ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing cryptographic operations and certificate management interfaces
Event ID 5061ErrorMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5061 – Microsoft-Windows-Security-Auditing : Échec de l'opération cryptographique

L'ID d'événement 5061 indique un échec d'opération cryptographique dans l'audit de sécurité Windows, généralement lié à la validation de certificat, aux processus de chiffrement ou aux problèmes de vérification de signature numérique.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5061Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5061 représente un mécanisme de journalisation complet pour les échecs d'opérations cryptographiques au sein du sous-système de sécurité Windows. Lorsque cet événement se déclenche, il indique qu'une opération cryptographique demandée n'a pas pu être complétée avec succès, ce qui peut potentiellement affecter la sécurité du système, la fonctionnalité des applications ou les communications réseau.

L'événement capture des informations détaillées sur l'opération échouée, y compris le fournisseur de services cryptographiques (CSP) impliqué, l'algorithme ou le certificat spécifique qui a échoué, les codes d'erreur, et le processus ou service qui a initié l'opération. Cette journalisation granulaire aide les administrateurs à identifier si l'échec provient de l'expiration du certificat, de chaînes de certificats invalides, de magasins de certificats corrompus ou d'algorithmes cryptographiques incompatibles.

Dans les environnements Windows modernes, en particulier avec l'accent accru sur les modèles de sécurité zéro confiance et les exigences cryptographiques renforcées en 2026, l'ID d'événement 5061 est devenu de plus en plus important pour surveiller la gestion du cycle de vie des certificats, assurer la conformité avec les normes de sécurité mises à jour, et détecter les potentielles violations de sécurité. L'événement est souvent corrélé avec des échecs d'application, des problèmes d'authentification ou des ruptures de communication sécurisée, en faisant un outil de diagnostic clé pour les équipes de sécurité d'entreprise.

L'importance de l'événement va au-delà de la simple journalisation des erreurs – il sert de système d'alerte précoce pour l'expiration des certificats, aide à identifier les infrastructures PKI mal configurées, et peut révéler des tentatives d'utilisation de matériaux cryptographiques compromis ou invalides dans des opérations critiques pour la sécurité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Certificats SSL/TLS expirés ou invalides lors des communications sécurisées
  • Magasins de certificats corrompus ou fichiers de certificats endommagés
  • Échecs de validation de la chaîne de certificats en raison de certificats intermédiaires manquants
  • Algorithmes cryptographiques incompatibles ou suites de chiffrement obsolètes
  • Permissions insuffisantes pour accéder aux clés privées ou aux magasins de certificats
  • Problèmes de connectivité ou défaillances du module de sécurité matériel (HSM)
  • Problèmes de certificat de signature de code lors de l'installation ou de l'exécution de logiciels
  • Problèmes de synchronisation temporelle affectant les périodes de validité des certificats
  • Certificats révoqués toujours utilisés pour des opérations cryptographiques
  • Paramètres ou relations de confiance de l'autorité de certification (CA) mal configurés
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5061 pour comprendre la nature exacte de l'échec cryptographique.

  1. Ouvrez Observateur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 5061 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 5061 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 5061 pour voir des informations détaillées
  6. Notez les détails clés suivants de la description de l'événement:
    • Nom du sujet et informations sur le processus
    • Type d'opération cryptographique
    • Code d'erreur et raison de l'échec
    • Empreinte numérique du certificat ou détails de l'algorithme
  7. Utilisez PowerShell pour extraire des informations détaillées sur l'événement :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5061} -MaxEvents 10 | ForEach-Object {
    [xml]$xml = $_.ToXml()
    $xml.Event.EventData.Data | ForEach-Object {
        Write-Host "$($_.Name): $($_.'#text')"
    }
    Write-Host "---"
}
Astuce pro : Faites particulièrement attention au code d'erreur dans les détails de l'événement, car il fournit souvent la raison exacte de l'échec cryptographique.
02

Vérifier l'état du magasin de certificats

Vérifiez l'intégrité et la validité des certificats dans les magasins de certificats Windows, car les certificats corrompus ou expirés sont des causes courantes de l'ID d'événement 5061.

  1. Ouvrez la Console de gestion Microsoft en appuyant sur Windows + R, en tapant mmc, et en appuyant sur Entrée
  2. Ajoutez le composant logiciel enfichable Certificats : FichierAjouter/Supprimer un composant logiciel enfichableCertificatsAjouter
  3. Sélectionnez Compte d'ordinateur et Ordinateur local, puis cliquez sur Terminer
  4. Développez Certificats (Ordinateur local) et vérifiez ces magasins clés :
    • PersonnelCertificats
    • Autorités de certification racines de confiance
    • Autorités de certification intermédiaires
  5. Cherchez les certificats expirés (icône X rouge) ou les certificats avec des problèmes de validation
  6. Utilisez PowerShell pour vérifier la validité des certificats de manière programmatique :
# Vérifiez les certificats expirés dans le magasin Personnel
Get-ChildItem Cert:\LocalMachine\My | Where-Object {
    $_.NotAfter -lt (Get-Date)
} | Select-Object Subject, NotAfter, Thumbprint

# Vérifiez la validation de la chaîne de certificats
Get-ChildItem Cert:\LocalMachine\My | ForEach-Object {
    $chain = New-Object System.Security.Cryptography.X509Certificates.X509Chain
    $result = $chain.Build($_)
    if (-not $result) {
        Write-Host "Échec de la validation du certificat : $($_.Subject)"
        $chain.ChainStatus | ForEach-Object {
            Write-Host "  Erreur : $($_.Status) - $($_.StatusInformation)"
        }
    }
}
  • Supprimez ou remplacez tout certificat expiré ou invalide trouvé
    • Avertissement : Avant de supprimer des certificats, assurez-vous qu'ils ne sont pas requis par des applications ou services critiques.
    03

    Valider les fournisseurs de services cryptographiques

    Vérifiez la santé et la configuration des fournisseurs de services cryptographiques (CSP) qui gèrent les opérations cryptographiques dans Windows.

    1. Ouvrez l'invite de commande en tant qu'administrateur
    2. Listez les CSP disponibles et leur statut :
    certlm.msc
    1. Utilisez PowerShell pour vérifier la fonctionnalité des CSP :
    # Liste des CSP installés
Get-WmiObject -Class Win32_EncryptableVolume -Namespace root\cimv2\security\microsoftvolumeencryption

# Vérifiez le statut des CSP CryptoAPI
$cspList = @(
    "Microsoft Base Cryptographic Provider v1.0",
    "Microsoft Enhanced Cryptographic Provider v1.0",
    "Microsoft Strong Cryptographic Provider"
)

foreach ($csp in $cspList) {
    try {
        $provider = New-Object System.Security.Cryptography.CspParameters
        $provider.ProviderName = $csp
        $rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider($provider)
        Write-Host "CSP '$csp': OK"
        $rsa.Dispose()
    } catch {
        Write-Host "CSP '$csp': ÉCHEC - $($_.Exception.Message)"
    }
}
  • Vérifiez le statut du service des services cryptographiques :
    • Get-Service -Name "CryptSvc" | Select-Object Name, Status, StartType
Restart-Service -Name "CryptSvc" -Force
  • Vérifiez les entrées de registre pour la configuration des CSP :
    • # Vérifiez les entrées de registre des CSP
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\*" | Select-Object PSChildName, Image
  • Si des problèmes de CSP sont trouvés, réenregistrez les DLL cryptographiques :
    • regsvr32 /s cryptdlg.dll
regsvr32 /s cryptui.dll
regsvr32 /s initpki.dll
    Astuce pro : Les problèmes de CSP se manifestent souvent après les mises à jour de Windows ou lorsque des logiciels de sécurité tiers interfèrent avec les opérations cryptographiques.
    04

    Enquêter sur les échecs cryptographiques spécifiques à l'application

    Identifier et résoudre les échecs cryptographiques spécifiques aux applications ou services qui génèrent l'ID d'événement 5061.

    1. Corréler l'ID d'événement 5061 avec les événements d'application en vérifiant les informations de processus dans l'événement de sécurité
    2. Utiliser Process Monitor pour suivre l'accès aux fichiers et au registre pendant les opérations cryptographiques :
    # Télécharger et exécuter Process Monitor (ProcMon) pour capturer les opérations cryptographiques
# Filtrer par nom de processus correspondant à l'application de l'ID d'événement 5061
    1. Vérifier les magasins de certificats et configurations spécifiques à l'application :
    # Pour les applications IIS
Import-Module WebAdministration
Get-WebBinding | Where-Object {$_.protocol -eq "https"} | ForEach-Object {
    $cert = Get-ChildItem Cert:\LocalMachine\My\$($_.certificateHash)
    if ($cert.NotAfter -lt (Get-Date)) {
        Write-Host "Certificat expiré pour le site : $($_.ItemXPath)"
    }
}

# Pour les applications SQL Server
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\*\MSSQLServer\SuperSocketNetLib" -Name Certificate -ErrorAction SilentlyContinue
  • Vérifier le journal des événements Windows pour les erreurs d'application associées :
    • # Rechercher les événements d'application associés autour du même moment que l'ID d'événement 5061
$timeRange = (Get-Date).AddHours(-2)
Get-WinEvent -FilterHashtable @{
    LogName='Application','System'
    Level=1,2,3
    StartTime=$timeRange
} | Where-Object {$_.LevelDisplayName -eq "Error" -or $_.LevelDisplayName -eq "Warning"} | 
Sort-Object TimeCreated | Select-Object TimeCreated, LogName, Id, LevelDisplayName, Message
  • Pour les applications web, vérifier la configuration SSL/TLS :
    • # Vérifier les protocoles SSL et les suites de chiffrement
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\*\*" | 
Select-Object PSPath, Enabled, DisabledByDefault
  • Tester manuellement les opérations cryptographiques pour l'application concernée :
    • # Tester l'authentification basée sur les certificats
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*YourAppName*"}
if ($cert) {
    try {
        $rsa = $cert.PrivateKey
        $testData = [System.Text.Encoding]::UTF8.GetBytes("test")
        $signature = $rsa.SignData($testData, [System.Security.Cryptography.HashAlgorithmName]::SHA256, [System.Security.Cryptography.RSASignaturePadding]::Pkcs1)
        Write-Host "Test de signature de certificat : RÉUSSI"
    } catch {
        Write-Host "Test de signature de certificat : ÉCHEC - $($_.Exception.Message)"
    }
}
    Avertissement : Les échecs cryptographiques spécifiques à l'application peuvent nécessiter une coordination avec les fournisseurs d'application pour une résolution appropriée.
    05

    Dépannage avancé de l'infrastructure PKI

    Effectuer une analyse et une remédiation complètes de l'infrastructure PKI pour les défaillances cryptographiques complexes affectant plusieurs systèmes ou services.

    1. Analyser la connectivité de la liste de révocation de certificats (CRL) et du protocole de statut de certificat en ligne (OCSP) :
    # Tester les points de terminaison CRL et OCSP
$certs = Get-ChildItem Cert:\LocalMachine\My
foreach ($cert in $certs) {
    $extensions = $cert.Extensions | Where-Object {$_.Oid.FriendlyName -eq "CRL Distribution Points"}
    if ($extensions) {
        Write-Host "Certificat : $($cert.Subject)"
        Write-Host "URLs CRL : $($extensions.Format($false))"
        
        # Tester l'accessibilité CRL
        $crlUrls = $extensions.Format($false) -split "`n" | Where-Object {$_ -match "http"}
        foreach ($url in $crlUrls) {
            try {
                $response = Invoke-WebRequest -Uri $url.Trim() -TimeoutSec 10
                Write-Host "  CRL accessible : $($url.Trim()) - Statut : $($response.StatusCode)"
            } catch {
                Write-Host "  CRL inaccessible : $($url.Trim()) - Erreur : $($_.Exception.Message)"
            }
        }
    }
}
  • Vérifier la santé des certificats des contrôleurs de domaine dans les environnements Active Directory :
    • # Vérifier les certificats des contrôleurs de domaine
Get-ADDomainController -Filter * | ForEach-Object {
    $dcName = $_.Name
    Write-Host "Vérification du DC : $dcName"
    
    try {
        $cert = Invoke-Command -ComputerName $dcName -ScriptBlock {
            Get-ChildItem Cert:\LocalMachine\My | Where-Object {
                $_.Subject -like "*$env:COMPUTERNAME*" -and $_.HasPrivateKey
            }
        }
        
        if ($cert.NotAfter -lt (Get-Date).AddDays(30)) {
            Write-Host "  ATTENTION : Le certificat expire bientôt sur $dcName"
        }
    } catch {
        Write-Host "  ERREUR : Impossible de vérifier le certificat sur $dcName"
    }
}
  • Valider la synchronisation temporelle à travers l'infrastructure :
    • # Vérifier la synchronisation temporelle (critique pour la validation des certificats)
w32tm /query /status
w32tm /query /peers

# Comparer l'heure locale avec le contrôleur de domaine
$dcTime = Invoke-Command -ComputerName (Get-ADDomainController).Name -ScriptBlock {Get-Date}
$localTime = Get-Date
$timeDiff = ($localTime - $dcTime).TotalSeconds

if ([Math]::Abs($timeDiff) -gt 300) {
    Write-Host "ATTENTION : Différence de temps avec le DC de $timeDiff secondes (seuil : 300s)"
    Write-Host "Exécuter : w32tm /resync /force"
}
  • Reconstruire la chaîne de certificats et les relations de confiance :
    • # Vider le cache des certificats et reconstruire les chaînes
CertLM.msc
# Ou via la ligne de commande :
certutil -pulse
certutil -generateSSTFromWU roots.sst
certutil -addstore -f root roots.sst
  • Vérifier les paramètres de stratégie de groupe affectant les opérations cryptographiques :
    • # Vérifier les paramètres de stratégie de groupe pertinents
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -ErrorAction SilentlyContinue
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002" -ErrorAction SilentlyContinue
  • Générer un rapport complet sur la santé cryptographique :
    • # Créer un rapport détaillé de l'infrastructure cryptographique
$report = @{}
$report.Timestamp = Get-Date
$report.ComputerName = $env:COMPUTERNAME
$report.Certificates = Get-ChildItem Cert:\LocalMachine\My | Select-Object Subject, NotAfter, HasPrivateKey, Thumbprint
$report.ExpiredCerts = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.NotAfter -lt (Get-Date)}
$report.CryptoServices = Get-Service -Name "CryptSvc","BITS","EventLog" | Select-Object Name, Status
$report.RecentCryptoEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5061; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue

$report | ConvertTo-Json -Depth 3 | Out-File "C:\temp\CryptoHealthReport_$(Get-Date -Format 'yyyyMMdd_HHmmss').json"
    Conseil pro : Dans les environnements d'entreprise, envisagez de mettre en œuvre une gestion automatisée du cycle de vie des certificats et une surveillance pour prévenir les occurrences de l'ID d'événement 5061.

    Aperçu

    L'ID d'événement 5061 se déclenche lorsque Windows rencontre une défaillance d'opération cryptographique lors des processus d'audit de sécurité. Cet événement apparaît généralement dans le journal de sécurité lorsque la validation de certificat échoue, que les opérations de chiffrement rencontrent des erreurs ou que les processus de vérification de signature numérique échouent. L'événement fait partie du cadre complet d'audit de sécurité de Microsoft et sert d'indicateur critique de problèmes potentiels d'infrastructure de sécurité.

    Cet événement se produit couramment lors des échanges SSL/TLS, de la vérification de signature de code, de la validation de chaîne de certificats ou lorsque des applications tentent des opérations cryptographiques avec des certificats invalides ou expirés. Les administrateurs système rencontrent fréquemment cet événement dans les environnements d'entreprise où la gestion des certificats, l'infrastructure PKI ou les communications sécurisées sont impliquées. L'événement fournit des informations détaillées sur la défaillance cryptographique spécifique, y compris le type d'opération, les codes d'erreur et les processus affectés.

    Comprendre l'ID d'événement 5061 est crucial pour maintenir des environnements Windows sécurisés, car les défaillances cryptographiques peuvent indiquer une sécurité compromise, des magasins de certificats mal configurés ou des informations d'identification de sécurité expirées nécessitant une attention immédiate.

    Questions Fréquentes

    Que signifie l'ID d'événement 5061 et pourquoi apparaît-il dans mon journal de sécurité ?+
    L'ID d'événement 5061 indique qu'une opération cryptographique a échoué au sein du sous-système de sécurité Windows. Cet événement apparaît dans le journal de sécurité lorsque la validation de certificat échoue, que les opérations de chiffrement rencontrent des erreurs ou que les processus de vérification de signature numérique se dégradent. L'événement fait partie du cadre d'audit de sécurité complet de Windows et sert d'indicateur critique des problèmes potentiels de l'infrastructure de sécurité. Les scénarios courants incluent les échecs de poignée de main SSL/TLS, les certificats expirés, les magasins de certificats corrompus ou les problèmes avec les fournisseurs de services cryptographiques. L'événement fournit des informations détaillées sur l'échec spécifique, y compris les codes d'erreur et les processus affectés, ce qui le rend essentiel pour diagnostiquer les problèmes liés à la sécurité dans les environnements d'entreprise.
    Comment puis-je déterminer quelle application ou service cause l'ID d'événement 5061 ?+
    Pour identifier la source de l'ID d'événement 5061, examinez les détails de l'événement dans le Visualiseur d'événements, en recherchant spécifiquement les champs 'Sujet' et 'Informations sur le processus' qui indiquent quel compte utilisateur et quel processus ont initié l'opération cryptographique échouée. Utilisez PowerShell pour extraire des informations détaillées sur l'événement et corréler les horodatages avec les journaux d'application. Vous pouvez également utiliser Process Monitor (ProcMon) pour suivre l'accès en temps réel aux fichiers et au registre pendant les opérations cryptographiques. De plus, vérifiez les journaux d'événements Application et Système pour les erreurs connexes survenant à peu près au même moment que l'ID d'événement 5061. Le nom et l'ID du processus dans l'événement de sécurité vous aideront à identifier l'application ou le service exact rencontrant des échecs cryptographiques.
    Les certificats expirés peuvent-ils causer l'ID d'événement 5061, et comment puis-je résoudre cela ?+
    Oui, les certificats expirés sont l'une des causes les plus courantes de l'ID d'événement 5061. Lorsque des applications tentent d'utiliser des certificats expirés pour des opérations cryptographiques comme les connexions SSL/TLS ou la signature de code, Windows enregistre cet échec comme l'ID d'événement 5061. Pour résoudre ce problème, ouvrez le composant logiciel enfichable MMC Certificats (certlm.msc), naviguez dans les magasins de certificats Personnel, Racine de confiance et Intermédiaire pour identifier les certificats expirés (marqués d'un X rouge). Utilisez des commandes PowerShell comme 'Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.NotAfter -lt (Get-Date)}' pour trouver des certificats expirés de manière programmatique. Remplacez les certificats expirés par des certificats valides, en veillant à une validation correcte de la chaîne de certificats. Pour les serveurs web, mettez à jour les certificats SSL via le Gestionnaire IIS ou l'interface de gestion des certificats de votre application web.
    Que dois-je vérifier si l'ID d'événement 5061 se produit après une mise à jour Windows ?+
    Après les mises à jour de Windows, l'ID d'événement 5061 peut survenir en raison de modifications des politiques cryptographiques, de suites de chiffrement obsolètes ou de nouvelles exigences de validation des certificats. Tout d'abord, vérifiez si la mise à jour a modifié les paramètres cryptographiques en examinant les chemins de registre sous 'HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL'. Vérifiez que vos applications prennent en charge les algorithmes et protocoles cryptographiques toujours activés après la mise à jour. Vérifiez les modifications de la stratégie de groupe qui pourraient affecter les opérations cryptographiques. Redémarrez les services cryptographiques (CryptSvc) et réenregistrez les DLL cryptographiques en utilisant 'regsvr32 /s cryptdlg.dll', 'regsvr32 /s cryptui.dll' et 'regsvr32 /s initpki.dll'. Assurez-vous également que les magasins de certificats n'ont pas été corrompus pendant le processus de mise à jour et que la synchronisation temporelle est toujours précise, car la validation des certificats est sensible au temps.
    Comment puis-je empêcher l'ID d'événement 5061 de se reproduire dans mon environnement ?+
    Pour prévenir les événements récurrents d'ID d'événement 5061, mettez en œuvre une gestion proactive du cycle de vie des certificats en surveillant les dates d'expiration des certificats et en configurant des processus de renouvellement automatisés. Utilisez des scripts PowerShell ou des outils tiers pour analyser régulièrement les magasins de certificats et alerter les administrateurs sur les certificats expirant dans 30 à 60 jours. Assurez une synchronisation temporelle appropriée dans votre infrastructure en utilisant NTP, car les écarts de temps peuvent entraîner des échecs de validation des certificats. Mettez régulièrement à jour et corrigez votre infrastructure PKI, y compris les autorités de certification et les certificats intermédiaires. Mettez en œuvre une surveillance de l'accessibilité des points de terminaison CRL et OCSP pour garantir le bon fonctionnement de la vérification de révocation des certificats. Configurez les paramètres de stratégie de groupe pour appliquer des normes cryptographiques fortes tout en maintenant la compatibilité avec vos applications. Enfin, établissez des procédures de test régulières pour les opérations cryptographiques, surtout après les mises à jour du système ou les changements de configuration, pour détecter les problèmes potentiels avant qu'ils n'affectent les services de production.
    Documentation

    Références (2)

    1
    Microsoft Learn - Windows Security Auditing EventsComprehensive guide to Windows security auditing events and their meaningshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
    2
    Microsoft Docs - Certificate Services and PKIOfficial documentation for certificate services and PKI infrastructure managementhttps://learn.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/server-certificate-deployment-overview
    Emanuel DE ALMEIDA
    Écrit par

    Emanuel DE ALMEIDA

    Senior IT Journalist & Cloud Architect

    Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

    Tags
    #certificate-management#event-id-5061#cryptographic-errors

    Événements Windows associés

    Windows security monitoring dashboard displaying audit events and privilege tracking logs
    Event 6276
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

    L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

    18 mars9 min
    Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
    Event 6274
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

    L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

    18 mars9 min
    Network Policy Server monitoring dashboard showing authentication events and security logs
    Event 6273
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

    L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

    18 mars9 min
    Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
    Event 6272
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

    L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

    18 mars12 min

    Discussion

    Partagez vos réflexions et analyses

    Vous devez être connecté pour commenter.

    Se connecter
    Chargement des commentaires...