ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying authentication package loading events in Event Viewer
Event ID 5632InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5632 – LSA : Package d'authentification chargé

L'ID d'événement 5632 indique qu'un package d'authentification a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les fournisseurs d'authentification sont initialisés lors du démarrage du système ou des modifications du sous-système de sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 5632Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 5632 représente un événement d'audit de sécurité critique généré par le sous-système Windows Local Security Authority (LSA). Le LSA sert de composant central responsable de la gestion des processus d'authentification et d'autorisation sur les systèmes Windows. Lorsqu'un package d'authentification se charge, le LSA génère cet événement pour fournir une piste d'audit des changements de l'infrastructure d'authentification.

Les packages d'authentification sont des bibliothèques de liens dynamiques (DLL) qui implémentent des protocoles d'authentification spécifiques tels que Kerberos, NTLM, Digest ou des mécanismes d'authentification personnalisés. Ces packages gèrent le processus complexe de validation des informations d'identification des utilisateurs, d'établissement des contextes de sécurité et de gestion des jetons d'authentification. Le chargement de ces packages représente un événement de sécurité significatif car il détermine quelles méthodes d'authentification sont disponibles pour les utilisateurs et les applications.

L'événement inclut généralement des informations sur le nom du package d'authentification, le processus qui a initié le chargement et les identifiants de sécurité pertinents. Ces données permettent aux administrateurs de sécurité de suivre les changements de l'infrastructure d'authentification et d'identifier les risques de sécurité potentiels. En 2026, avec des capacités de surveillance de la sécurité améliorées, cet événement est devenu de plus en plus important pour détecter les installations non autorisées de packages d'authentification et maintenir la conformité avec les cadres de sécurité.

Les organisations configurent souvent des politiques d'audit avancées pour capturer ces événements pour les systèmes de gestion des informations et des événements de sécurité (SIEM), permettant une analyse automatisée des changements de l'infrastructure d'authentification et des menaces de sécurité potentielles.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage du système et processus d'initialisation de LSA
  • Installation de nouveaux packages d'authentification ou fournisseurs de sécurité
  • Modifications de la stratégie de groupe affectant les paramètres d'authentification
  • Redémarrage ou reconfiguration du sous-système de sécurité
  • Installation de logiciels de sécurité tiers
  • Mises à jour Windows modifiant les composants d'authentification
  • Installation ou modifications de configuration du rôle de contrôleur de domaine
  • Chargement du package d'authentification par carte à puce
  • Déploiement de fournisseur d'authentification personnalisé
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5632 pour comprendre quel package d'authentification a été chargé et le contexte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 5632 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 5632 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 5632 pour voir des informations détaillées
  6. Notez le nom du package d'authentification, l'ID de processus et l'horodatage
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant des informations spécifiques au package
Astuce pro : Recherchez des noms de packages d'authentification inhabituels ou des temps de chargement qui ne correspondent pas au démarrage du système pour identifier des problèmes de sécurité potentiels.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 5632 et extraire des informations détaillées pour une enquête plus approfondie.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 5632 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5632} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Extrayez des informations spécifiques sur le package d'authentification :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5632} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        PackageName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationPackageName'} | Select-Object -ExpandProperty '#text'
        ProcessId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    }
}
  4. Filtrez les événements des dernières 24 heures :
    $StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5632; StartTime=$StartTime}
  5. Exportez les résultats en CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5632} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event5632_Analysis.csv" -NoTypeInformation
03

Examiner les paramètres du registre du package d'authentification

Examinez les emplacements du registre où les packages d'authentification sont enregistrés pour comprendre la configuration d'authentification du système.

  1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à la clé de registre des packages d'authentification LSA :
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  3. Examinez la valeur Authentication Packages pour voir les fournisseurs d'authentification enregistrés
  4. Vérifiez la valeur Security Packages pour des fournisseurs de sécurité supplémentaires
  5. Examinez la valeur Notification Packages pour les DLL de notification de changement de mot de passe
  6. Utilisez PowerShell pour interroger les valeurs du registre de manière programmatique :
    Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Authentication Packages"
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Security Packages"
  7. Comparez les valeurs actuelles avec les configurations de référence pour identifier les modifications non autorisées
Avertissement : Ne modifiez pas les paramètres du registre LSA sans tests appropriés, car des modifications incorrectes peuvent empêcher l'authentification du système et provoquer des échecs de démarrage.
04

Analyser les fichiers de package d'authentification

Examinez les fichiers DLL du package d'authentification réel pour vérifier leur légitimité et identifier les menaces potentielles pour la sécurité.

  1. Identifiez les emplacements des fichiers du package d'authentification, généralement dans :
    C:\Windows\System32
  2. Utilisez PowerShell pour lister les DLL liées à l'authentification :
    Get-ChildItem -Path "C:\Windows\System32" -Filter "*auth*.dll" | Select-Object Name, LastWriteTime, Length
Get-ChildItem -Path "C:\Windows\System32" -Filter "*lsa*.dll" | Select-Object Name, LastWriteTime, Length
  3. Vérifiez les signatures numériques des packages d'authentification :
    $AuthPackages = @("msv1_0.dll", "kerberos.dll", "ntlmssps.dll", "digest.dll")
foreach ($package in $AuthPackages) {
    $file = Get-ChildItem -Path "C:\Windows\System32\$package" -ErrorAction SilentlyContinue
    if ($file) {
        $signature = Get-AuthenticodeSignature -FilePath $file.FullName
        Write-Output "$($file.Name): $($signature.Status) - $($signature.SignerCertificate.Subject)"
    }
}
  4. Utilisez Windows Defender ou un antivirus tiers pour analyser les fichiers du package d'authentification
  5. Comparez les hachages de fichiers avec des bases de référence connues en utilisant :
    Get-FileHash -Path "C:\Windows\System32\msv1_0.dll" -Algorithm SHA256
  6. Examinez les propriétés des fichiers et les informations de version pour les packages suspects
05

Configurer les politiques d'audit avancées et la surveillance

Implémentez une surveillance complète des événements de chargement des packages d'authentification pour améliorer la visibilité de la sécurité et la conformité.

  1. Configurez la stratégie d'audit avancée pour les événements d'authentification à l'aide de la stratégie de groupe :
    Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration de la stratégie d'audit avancéeStratégies d'audit systèmeChangement de stratégie
  2. Activez Audit du changement de politique d'authentification pour les événements de réussite et d'échec
  3. Utilisez PowerShell pour configurer les politiques d'audit de manière programmatique :
    auditpol /set /subcategory:"Authentication Policy Change" /success:enable /failure:enable
auditpol /get /subcategory:"Authentication Policy Change"
  4. Configurez le transfert d'événements Windows (WEF) pour centraliser la collecte de l'ID d'événement 5632 :
    wecutil cs AuthPackageMonitoring.xml
  5. Créez des requêtes de journal d'événements personnalisées pour l'intégration SIEM :
    $Query = @"

  
    
  

"@
Get-WinEvent -FilterXml $Query
  6. Implémentez des alertes automatisées pour les modèles de chargement de packages d'authentification suspects
  7. Documentez les configurations de base des packages d'authentification pour la détection des changements
Astuce pro : Combinez la surveillance de l'ID d'événement 5632 avec d'autres événements de sécurité comme 4624 (connexion) et 4648 (utilisation explicite des informations d'identification) pour une surveillance complète de l'authentification.

Aperçu

L'ID d'événement 5632 se déclenche lorsque l'Autorité de sécurité locale (LSA) charge un package d'authentification lors de l'initialisation du système ou lorsque les composants du sous-système de sécurité sont modifiés. Cet événement apparaît dans le journal de sécurité et sert de piste d'audit pour les activités de chargement des fournisseurs d'authentification. La LSA gère des packages d'authentification comme Kerberos, NTLM, et des fournisseurs d'authentification personnalisés qui gèrent les processus de connexion des utilisateurs.

Cet événement se produit généralement lors du démarrage du système lorsque Windows initialise son sous-système de sécurité, mais peut également se déclencher lorsque de nouveaux packages d'authentification sont installés ou lorsque des modifications de la stratégie de groupe affectent les paramètres d'authentification. Les administrateurs système utilisent cet événement pour surveiller les changements d'infrastructure d'authentification et s'assurer que seuls les packages d'authentification autorisés sont chargés.

L'événement contient des détails sur le package d'authentification qui a été chargé, offrant une visibilité sur les mécanismes d'authentification disponibles sur le système. Ces informations s'avèrent précieuses pour l'audit de sécurité, le reporting de conformité, et le dépannage des problèmes liés à l'authentification dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 5632 et pourquoi est-il important ?+
L'ID d'événement 5632 indique qu'un package d'authentification a été chargé par l'Autorité de sécurité locale (LSA). Cet événement est important car il fournit une piste d'audit des changements d'infrastructure d'authentification sur les systèmes Windows. Les packages d'authentification comme Kerberos, NTLM et les fournisseurs personnalisés gèrent la validation des identifiants utilisateur et la gestion des jetons de sécurité. La surveillance de ces événements aide à détecter les installations non autorisées de packages d'authentification, à résoudre les problèmes d'authentification et à maintenir la conformité en matière de sécurité en suivant les changements apportés aux composants d'authentification critiques.
Quand l'ID d'événement 5632 se produit-il généralement pendant le fonctionnement normal du système ?+
L'ID d'événement 5632 se produit le plus souvent lors du démarrage du système lorsque Windows initialise le sous-système LSA et charge des packages d'authentification standard comme msv1_0.dll (NTLM), kerberos.dll et digest.dll. Il peut également se déclencher lorsque des modifications de la stratégie de groupe affectent les paramètres d'authentification, que de nouveaux packages d'authentification sont installés, que des mises à jour de sécurité modifient les composants d'authentification ou lorsque des logiciels de sécurité tiers installent des fournisseurs d'authentification personnalisés. Dans les environnements de domaine, cet événement peut se produire lorsque des rôles de contrôleur de domaine sont installés ou que des politiques d'authentification sont mises à jour.
Comment puis-je identifier des packages d'authentification suspects ou non autorisés à partir de l'ID d'événement 5632 ?+
Pour identifier les packages d'authentification suspects, examinez les noms des packages dans les événements d'ID d'événement 5632 et comparez-les avec des packages légitimes connus comme msv1_0, kerberos, digest et schannel. Recherchez des noms de packages inhabituels, des temps de chargement qui ne correspondent pas au démarrage du système, ou des packages chargés par des processus inattendus. Vérifiez les signatures numériques des fichiers DLL des packages d'authentification, vérifiez leurs emplacements de fichiers (devraient être dans System32), et comparez les hachages de fichiers avec des bases de référence connues. Les packages avec des certificats non signés, des chemins de fichiers inhabituels ou des dates de modification récentes nécessitent une enquête.
L'ID d'événement 5632 peut-il aider à résoudre les problèmes d'authentification dans mon environnement ?+
Oui, l'ID d'événement 5632 peut être précieux pour résoudre les problèmes d'authentification. Si les utilisateurs rencontrent des échecs d'authentification, vérifiez si les packages d'authentification requis se chargent correctement lors du démarrage du système. Des chargements de packages d'authentification manquants ou échoués peuvent rendre certaines méthodes d'authentification indisponibles. Par exemple, si l'authentification Kerberos échoue, vérifiez que kerberos.dll s'est chargé avec succès. Comparez les modèles d'ID d'événement 5632 entre les systèmes fonctionnels et problématiques pour identifier les composants d'authentification manquants. Cet événement aide également à diagnostiquer les problèmes d'authentification par carte à puce, de fournisseurs d'authentification personnalisés ou d'intégration de logiciels de sécurité tiers.
Que dois-je faire si je vois l'ID d'événement 5632 pour des packages d'authentification inconnus ou suspects ?+
Si l'ID d'événement 5632 montre des packages d'authentification inconnus, enquêtez immédiatement sur la légitimité du package. Tout d'abord, identifiez l'emplacement du fichier DLL et vérifiez sa signature numérique en utilisant Get-AuthenticodeSignature dans PowerShell. Vérifiez si le package correspond à des logiciels récemment installés ou à des mises à jour de sécurité. Scannez le fichier avec un logiciel antivirus et comparez son hash avec des bases de données de logiciels malveillants connus. Examinez les journaux d'installation du système et l'inventaire des logiciels pour corréler l'installation du package avec des déploiements de logiciels légitimes. Si le package semble malveillant, isolez le système, retirez le package non autorisé des paramètres du registre LSA, supprimez le fichier DLL et effectuez un scan de sécurité complet. Envisagez de réimager le système si la compromission est confirmée.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including authentication package monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Local Security Authority ArchitectureTechnical documentation on LSA authentication architecture and package managementhttps://docs.microsoft.com/en-us/windows/win32/secauthn/lsa-authentication
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#authentication#security-auditing#event-id-5632

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...