Event ID 5143InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5143 – Microsoft-Windows-Security-Auditing : L'objet de partage réseau a été accédé

L'ID d'événement 5143 enregistre lorsqu'un utilisateur ou un processus accède à un objet de partage réseau. Cet événement d'audit de sécurité suit les tentatives d'accès aux partages de fichiers à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDA

18 mars 202612 min de lecture 0

Event ID 5143Microsoft-Windows-Security-Auditing 5 méthodes 12 min

Référence événement

Signification de cet événement

L'ID d'événement 5143 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows, ciblant spécifiquement la surveillance de l'accès aux partages réseau. Lorsqu'il est activé, cet événement d'audit capture chaque tentative d'accès aux dossiers partagés, offrant aux administrateurs une visibilité complète sur les modèles d'utilisation des serveurs de fichiers et les incidents de sécurité potentiels.

La structure de l'événement comprend des champs critiques tels que le Sujet (utilisateur faisant la demande), l'Objet (le partage auquel on accède), les Informations sur le processus (application initiant l'accès) et les Informations réseau (IP source et port). Windows évalue séparément les autorisations de partage et les autorisations NTFS, et l'ID d'événement 5143 suit spécifiquement l'évaluation de l'accès au niveau du partage. Cette distinction est importante car un utilisateur peut passer les autorisations au niveau du partage mais échouer au niveau NTFS, ou vice versa.

Dans les environnements Windows modernes exécutant Server 2025 et Windows 11 24H2, Microsoft a amélioré l'événement avec des champs de contexte supplémentaires et des capacités de corrélation améliorées avec d'autres événements de sécurité. L'événement s'intègre parfaitement avec Windows Defender for Business et Microsoft Sentinel pour des scénarios avancés de détection de menaces. Les organisations utilisant des architectures Zero Trust apprécient particulièrement cet événement pour la vérification continue des modèles d'accès et la détection des anomalies.

L'impact sur les performances de l'activation de l'audit d'accès aux objets peut être significatif sur les serveurs de fichiers à fort trafic, car chaque accès au partage génère une entrée de journal. Microsoft recommande une planification minutieuse des politiques d'audit et des stratégies de rétention des journaux pour équilibrer la visibilité de la sécurité avec les performances du système et les exigences de stockage.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Utilisateur mappant un lecteur réseau à un dossier partagé
Application accédant aux fichiers via des chemins UNC (\\serveur\partage)
Explorateur Windows naviguant vers des partages réseau
Logiciel de sauvegarde se connectant à des partages de fichiers
Scripts ou services automatisés accédant à des ressources partagées
Tentatives d'authentification échouées sur des partages protégés par mot de passe
Outils d'administration comme Gestion de l'ordinateur se connectant à des partages distants
Logiciel antivirus scannant des dossiers accessibles en réseau
Applications de base de données stockant des données sur des partages réseau
Spouleur d'impression accédant à des files d'attente d'impression partagées

Méthodes de résolution

Étapes de dépannage

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5143 pour comprendre le modèle d'accès et identifier la source.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Sécurité
Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
Entrez 5143 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur une entrée récente de l'ID d'événement 5143 pour voir les détails
Examinez les champs clés dans la description de l'événement:
- Sujet: Compte utilisateur et SID faisant la demande
- Objet: Nom du partage et informations sur le serveur
- Informations sur le processus: Application initiant l'accès
- Informations réseau: Adresse IP source et port
- Informations sur la demande d'accès: Permissions demandées et masque d'accès
Notez l'horodatage et corrélez avec l'activité de l'utilisateur ou les processus système
Vérifiez si l'accès a réussi en recherchant des indicateurs de succès/échec correspondants

Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour copier des valeurs de champs spécifiques pour une enquête ou un rapport plus approfondi.

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser les modèles d'ID d'événement 5143 et identifier les comportements d'accès inhabituels ou les sources à haute fréquence.

Ouvrez PowerShell en tant qu'administrateur

Interrogez les entrées récentes de l'ID d'événement 5143 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143} -MaxEvents 100 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Analysez les modèles d'accès par compte utilisateur :

$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143} -MaxEvents 1000
$events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ShareName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
        SourceIP = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object UserName | Sort-Object Count -Descending

Identifiez les partages les plus accédés :

$events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
} | Group-Object | Sort-Object Count -Descending | Select-Object -First 10

Filtrez les événements par plage horaire spécifique :

$startTime = (Get-Date).AddHours(-24)
$endTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143; StartTime=$startTime; EndTime=$endTime}

Exportez les résultats en CSV pour une analyse plus approfondie :

$events | Export-Csv -Path "C:\Temp\ShareAccess_5143.csv" -NoTypeInformation

Avertissement : Interroger un grand nombre d'événements de sécurité peut affecter les performances du système. Utilisez des filtres temporels et le paramètre MaxEvents pour limiter les résultats.

Configurer les paramètres de la politique d'audit

Configurez correctement l'audit d'accès aux objets pour garantir que l'ID d'événement 5143 est généré avec des niveaux de détail appropriés.

Ouvrez Stratégie de sécurité locale en exécutant secpol.msc ou utilisez la gestion des stratégies de groupe pour les environnements de domaine
Accédez à Paramètres de sécurité → Stratégies locales → Stratégie d'audit
Double-cliquez sur Audit de l'accès aux objets
Activez l'audit pour Succès et Échec
Pour un contrôle plus granulaire, utilisez la stratégie d'audit avancée :
```
auditpol /set /subcategory:"File Share" /success:enable /failure:enable
```
Vérifiez les paramètres d'audit actuels :
```
auditpol /get /subcategory:"File Share"
```

Configurez l'audit de partage spécifique à l'aide de PowerShell :

# Activer l'audit sur un partage spécifique
$shareName = "SharedDocs"
$share = Get-SmbShare -Name $shareName
Set-SmbShare -Name $shareName -FolderEnumerationMode AccessBased

Configurez les listes de contrôle d'accès système (SACL) pour un audit détaillé de l'accès aux fichiers :

# Configurer SACL pour un dossier partagé
$folderPath = "C:\SharedDocs"
$auditRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "FullControl", "ContainerInherit,ObjectInherit", "None", "Success,Failure")
$acl = Get-Acl $folderPath
$acl.SetAuditRule($auditRule)
Set-Acl -Path $folderPath -AclObject $acl

Testez la configuration en accédant au partage et en vérifiant la génération de l'ID d'événement 5143

Astuce pro : Utilisez les préférences de stratégie de groupe pour déployer des paramètres d'audit cohérents sur plusieurs serveurs de votre domaine.

Mettre en œuvre le filtrage et la surveillance des journaux

Configurez la surveillance et le filtrage automatisés pour l'ID d'événement 5143 afin de gérer les environnements à fort volume et de détecter les incidents de sécurité.

Créez une vue personnalisée dans l'Observateur d'événements pour une surveillance ciblée:
- Dans l'Observateur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
- Sélectionnez Par journal et choisissez Sécurité
- Entrez 5143 dans le champ ID d'événements
- Ajoutez des filtres supplémentaires comme des utilisateurs spécifiques ou des plages horaires
- Enregistrez la vue avec un nom descriptif comme "Surveillance d'accès partagé"

Configurez le transfert d'événements Windows (WEF) pour la journalisation centralisée:

# Sur le serveur collecteur
wecutil qc /q
# Créer un abonnement pour l'ID d'événement 5143
wecutil cs ShareAccessSubscription.xml

Configurez un script de surveillance basé sur PowerShell:

# Surveiller les modèles d'accès partagé suspects
$suspiciousIPs = @("192.168.1.100", "10.0.0.50")
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143} -MaxEvents 50

foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $sourceIP = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
    
    if ($sourceIP -in $suspiciousIPs) {
        Write-Warning "Accès suspect depuis $sourceIP à $($event.TimeCreated)"
        # Envoyer une alerte ou enregistrer dans le SIEM
    }
}

Configurez le Planificateur de tâches pour la surveillance automatisée:

# Créer une tâche planifiée pour exécuter le script de surveillance
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorShareAccess.ps1"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "ShareAccessMonitor" -Action $action -Trigger $trigger -Principal $principal

Implémentez la rotation et l'archivage des journaux:

# Configurer la taille et la rétention du journal de sécurité
Limit-EventLog -LogName Security -MaximumSize 512MB -OverflowAction OverwriteAsNeeded

Avertissement : La génération fréquente de l'ID d'événement 5143 peut remplir rapidement les journaux de sécurité. Mettez en œuvre une gestion appropriée des journaux et envisagez d'utiliser le transfert d'événements Windows pour une collecte centralisée.

Analyse Forensique Avancée et Corrélation

Effectuer une analyse médico-légale détaillée de l'ID d'événement 5143 pour les enquêtes de sécurité et les rapports de conformité.

Exporter les journaux de sécurité pour une analyse hors ligne:

# Exporter le journal de sécurité avec l'ID d'événement 5143 au format EVTX
wevtutil epl Security C:\Forensics\Security_5143_$(Get-Date -Format 'yyyyMMdd').evtx "/q:*[System[(EventID=5143)]]"

# Convertir en CSV pour les outils d'analyse
Get-WinEvent -Path "C:\Forensics\Security_5143_*.evtx" | Export-Csv -Path "C:\Forensics\ShareAccess_Analysis.csv" -NoTypeInformation

Corréler avec d'autres événements de sécurité pour une chronologie complète:

# Corréler l'ID d'événement 5143 avec les événements de connexion (4624, 4625)
$timeWindow = (Get-Date).AddHours(-2)
$shareEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143; StartTime=$timeWindow}
$logonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$timeWindow}

# Créer une chronologie de corrélation
$correlatedEvents = @()
foreach ($shareEvent in $shareEvents) {
    $xml = [xml]$shareEvent.ToXml()
    $userName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $sourceIP = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
    
    $relatedLogon = $logonEvents | Where-Object {
        $logonXml = [xml]$_.ToXml()
        $logonUser = $logonXml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        $logonIP = $logonXml.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
        
        $logonUser -eq $userName -and $logonIP -eq $sourceIP -and 
        [Math]::Abs(($_.TimeCreated - $shareEvent.TimeCreated).TotalMinutes) -lt 30
    }
    
    if ($relatedLogon) {
        $correlatedEvents += [PSCustomObject]@{
            ShareAccessTime = $shareEvent.TimeCreated
            LogonTime = $relatedLogon.TimeCreated
            UserName = $userName
            SourceIP = $sourceIP
            ShareName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
        }
    }
}

Générer des rapports de conformité:

# Créer un rapport d'accès détaillé pour la conformité
$reportData = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143} -MaxEvents 10000 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        Timestamp = $_.TimeCreated
        EventID = $_.Id
        UserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        UserDomain = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
        ShareName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
        SourceIP = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
        AccessMask = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'AccessMask'} | Select-Object -ExpandProperty '#text'
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    }
}

# Exporter au format compatible Excel
$reportData | Export-Csv -Path "C:\Reports\ShareAccess_Compliance_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

Analyser les modèles d'accès pour la détection d'anomalies:

# Détecter des modèles d'accès inhabituels
$baselineHours = 24 * 7  # Baseline d'une semaine
$baselineEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143; StartTime=(Get-Date).AddHours(-$baselineHours)}

# Calculer la fréquence d'accès normale par utilisateur
$userBaseline = $baselineEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
} | Group-Object | ForEach-Object {
    [PSCustomObject]@{
        UserName = $_.Name
        AverageAccessPerHour = $_.Count / $baselineHours
    }
}

# Comparer l'heure actuelle avec la baseline
$currentHourEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143; StartTime=(Get-Date).AddHours(-1)}
$currentHourAccess = $currentHourEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
} | Group-Object

foreach ($user in $currentHourAccess) {
    $baseline = $userBaseline | Where-Object {$_.UserName -eq $user.Name}
    if ($baseline -and $user.Count -gt ($baseline.AverageAccessPerHour * 3)) {
        Write-Warning "Accès anormal détecté pour l'utilisateur $($user.Name): $($user.Count) accès dans la dernière heure (baseline: $([math]::Round($baseline.AverageAccessPerHour, 2)))"
    }
}

Intégrer avec SIEM ou des outils de sécurité:

# Envoyer des événements de haute priorité à SIEM via syslog
function Send-SyslogMessage {
    param($Message, $Server, $Port = 514)
    $udpClient = New-Object System.Net.Sockets.UdpClient
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($Message)
    $udpClient.Send($bytes, $bytes.Length, $Server, $Port)
    $udpClient.Close()
}

# Surveiller les accès en dehors des heures de travail
$afterHoursEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5143; StartTime=(Get-Date).AddHours(-1)} | Where-Object {
    $hour = $_.TimeCreated.Hour
    $hour -lt 7 -or $hour -gt 19  # En dehors de 7h à 19h
}

foreach ($event in $afterHoursEvents) {
    $xml = [xml]$event.ToXml()
    $message = "ALERTE: Accès au partage en dehors des heures par $($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text') à $($event.TimeCreated)"
    Send-SyslogMessage -Message $message -Server "siem.company.com"
}

Astuce pro : Utilisez Windows Performance Toolkit (WPT) et Event Tracing for Windows (ETW) pour la surveillance en temps réel des événements d'accès au partage à haute fréquence sans impacter les performances du système.

Aperçu

L'ID d'événement 5143 se déclenche chaque fois qu'un utilisateur ou un processus tente d'accéder à un objet de partage réseau sur un système Windows. Cet événement d'audit de sécurité fait partie du cadre complet d'audit d'accès aux fichiers et dossiers de Microsoft, conçu pour suivre qui accède aux ressources partagées et quand. L'événement capture des informations détaillées sur l'utilisateur accédant, le partage cible et le type d'accès demandé.

Cet événement apparaît dans le journal de sécurité lorsque l'audit d'accès aux objets est activé via la stratégie de groupe ou la stratégie de sécurité locale. Windows génère des événements 5143 pour les tentatives d'accès au partage réussies et échouées, ce qui le rend précieux pour la surveillance de la sécurité, les rapports de conformité et le dépannage des problèmes d'accès. L'événement fournit des détails granulaires, y compris l'identifiant de sécurité de l'utilisateur (SID), le nom du partage, le masque d'accès et le processus responsable de la tentative d'accès.

Les administrateurs système rencontrent couramment cet événement dans les environnements d'entreprise où la surveillance des partages de fichiers est essentielle pour la prévention des pertes de données, la conformité aux réglementations comme SOX ou HIPAA, et les enquêtes judiciaires. La fréquence de ces événements peut être élevée dans les environnements de serveurs de fichiers occupés, nécessitant des stratégies appropriées de gestion et de filtrage des journaux.

Questions Fréquentes

Que signifie l'ID d'événement 5143 et quand apparaît-il ?+

L'ID d'événement 5143 indique qu'un objet de partage réseau a été accédé sur un système Windows. Il apparaît dans le journal de sécurité chaque fois qu'un utilisateur ou un processus tente de se connecter à ou d'accéder à un dossier partagé, à condition que l'audit d'accès aux objets soit activé. L'événement capture à la fois les tentatives d'accès réussies et échouées, y compris les détails sur l'utilisateur, le nom du partage, l'adresse IP source et le type d'accès demandé. Cet événement est essentiel pour surveiller l'activité des serveurs de fichiers, les rapports de conformité et les enquêtes de sécurité dans les environnements d'entreprise.

Comment activer la journalisation de l'ID d'événement 5143 si elle n'apparaît pas ?+

Pour activer la journalisation de l'ID d'événement 5143, vous devez configurer l'audit d'accès aux objets via la stratégie de sécurité locale ou la stratégie de groupe. Accédez à Paramètres de sécurité → Stratégies locales → Stratégie d'audit et activez 'Audit de l'accès aux objets' pour les réussites et les échecs. Pour un contrôle plus granulaire, utilisez la commande 'auditpol /set /subcategory:"File Share" /success:enable /failure:enable'. De plus, assurez-vous que les partages que vous souhaitez surveiller ont des Listes de contrôle d'accès système (SACL) appropriées configurées. Sans paramètres de stratégie d'audit appropriés, Windows ne générera pas ces événements même lorsque l'accès au partage se produit.

L'ID d'événement 5143 peut-il affecter les performances du système sur des serveurs de fichiers occupés ?+

Oui, l'ID d'événement 5143 peut avoir un impact significatif sur les performances des serveurs de fichiers à fort trafic car chaque accès au partage génère une entrée de journal. Dans les environnements avec des milliers d'accès quotidiens aux partages, le journal de sécurité peut croître rapidement et consommer des ressources substantielles d'E/S disque et de stockage. Pour atténuer l'impact sur les performances, envisagez de mettre en œuvre un audit sélectif en utilisant le filtrage de la stratégie de groupe, d'augmenter les limites de taille du journal de sécurité, de configurer des politiques de rotation des journaux et d'utiliser le transfert d'événements Windows pour centraliser la journalisation sur des serveurs collecteurs dédiés. Surveillez les performances du système après avoir activé l'audit et ajustez les politiques si nécessaire.

Comment puis-je filtrer l'ID d'événement 5143 pour afficher uniquement les tentatives d'accès suspectes ou non autorisées ?+

Filtrez les événements d'ID 5143 en créant des requêtes PowerShell personnalisées qui se concentrent sur des critères spécifiques tels que l'accès en dehors des heures de bureau, l'accès depuis des adresses IP inhabituelles ou des schémas d'accès à haute fréquence. Utilisez Get-WinEvent avec FilterHashtable pour interroger par plages horaires, puis analysez les données d'événements XML pour extraire les noms d'utilisateur, les IP sources et les noms de partage. Créez des schémas d'accès de référence pour le comportement normal des utilisateurs et alertez sur les écarts. Vous pouvez également filtrer par partages spécifiques contenant des données sensibles, les tentatives d'accès échouées ou l'accès depuis des ordinateurs hors domaine. Mettez en œuvre des scripts de surveillance automatisés qui s'exécutent périodiquement pour identifier les schémas anormaux.

Quelle est la différence entre l'ID d'événement 5143 et d'autres événements d'accès aux fichiers comme 4663 ?+

L'ID d'événement 5143 suit spécifiquement l'accès aux partages réseau au niveau du partage, tandis que l'ID d'événement 4663 suit l'accès individuel aux fichiers et dossiers au sein de ces partages. L'événement 5143 se produit lorsqu'un utilisateur se connecte à ou accède à un partage (comme \\serveur\partagé), capturant l'évaluation des autorisations au niveau du partage. L'événement 4663 se déclenche pour chaque fichier ou dossier individuel accédé au sein de ce partage, capturant les autorisations au niveau NTFS. L'événement 5143 fournit des modèles d'accès plus larges et est utile pour surveiller l'utilisation des partages, tandis que 4663 offre un audit détaillé au niveau des fichiers. Pour une surveillance complète, vous avez généralement besoin que les deux événements soient activés, mais sachez que 4663 génère beaucoup plus d'entrées de journal que 5143.

Documentation

Références (2)

Microsoft Learn - Audit File Share AccessOfficial Microsoft documentation covering file share access auditing configuration and Event ID 5143 details.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share

Windows Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Object Access category events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs

Event 6276

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min

Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment

Event 6274

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min

Network Policy Server monitoring dashboard showing authentication events and security logs

Event 6273

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min

Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs

Event 6272

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...