ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Network operations center with Windows Event Viewer displaying security authentication logs
Event ID 5142InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5142 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès utilisateur

L'ID d'événement 5142 enregistre lorsque le serveur de politique réseau (NPS) accorde l'accès au réseau à un utilisateur après une authentification et une autorisation réussies via les politiques RADIUS.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 1
Event ID 5142Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 5142 représente un événement d'autorisation d'accès réseau réussi généré par le rôle du serveur de stratégie réseau dans Windows Server. Lorsque NPS reçoit une demande d'accès RADIUS d'un serveur d'accès réseau (comme un point d'accès sans fil, un serveur VPN ou un commutateur), il évalue la demande par rapport aux stratégies de demande de connexion configurées et aux stratégies réseau.

L'événement contient des informations détaillées sur la session d'authentification, y compris le compte utilisateur, la machine cliente, la méthode d'authentification (telle que PEAP-MS-CHAPv2, EAP-TLS ou PAP), et la stratégie réseau qui a accordé l'accès. Ces informations sont inestimables pour l'audit de sécurité, le dépannage des problèmes d'authentification et l'assurance de la conformité avec les politiques d'accès de l'organisation.

NPS enregistre cet événement après une évaluation réussie de la politique, ce qui signifie que l'utilisateur a satisfait à toutes les conditions spécifiées dans la politique réseau correspondante. L'événement inclut des identifiants de session qui se corrèlent avec d'autres journaux d'infrastructure réseau, permettant une analyse complète des modèles d'accès réseau des utilisateurs. Dans les environnements de 2026, cet événement est particulièrement important pour les architectures réseau Zero Trust où chaque demande d'accès nécessite une vérification.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • L'utilisateur s'authentifie avec succès via l'accès réseau sans fil 802.1X
  • Le client VPN établit une connexion via l'authentification RADIUS NPS
  • Connexion par modem ou haut débit authentifiée via les politiques NPS
  • Le client Network Access Protection (NAP) obtient l'accès après validation de l'état de santé
  • Le commutateur ou point d'accès transfère l'authentification RADIUS réussie à NPS
  • L'authentification du client DirectAccess est traitée via NPS
  • L'authentification du Proxy d'application Web est déléguée à NPS
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte d'authentification :

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 5142 en utilisant l'option de filtre
  3. Double-cliquez sur une entrée récente de l'ID d'événement 5142
  4. Examinez les champs clés dans les détails de l'événement :
    • Sujet : Le compte utilisateur qui a obtenu l'accès
    • Machine Client : Ordinateur ou appareil source
    • Fournisseur d'authentification : Méthode utilisée (Windows, proxy RADIUS)
    • Serveur d'authentification : Serveur NPS traitant la demande
    • Type d'authentification : Protocole utilisé (PEAP, EAP-TLS, PAP, etc.)
    • Nom de la politique réseau : Politique qui a accordé l'accès
  5. Notez l'ID de la station appelante et l'Identifiant NAS pour identifier le point d'accès ou le commutateur

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5142} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={($_.Properties[0].Value)}}, @{Name='ClientMachine';Expression={($_.Properties[4].Value)}}
02

Analyser les modèles d'authentification avec PowerShell

Utilisez PowerShell pour identifier les tendances d'authentification et les préoccupations de sécurité potentielles :

  1. Extraire les données d'authentification pour analyse :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5142; StartTime=(Get-Date).AddDays(-7)}
$AuthData = $Events | ForEach-Object {
    [PSCustomObject]@{
        Time = $_.TimeCreated
        User = $_.Properties[0].Value
        ClientMachine = $_.Properties[4].Value
        AuthType = $_.Properties[10].Value
        NetworkPolicy = $_.Properties[11].Value
        CallingStationId = $_.Properties[5].Value
    }
}
  2. Regrouper les authentifications par utilisateur pour identifier les modèles :
    $AuthData | Group-Object User | Sort-Object Count -Descending | Select-Object Name, Count
  3. Identifier les méthodes d'authentification utilisées :
    $AuthData | Group-Object AuthType | Sort-Object Count -Descending
  4. Vérifier les heures ou les lieux d'authentification inhabituels :
    $AuthData | Where-Object {$_.Time.Hour -lt 6 -or $_.Time.Hour -gt 22} | Format-Table Time, User, ClientMachine
Astuce pro : Exportez les résultats en CSV pour une analyse plus approfondie dans Excel ou importez-les dans des systèmes SIEM pour une corrélation avec d'autres événements de sécurité.
03

Corréler avec la configuration et les politiques NPS

Vérifiez que les authentifications réussies sont conformes aux politiques réseau prévues :

  1. Ouvrez la console Network Policy Server à partir des Outils d'administration
  2. Accédez à PolitiquesPolitiques réseau
  3. Examinez la politique réseau mentionnée dans l'ID d'événement 5142
  4. Vérifiez les conditions et contraintes de la politique :
    • Exigences d'appartenance à un utilisateur/groupe
    • Restrictions de méthode d'authentification
    • Limitations horaires
    • Filtres d'ID de station appelante
  5. Vérifiez la configuration du client RADIUS sous Clients et serveurs RADIUS
  6. Utilisez PowerShell pour exporter la configuration NPS pour la documentation :
    Export-NpsConfiguration -Path "C:\NPSBackup\NPS-Config-$(Get-Date -Format 'yyyy-MM-dd').xml"
  7. Examinez les politiques de demande de connexion qui peuvent affecter le flux d'authentification
  8. Vérifiez les paramètres de comptabilité pour vous assurer que la journalisation appropriée est activée
Avertissement : Les modifications des politiques NPS affectent immédiatement tout accès réseau. Testez d'abord les modifications de politique dans un environnement de laboratoire.
04

Recouper avec les journaux de l'infrastructure réseau

Corréler les événements NPS avec les journaux des appareils réseau pour une visibilité complète de l'authentification :

  1. Identifier le serveur d'accès réseau à partir du champ NAS-Identifier dans l'ID d'événement 5142
  2. Accéder aux journaux sur l'appareil réseau correspondant (contrôleur sans fil, commutateur, serveur VPN)
  3. Faire correspondre les horodatages et les identifiants de session entre les journaux NPS et ceux de l'appareil réseau
  4. Utiliser PowerShell pour créer des rapports de corrélation :
    $NPSEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5142; StartTime=(Get-Date).AddHours(-1)}
$CorrelationData = $NPSEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        NPSTime = $_.TimeCreated
        SessionId = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'AcctSessionId'} | Select-Object -ExpandProperty '#text'
        CallingStationId = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'CallingStationId'} | Select-Object -ExpandProperty '#text'
        NASIdentifier = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'NASIdentifier'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exporter les données de corrélation pour analyse :
    $CorrelationData | Export-Csv -Path "C:\Logs\NPS-Correlation-$(Get-Date -Format 'yyyy-MM-dd-HHmm').csv" -NoTypeInformation
  6. Examiner les retards ou échecs d'authentification non reflétés dans les journaux NPS
05

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance proactive pour les modèles d'authentification et les anomalies de sécurité :

  1. Créez des vues personnalisées dans le Visualiseur d'événements pour la surveillance de l'authentification NPS :
    • Cliquez avec le bouton droit sur Vues personnalisées dans le Visualiseur d'événements
    • Sélectionnez Créer une vue personnalisée
    • Filtrez pour les ID d'événement 5140, 5141, 5142 à partir du journal de sécurité
    • Enregistrez sous "Événements d'authentification NPS"
  2. Configurez le transfert d'événements Windows pour la journalisation centralisée :
    wecutil cs "C:\Config\NPSSubscription.xml"
  3. Configurez des tâches planifiées PowerShell pour une analyse automatisée :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\NPS-Analysis.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "06:00AM"
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "NPS Daily Analysis" -Action $Action -Trigger $Trigger -Settings $Settings
  4. Intégrez avec des solutions SIEM en utilisant le transfert d'événements Windows ou l'expédition de journaux
  5. Créez des modèles d'authentification de référence et alertez sur les écarts
  6. Surveillez les tentatives d'authentification depuis des lieux ou des horaires inhabituels
Astuce pro : Utilisez Azure Sentinel ou Microsoft Defender for Identity pour exploiter l'apprentissage automatique pour la détection des anomalies d'authentification dans les environnements hybrides.

Aperçu

L'ID d'événement 5142 se déclenche lorsque le serveur de politique réseau Microsoft (NPS) accorde avec succès l'accès au réseau à un utilisateur ou un compte d'ordinateur. Cet événement apparaît dans le journal de sécurité chaque fois que NPS traite une demande d'accès RADIUS et répond avec un message d'acceptation d'accès. L'événement capture des détails d'authentification critiques, y compris le client demandeur, la méthode d'authentification et les politiques réseau appliquées.

NPS génère cet événement lors d'authentifications sans fil 802.1X réussies, de connexions VPN, d'accès par modem et de scénarios de contrôle d'accès réseau. L'événement fournit des informations de traçabilité pour les exigences de conformité et aide les administrateurs à suivre les tentatives d'accès réseau réussies à travers leur infrastructure.

Vous trouverez l'ID d'événement 5142 dans les environnements exécutant NPS en tant que serveur RADIUS, généralement dans les réseaux d'entreprise avec authentification centralisée. L'événement complète d'autres événements liés à NPS comme 5140 (accès réseau refusé) et 5141 (accès réseau rejeté), offrant une visibilité complète sur les décisions d'accès réseau.

Questions Fréquentes

Que signifie l'ID d'événement 5142 et quand se produit-il ?+
L'ID d'événement 5142 indique que le serveur de politique réseau (NPS) a accordé avec succès l'accès au réseau à un utilisateur ou un ordinateur. Il se produit lorsque le NPS traite une demande d'accès RADIUS et détermine que l'entité requérante remplit toutes les conditions spécifiées dans la politique réseau correspondante. Cet événement se déclenche pour les authentifications sans fil 802.1X réussies, les connexions VPN, l'accès par modem et d'autres scénarios d'accès réseau gérés par le NPS. L'événement fournit une piste d'audit des concessions d'accès réseau réussies et inclut des détails sur l'utilisateur, la méthode d'authentification et la politique appliquée.
Comment puis-je identifier quelle politique réseau a accordé l'accès dans l'ID d'événement 5142 ?+
Le nom de la stratégie réseau apparaît dans les détails de l'événement sous le champ 'Nom de la stratégie réseau'. Pour voir cette information, ouvrez l'événement dans le Visualiseur d'événements et recherchez le nom de la stratégie dans les données de l'événement. Vous pouvez également utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5142} | ForEach-Object {($_.Properties[11].Value)}. Une fois que vous avez identifié le nom de la stratégie, vous pouvez examiner sa configuration dans la console du serveur de stratégie réseau sous Stratégies → Stratégies réseau pour comprendre quelles conditions ont été remplies pour que l'accès soit accordé.
Pourquoi est-ce que je vois l'ID d'événement 5142 pour le même utilisateur plusieurs fois ?+
Plusieurs entrées d'ID d'événement 5142 pour le même utilisateur sont un comportement normal et attendu. Chaque événement représente une session d'authentification distincte ou une tentative de réauthentification. Les causes courantes incluent : les intervalles de réauthentification 802.1X (généralement toutes les 8 heures), le passage entre les points d'accès sans fil, les reconnexions VPN, les interruptions de réseau nécessitant une réauthentification, ou plusieurs connexions simultanées à partir de différents appareils. La fréquence dépend des paramètres de votre politique réseau, en particulier du délai d'expiration de session et des intervalles de réauthentification configurés dans vos politiques réseau et sur les appareils d'infrastructure réseau.
Comment puis-je corréler l'ID d'événement 5142 avec les tentatives d'authentification échouées ?+
Pour obtenir une image complète de l'authentification, surveillez les ID d'événement 5140 (accès réseau refusé) et 5141 (accès réseau rejeté) en parallèle avec 5142. Utilisez PowerShell pour interroger les trois événements : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5140,5141,5142; StartTime=(Get-Date).AddDays(-1)} | Sort-Object TimeCreated. Recherchez des schémas où les tentatives échouées (5140/5141) précèdent les réussites (5142) pour le même utilisateur, ce qui pourrait indiquer des problèmes de mot de passe, des erreurs de configuration de politique ou des tentatives de force brute potentielles. Les champs Calling Station ID et NAS Identifier aident à corréler les événements provenant du même appareil ou emplacement source.
L'ID d'événement 5142 peut-il aider à la conformité et à l'audit de sécurité ?+
Oui, l'ID d'événement 5142 est crucial pour la conformité et l'audit de sécurité. Il fournit des journaux détaillés des accès réseau réussis, y compris l'identité de l'utilisateur, la méthode d'authentification, les horodatages, les informations sur le dispositif source et les politiques appliquées. Ces données soutiennent les exigences de conformité pour des normes comme PCI DSS, HIPAA et SOX qui nécessitent la journalisation et la surveillance des accès. Pour l'audit de sécurité, analysez ces événements pour établir des modèles d'authentification de référence, identifier des heures ou des lieux d'accès inhabituels, vérifier que seules les méthodes d'authentification autorisées sont utilisées, et s'assurer que les politiques réseau fonctionnent comme prévu. Exportez les données en CSV ou intégrez-les avec des systèmes SIEM pour une analyse et un rapport de sécurité complets.
Documentation

Références (2)

1
Microsoft Learn - Network Policy Server OverviewComprehensive documentation on Network Policy Server configuration and managementhttps://learn.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-top
2
Microsoft Docs - Security Auditing EventsOfficial reference for Windows security auditing events and their meaningshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-5142#nps-authentication#radius-security

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...