ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system time change events on a monitoring dashboard
Event ID 5121InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5121Microsoft-Windows-Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5121 représente le mécanisme intégré de Windows pour suivre les modifications de l'heure système sur toutes les versions de Windows prises en charge. Lorsque l'horloge système change de quelque manière que ce soit, le noyau génère cet événement pour maintenir une trace d'audit des modifications temporelles. L'événement inclut des détails complets sur le changement d'heure, y compris l'heure précédente, la nouvelle heure, l'ID du processus responsable du changement et le code de raison indiquant si le changement était manuel, automatique ou programmatique.

La structure de l'événement contient plusieurs champs clés qui aident les administrateurs à comprendre le contexte du changement d'heure. Les champs OldTime et NewTime montrent les horodatages exacts avant et après la modification, tandis que le champ Reason indique la source du changement. Les codes de raison courants incluent les changements initiés par l'utilisateur via le panneau de contrôle Date et Heure, la synchronisation automatique via le service de temps Windows (W32Time) ou les changements programmatiques effectués par des applications utilisant les appels API SetSystemTime.

Dans les environnements de domaine, l'ID d'événement 5121 devient crucial pour maintenir la posture de sécurité. L'authentification Kerberos repose sur une synchronisation temporelle entre les clients et les contrôleurs de domaine, avec une tolérance par défaut de 5 minutes. Lorsque les systèmes subissent une dérive temporelle significative ou des changements d'heure non autorisés, les échecs d'authentification se répercutent dans tout l'environnement. Cet événement aide les administrateurs à identifier rapidement et à remédier aux problèmes liés au temps avant qu'ils n'affectent les opérations commerciales.

L'événement joue également un rôle vital dans les enquêtes judiciaires et l'audit de conformité. Les équipes de sécurité utilisent l'ID d'événement 5121 pour détecter toute tentative de falsification des horloges système, qui pourrait être utilisée pour masquer une activité malveillante ou manipuler les horodatages des journaux. Les institutions financières et les industries réglementées apprécient particulièrement cet événement pour maintenir des traces d'audit précises et démontrer la conformité aux exigences d'intégrité temporelle.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres de date et d'heure de Windows
  • Synchronisation automatique de l'heure avec les contrôleurs de domaine via le service W32Time
  • Synchronisation du client NTP avec des serveurs de temps externes
  • Modifications de l'heure initiées par l'application utilisant l'API SetSystemTime
  • Correction de la dérive de l'horloge matérielle lors du démarrage du système
  • Changements de fuseau horaire ou transitions de l'heure d'été
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Paramètres de synchronisation de l'heure appliqués par la stratégie de groupe
  • Modifications logicielles de synchronisation de l'heure tierces
  • Opérations de récupération du système qui restaurent les paramètres de temps précédents
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5121 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 5121 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 5121 pour voir des informations détaillées
  6. Examinez l'onglet Général pour les champs OldTime, NewTime, et Reason
  7. Vérifiez l'onglet Détails pour un contexte supplémentaire incluant l'ID de processus

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5121} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : La valeur du champ Reason aide à identifier si le changement a été initié par l'utilisateur (1), une synchronisation automatique (2), ou programmatique (3).
02

Analyser l'état de synchronisation temporelle

Enquêter sur la configuration du service de temps Windows et l'état de synchronisation pour identifier les problèmes potentiels.

  1. Ouvrir une session d'invite de commandes ou PowerShell avec élévation de privilèges
  2. Vérifier l'état actuel de la synchronisation de l'heure :
w32tm /query /status
  1. Examiner la configuration de la source de temps :
w32tm /query /source
  1. Examiner la configuration détaillée du service de temps :
w32tm /query /configuration
  1. Vérifier les événements récents de synchronisation de l'heure :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 10
  1. Vérifier la connectivité du serveur NTP si vous utilisez des sources de temps externes :
w32tm /stripchart /computer:pool.ntp.org /samples:5
Avertissement : Des changements fréquents de l'heure peuvent indiquer des problèmes d'horloge matérielle ou des problèmes de connectivité réseau affectant la synchronisation de l'heure.
03

Enquêter sur les changements d'heure initiés par le processus

Identifier quels processus modifient l'heure système et déterminer si les changements sont autorisés.

  1. Utiliser PowerShell pour extraire des informations détaillées sur les événements, y compris les détails des processus :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=5121} -MaxEvents 50
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $ProcessId = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    $OldTime = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'OldTime'} | Select-Object -ExpandProperty '#text'
    $NewTime = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text'
    Write-Output "Time: $($Event.TimeCreated) | Process ID: $ProcessId | Old: $OldTime | New: $NewTime"
}
  1. Recouper les IDs de processus avec les processus en cours au moment de l'événement
  2. Vérifier les applications suspectes qui pourraient manipuler l'heure système :
Get-Process | Where-Object {$_.ProcessName -match 'time|clock|sync'} | Select-Object ProcessName, Id, StartTime, Path
  1. Examiner les logiciels installés pour les utilitaires liés au temps :
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match 'time|clock|sync'} | Select-Object Name, Version, InstallDate
  1. Examiner les tâches planifiées qui pourraient modifier l'heure système :
Get-ScheduledTask | Where-Object {$_.Actions.Execute -match 'w32tm|time|clock'} | Select-Object TaskName, State, Actions
04

Configurer l'audit et la surveillance des changements d'heure

Implémentez une surveillance complète pour suivre et alerter sur les changements de temps non autorisés.

  1. Activez la stratégie d'audit avancée pour les changements de temps en utilisant la stratégie de groupe ou la stratégie de sécurité locale :
  2. Ouvrez Stratégie de sécurité locale (secpol.msc) ou Gestion des stratégies de groupe
  3. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration de la stratégie d'audit avancée
  4. Développez Stratégies d'audit systèmeSystème
  5. Configurez Audit de l'extension du système de sécurité sur Succès et Échec
  6. Configurez un script de surveillance PowerShell pour des alertes en temps réel :
# Créer un script de surveillance
$Action = {
    $Event = $Event.SourceEventArgs.NewEvent
    $XML = [xml]$Event.ToXml()
    $NewTime = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text'
    $OldTime = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'OldTime'} | Select-Object -ExpandProperty '#text'
    Write-Host "ALERTE : L'heure du système a changé de $OldTime à $NewTime" -ForegroundColor Red
    # Ajoutez ici une notification par email ou un enregistrement
}

Register-WmiEvent -Query "SELECT * FROM Win32_VolumeChangeEvent" -Action $Action
  1. Configurez le transfert d'événements Windows pour centraliser les événements de changement de temps :
wecutil qc /q
winrm quickconfig
  1. Créez des vues de journal d'événements personnalisées pour les événements liés au temps dans le Visualiseur d'événements
Astuce pro : Envisagez d'implémenter une intégration SIEM pour corréler les changements de temps avec d'autres événements de sécurité pour une surveillance complète.
05

Remédier aux problèmes de synchronisation temporelle

Résolvez les problèmes sous-jacents de synchronisation temporelle qui peuvent causer des occurrences fréquentes de l'ID d'événement 5121.

  1. Réinitialisez la configuration du service de temps Windows aux valeurs par défaut :
Stop-Service w32time
w32tm /unregister
w32tm /register
Start-Service w32time
  1. Configurez des sources de temps fiables pour les environnements de domaine et de groupe de travail :
# Pour les contrôleurs de domaine
w32tm /config /manualpeerlist:"pool.ntp.org,0x8 time.windows.com,0x8" /syncfromflags:manual /reliable:yes /update

# Pour les membres du domaine
w32tm /config /syncfromflags:domhier /update
  1. Ajustez les intervalles de synchronisation temporelle pour réduire les changements fréquents :
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxPosPhaseCorrection /t REG_DWORD /d 3600 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v MaxNegPhaseCorrection /t REG_DWORD /d 3600 /f
  1. Configurez les politiques de synchronisation temporelle via la stratégie de groupe :
  2. Ouvrez la gestion des stratégies de groupe et modifiez le GPO approprié
  3. Accédez à Configuration de l'ordinateurModèles d'administrationSystèmeService de temps Windows
  4. Configurez les fournisseurs de temps et les paramètres de synchronisation
  5. Forcez la synchronisation temporelle immédiate et vérifiez les résultats :
w32tm /resync /force
w32tm /query /status
  1. Surveillez la dérive de l'horloge matérielle sur les systèmes physiques :
w32tm /monitor /computers:localhost
Avertissement : Des changements temporels significatifs peuvent perturber l'authentification Kerberos et la validation des certificats. Planifiez les corrections temporelles pendant les fenêtres de maintenance lorsque cela est possible.

Aperçu

L'ID d'événement 5121 de Microsoft-Windows-Kernel-General se connecte chaque fois que Windows détecte un changement de l'heure système. Cet événement se déclenche lors des ajustements manuels de l'heure, de la synchronisation automatique de l'heure avec les contrôleurs de domaine ou les serveurs NTP, et lorsque des applications modifient l'heure système de manière programmatique. L'événement capture à la fois les anciennes et nouvelles valeurs de temps, ce qui le rend essentiel pour l'audit de sécurité et le suivi de la conformité.

Cet événement apparaît dans le journal Système et fournit des informations détaillées sur ce qui a déclenché le changement d'heure, y compris le processus responsable et le delta de temps exact. Windows génère cet événement indépendamment du fait que le changement ait été initié par un utilisateur, un service ou une source de temps externe. L'événement devient particulièrement important dans les environnements d'entreprise où une gestion précise du temps est cruciale pour l'authentification Kerberos, la validation des certificats et l'intégrité des pistes d'audit.

Les administrateurs système s'appuient sur l'ID d'événement 5121 pour suivre les changements d'heure non autorisés, enquêter sur les échecs d'authentification liés à un décalage temporel, et surveiller la santé des services de synchronisation de l'heure. L'événement aide également à identifier les systèmes qui ont pu dériver de l'heure correcte en raison de problèmes d'horloge matérielle ou de connectivité réseau.

Questions Fréquentes

Que signifie l'ID d'événement 5121 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 5121 indique que Windows a détecté un changement de l'heure système. Cela est normal pour la synchronisation automatique de l'heure, mais des occurrences fréquentes ou de grands sauts de temps peuvent indiquer des problèmes d'horloge matérielle, des problèmes de réseau affectant la synchronisation de l'heure, ou des changements manuels non autorisés. Soyez préoccupé si vous voyez plusieurs événements par jour, des changements dépassant plusieurs minutes, ou des événements se produisant en dehors des fenêtres de synchronisation programmées.
Comment puis-je déterminer ce qui a causé un événement ID 5121 spécifique ?+
Examinez les détails de l'événement dans le Visualiseur d'événements ou utilisez PowerShell pour extraire le champ Raison et l'ID de processus. Le code de raison 1 indique des modifications manuelles par l'utilisateur, le code 2 montre une synchronisation automatique, et le code 3 représente des modifications programmatiques. Recoupez l'ID de processus avec les applications en cours d'exécution pour identifier le programme spécifique qui a initié le changement d'heure. Vérifiez les champs OldTime et NewTime pour comprendre l'ampleur du changement.
Les événements d'ID d'événement 5121 peuvent-ils affecter la sécurité du système ou l'authentification ?+
Oui, les changements d'heure peuvent avoir un impact significatif sur la sécurité. L'authentification Kerberos nécessite une synchronisation temporelle dans les 5 minutes entre les clients et les contrôleurs de domaine. Des changements d'heure importants peuvent entraîner des échecs d'authentification, des erreurs de validation de certificat et des incohérences dans les journaux d'audit. Des changements d'heure non autorisés pourraient également être utilisés par des attaquants pour manipuler les horodatages des journaux ou échapper aux contrôles de sécurité basés sur le temps. Surveillez ces événements de près dans les environnements sensibles à la sécurité.
Comment puis-je empêcher les modifications de l'heure non autorisées tout en maintenant une synchronisation correcte ?+
Configurez la stratégie de groupe pour restreindre les privilèges de changement d'heure aux administrateurs uniquement en modifiant le droit utilisateur 'Modifier l'heure du système' dans Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Attribution des droits utilisateur. Assurez-vous que le service de temps Windows est correctement configuré avec des sources de temps fiables. Mettez en œuvre des alertes de surveillance pour l'ID d'événement 5121 afin de détecter les changements non autorisés. Envisagez d'utiliser des modules de sécurité matériels ou des sources de temps fiables dans les environnements à haute sécurité.
Pourquoi est-ce que je vois fréquemment des événements ID 5121 sur les machines virtuelles ?+
Les machines virtuelles génèrent souvent des événements d'ID d'événement 5121 fréquents en raison de la synchronisation de l'heure entre la VM et l'hôte hyperviseur. VMware Tools, Hyper-V Integration Services et d'autres plateformes de virtualisation ajustent régulièrement l'heure de la VM pour correspondre à celle de l'hôte. C'est un comportement normal, mais vous pouvez réduire la fréquence en ajustant les intervalles de synchronisation de l'heure dans les paramètres de la plateforme de virtualisation ou en désactivant la synchronisation de l'heure de la VM si vous utilisez à la place une synchronisation de l'heure basée sur le domaine.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/
2
Microsoft Docs - Event Logging in WindowsTechnical reference for Windows event logging system, including event structure and programmatic access methods.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-5121

Événements Windows associés

Windows Event Viewer showing system time change events on a monitoring dashboard
Event 11708
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11708 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11708 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 5889
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.

18 mars12 min
System administrator analyzing Windows kernel errors and event logs on multiple monitoring displays
Event 5058
Microsoft-Windows-Kernel-General
Windows EventError

ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé

L'ID d'événement 5058 indique une défaillance critique d'opération de fichier au niveau du noyau, impliquant généralement des fichiers système, des ruches de registre ou des bases de données de sécurité que Windows ne peut pas accéder ou modifier correctement.

18 mars12 min
Windows Event Viewer displaying system time synchronization events on a server monitoring dashboard
Event 5056
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5056 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5056 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors du démarrage ou lorsque la synchronisation de l'heure se produit. Critique pour les pistes d'audit et le dépannage des problèmes liés au temps.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...