRight, SeBatchLogonRight, ou SeNetworkLogonRight
Astuce pro : Le champ Privilèges montre les privilèges Windows exacts accordés. Recoupez-les avec les politiques d'attribution de privilèges de votre organisation pour identifier toute anomalie.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 4976 et extraire des informations détaillées sur les privilèges pour l'analyse de sécurité.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4976 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Extrayez les détails spécifiques du compte et des privilèges :
    $events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976} -MaxEvents 100
foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $targetAccount = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $privileges = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'} | Select-Object -ExpandProperty '#text'
    Write-Output "Time: $($event.TimeCreated) | Account: $targetAccount | Privileges: $privileges"
}
  4. Filtrez pour des comptes spécifiques ou des plages horaires :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*ServiceAccount*'}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976} -MaxEvents 500 | Export-Csv -Path "C:\Temp\Event4976_Analysis.csv" -NoTypeInformation
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats et envisagez de filtrer par plage horaire pour de meilleures performances.
03

Analyser les attributions de droits utilisateur

Enquêtez sur la source des privilèges spéciaux en examinant les politiques de sécurité locales et les paramètres de stratégie de groupe qui accordent des droits aux utilisateurs.

  1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc depuis la boîte de dialogue Exécuter
  2. Accédez à Paramètres de sécuritéPolitiques localesAttribution des droits utilisateur
  3. Examinez les politiques clés qui déclenchent l'ID d'événement 4976:
    • Se connecter en tant que service (SeServiceLogonRight)
    • Se connecter en tant que tâche planifiée (SeBatchLogonRight)
    • Autoriser la connexion via les services Bureau à distance
    • Agir en tant que partie du système d'exploitation
  4. Vérifiez les paramètres de stratégie de groupe à l'aide de PowerShell:
    secedit /export /cfg C:\Temp\current_policy.inf
Get-Content C:\Temp\current_policy.inf | Select-String "SeServiceLogonRight|SeBatchLogonRight|SeNetworkLogonRight"
  5. Pour les environnements de domaine, examinez les objets de stratégie de groupe:
    Get-GPOReport -All -ReportType Html -Path "C:\Temp\GPO_Report.html"
  6. Recoupez les comptes dans l'ID d'événement 4976 avec les attributions de droits utilisateur pour vérifier les concessions de privilèges légitimes
Astuce pro : Utilisez whoami /priv sur le système cible pour voir les privilèges actuels de l'utilisateur connecté et comparez-les avec les enregistrements de l'ID d'événement 4976.
04

Surveiller l'activité du compte de service

Concentrez-vous sur les comptes de service qui génèrent fréquemment l'ID d'événement 4976 pour vous assurer qu'ils fonctionnent dans les paramètres attendus et n'ont pas été compromis.

  1. Identifiez les comptes de service générant l'ID d'événement 4976:
    $serviceEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976} -MaxEvents 1000
$serviceAccounts = @{}
foreach ($event in $serviceEvents) {
    $xml = [xml]$event.ToXml()
    $account = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    if ($serviceAccounts.ContainsKey($account)) {
        $serviceAccounts[$account]++
    } else {
        $serviceAccounts[$account] = 1
    }
}
$serviceAccounts.GetEnumerator() | Sort-Object Value -Descending
  2. Vérifiez les configurations de service pour ces comptes:
    Get-WmiObject Win32_Service | Where-Object {$_.StartName -like '*service*'} | Select-Object Name, StartName, State, StartMode
  3. Vérifiez les droits de connexion des comptes de service dans le registre:
    $regPath = "HKLM\SYSTEM\CurrentControlSet\Services"
Get-ChildItem $regPath | ForEach-Object {
    $serviceName = $_.PSChildName
    $objectName = Get-ItemProperty -Path "$regPath\$serviceName" -Name "ObjectName" -ErrorAction SilentlyContinue
    if ($objectName) {
        Write-Output "$serviceName : $($objectName.ObjectName)"
    }
}
  4. Surveillez les modèles de privilèges inhabituels:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976; StartTime=(Get-Date).AddDays(-7)} | 
Group-Object {($_.Message -split '\n' | Select-String 'Account Name:').ToString().Split(':')[1].Trim()} | 
Sort-Object Count -Descending | Select-Object Name, Count
  5. Mettez en place une surveillance continue avec une tâche planifiée pour alerter sur l'utilisation suspecte des privilèges des comptes de service
05

Analyse de sécurité avancée et corrélation

Effectuez une analyse de sécurité complète en corrélant l'ID d'événement 4976 avec d'autres événements de sécurité pour détecter une éventuelle élévation de privilèges ou un accès non autorisé.

  1. Créez un script de corrélation d'événements de sécurité complet :
    $startTime = (Get-Date).AddDays(-1)
$events4976 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976; StartTime=$startTime}
$events4624 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$startTime}
$events4648 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648; StartTime=$startTime}

# Corréler les octrois de privilèges avec les événements de connexion
foreach ($privEvent in $events4976) {
    $xml = [xml]$privEvent.ToXml()
    $targetUser = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $logonId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetLogonId'} | Select-Object -ExpandProperty '#text'
    
    $relatedLogon = $events4624 | Where-Object {
        $logonXml = [xml]$_.ToXml()
        $logonIdField = $logonXml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetLogonId'} | Select-Object -ExpandProperty '#text'
        $logonIdField -eq $logonId
    }
    
    if ($relatedLogon) {
        Write-Output "Octroi de privilège : $($privEvent.TimeCreated) | Utilisateur : $targetUser | ID de connexion : $logonId"
    }
}
  2. Analysez les modèles d'élévation de privilèges :
    $suspiciousPatterns = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4976} | Where-Object {
    $_.Message -match 'SeDebugPrivilege|SeTcbPrivilege|SeCreateTokenPrivilege'
}
$suspiciousPatterns | Select-Object TimeCreated, Message
  3. Vérifiez les indicateurs d'abus de privilèges en examinant les clés de registre :
    $auditPath = "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit"
if (Test-Path $auditPath) {
    Get-ItemProperty -Path $auditPath | Format-List
}
  4. Générez des rapports de sécurité combinant plusieurs sources d'événements :
    $report = @()
$events4976 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $report += [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        EventId = $_.Id
        TargetUser = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        Privileges = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'}).'#text'
        LogonType = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'LogonType'}).'#text'
    }
}
$report | Export-Csv -Path "C:\Temp\PrivilegeAudit_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  5. Configurez le transfert d'événements Windows (WEF) pour la surveillance centralisée de l'ID d'événement 4976 sur plusieurs systèmes
Avertissement : Les événements à privilèges élevés comme SeDebugPrivilege ou SeTcbPrivilege dans l'ID d'événement 4976 peuvent indiquer des menaces de sécurité potentielles et doivent être investigués immédiatement.

Aperçu

L'ID d'événement 4976 se déclenche lorsque Windows accorde des privilèges spéciaux à un compte utilisateur pendant le processus de connexion. Cet événement d'audit de sécurité capture les scénarios où des comptes reçoivent des autorisations élevées au-delà des droits utilisateur standard, se produisant couramment avec des comptes de service, des connexions administratives ou des applications nécessitant des privilèges spécifiques comme SeServiceLogonRight ou SeBatchLogonRight.

L'événement apparaît dans le journal de sécurité et fournit des informations détaillées sur le compte ayant reçu des privilèges spéciaux, le type de connexion et les privilèges spécifiques accordés. Cela le rend précieux pour la surveillance de la sécurité, l'audit de conformité et le dépannage des problèmes liés aux privilèges dans les environnements d'entreprise.

Contrairement aux événements de connexion standard, l'ID d'événement 4976 se concentre spécifiquement sur les scénarios d'élévation de privilèges. Les administrateurs système utilisent cet événement pour suivre quand des comptes fonctionnent avec des autorisations améliorées, surveiller le comportement des comptes de service et enquêter sur les tentatives potentielles d'escalade de privilèges. L'événement complète d'autres événements d'audit de sécurité en fournissant une visibilité granulaire sur la gestion des privilèges Windows.

Questions Fréquentes

Que signifie l'ID d'événement 4976 et quand se produit-il ?+
L'ID d'événement 4976 indique que Windows a accordé des privilèges spéciaux à un compte utilisateur lors de la connexion. Cela se produit lorsque des comptes reçoivent des autorisations élevées au-delà des droits utilisateur standard, tels que les droits de connexion de service, les autorisations de tâches par lots ou les privilèges administratifs. L'événement capture les privilèges spécifiques accordés et fournit une piste d'audit pour la surveillance de la sécurité. Les déclencheurs courants incluent le démarrage de comptes de service, les utilisateurs administratifs accédant aux systèmes avec des droits élevés, ou l'exécution de tâches planifiées avec des permissions spéciales.
Comment puis-je identifier quels privilèges ont été accordés dans l'ID d'événement 4976 ?+
Les privilèges accordés sont listés dans les informations détaillées de l'événement sous le champ 'Privileges' ou 'PrivilegeList'. Vous pouvez les voir dans le Visualisateur d'événements en double-cliquant sur l'événement, ou les extraire par programmation en utilisant PowerShell. Les privilèges courants incluent SeServiceLogonRight (connexion en tant que service), SeBatchLogonRight (connexion en tant que tâche par lots), SeNetworkLogonRight (accès depuis le réseau), et SeInteractiveLogonRight (connexion locale). Chaque privilège correspond à des droits utilisateur Windows spécifiques qui déterminent quelles actions le compte peut effectuer.
L'ID d'événement 4976 est-il une préoccupation de sécurité nécessitant une attention immédiate ?+
L'ID d'événement 4976 est généralement informatif et représente le fonctionnement normal de Windows lorsque des comptes légitimes reçoivent des privilèges attendus. Cependant, il devient une préoccupation de sécurité lorsque des comptes inattendus reçoivent des privilèges de haut niveau comme SeDebugPrivilege, SeTcbPrivilege ou SeCreateTokenPrivilege, ou lorsque des comptes de service montrent des schémas de privilèges inhabituels. Surveillez les attributions de privilèges à des comptes inconnus, les privilèges attribués en dehors des heures de bureau, ou les comptes recevant plus de privilèges que nécessaire pour leur fonction. Un examen régulier aide à détecter les tentatives d'escalade de privilèges ou les comptes de service compromis.
Comment puis-je corréler l'ID d'événement 4976 avec d'autres événements de sécurité Windows ?+
Corréler l'ID d'événement 4976 avec les événements de connexion (4624, 4625) en utilisant le champ LogonId, qui identifie de manière unique chaque session de connexion. Examiner également l'ID d'événement 4648 (utilisation explicite des identifiants) et 4672 (privilèges spéciaux attribués à une nouvelle connexion) pour un suivi complet des privilèges. Utiliser PowerShell pour faire correspondre les valeurs LogonId entre les événements et créer une analyse chronologique. De plus, corréler avec les événements de création de processus (4688) pour voir comment les comptes privilégiés sont utilisés après avoir reçu des droits spéciaux. Cette corrélation aide à construire une image complète de l'utilisation des privilèges et des incidents de sécurité potentiels.
Quelle est la différence entre l'ID d'événement 4976 et l'ID d'événement 4672 ?+
L'ID d'événement 4976 suit spécifiquement lorsque des privilèges spéciaux sont accordés lors de la connexion, en se concentrant sur le processus d'attribution des privilèges lui-même. L'ID d'événement 4672 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion, généralement pour des comptes très privilégiés comme les administrateurs. L'événement 4672 se déclenche pour les comptes avec des privilèges sensibles comme SeSecurityPrivilege ou SeBackupPrivilege, tandis que 4976 capture une gamme plus large d'attributions de privilèges, y compris les droits de connexion de service et par lot. Les deux événements se complètent dans la surveillance des privilèges, avec 4672 se concentrant sur les privilèges à fort impact et 4976 fournissant un suivi complet de l'attribution des privilèges.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4976 and related privilege tracking eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows User Rights AssignmentOfficial documentation explaining Windows user rights and privileges that trigger Event ID 4976https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#privilege-escalation#security-auditing#event-id-4976

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...