ID d'événement Windows 6145 – WinLogon : Session de connexion utilisateur détruite

Commencez par examiner les détails spécifiques de l'ID d'événement 6145 pour comprendre le contexte de la terminaison de la session.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 6145 en cliquant avec le bouton droit sur Système → Filtrer le journal actuel
4. Entrez 6145 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 6145 pour examiner les détails
6. Notez le champ Utilisateur montrant quelle session de compte a été détruite
7. Vérifiez l'ID de session pour corréler avec d'autres événements de session
8. Examinez le Type de connexion pour comprendre le type de session d'origine

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6145} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize

Analysez l'ID d'événement 6145 avec les événements de connexion et de déconnexion associés pour comprendre le cycle de vie complet de la session.

1. Interrogez les événements d'authentification associés à l'aide de PowerShell :

# Obtenez les événements du cycle de vie de la session pour les dernières 24 heures
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security','System'; Id=4624,4634,4647,6145; StartTime=$StartTime} | Sort-Object TimeCreated | Select-Object TimeCreated, Id, LogName, Message

2. Dans Observateur d'événements, créez une vue personnalisée :
3. Cliquez avec le bouton droit sur Vues personnalisées → Créer une vue personnalisée
4. Sélectionnez Par journal et cochez les journaux Sécurité et Système
5. Dans le champ ID d'événements, entrez : 4624,4634,4647,6145
6. Définissez la plage de temps appropriée et cliquez sur OK
7. Nommer la vue "Événements du cycle de vie de la session" et enregistrez
8. Examinez la séquence chronologique des événements pour des utilisateurs spécifiques
9. Cherchez des motifs indiquant des terminaisons forcées ou un comportement de session inhabituel

Implémentez une surveillance pour détecter des modèles inhabituels de terminaison de session qui pourraient indiquer des problèmes de sécurité ou de système.

1. Créez un script PowerShell pour analyser la fréquence de terminaison des sessions :

# Analyser les modèles d'ID d'événement 6145 au cours des 7 derniers jours
$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6145; StartTime=$StartTime}

# Regrouper par utilisateur et compter les terminaisons
$UserStats = $Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $User = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    [PSCustomObject]@{
        User = $User
        TimeCreated = $_.TimeCreated
        SessionId = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SessionId'} | Select-Object -ExpandProperty '#text')
    }
} | Group-Object User | Select-Object Name, Count, @{Name='LastTermination';Expression={($_.Group | Sort-Object TimeCreated -Descending | Select-Object -First 1).TimeCreated}}

$UserStats | Sort-Object Count -Descending

2. Configurez le Planificateur de tâches Windows pour exécuter régulièrement les scripts de surveillance
3. Configurez les abonnements au journal des événements pour une surveillance centralisée dans les environnements d'entreprise
4. Utilisez Performance Monitor pour suivre les compteurs liés aux sessions
5. Examinez les paramètres de stratégie de groupe qui pourraient causer des terminaisons fréquentes de session

Lorsque l'ID d'événement 6145 se produit de manière inattendue, enquêtez sur les causes potentielles de la terminaison forcée de session.

1. Vérifiez l'utilisation des outils de terminaison de session administrative :

# Recherchez les événements de terminaison de processus autour du même moment
$SessionEvent = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6145} -MaxEvents 1
$EventTime = $SessionEvent.TimeCreated
$TimeWindow = 300 # 5 minutes avant et après

# Vérifiez les événements de terminaison de processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4689; StartTime=$EventTime.AddSeconds(-$TimeWindow); EndTime=$EventTime.AddSeconds($TimeWindow)} | Select-Object TimeCreated, Message

2. Examinez les journaux d'événements système pour des problèmes matériels ou de pilotes :

# Vérifiez les erreurs système autour de la terminaison de session
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3; StartTime=$EventTime.AddMinutes(-10); EndTime=$EventTime.AddMinutes(10)} | Select-Object TimeCreated, Id, LevelDisplayName, ProviderName, Message

3. Examinez les journaux d'application de stratégie de groupe pour les terminaisons imposées par la politique
4. Vérifiez les journaux de Terminal Services sur les systèmes serveurs pour les terminaisons liées à RDP
5. Examinez les journaux d'Application pour les logiciels qui pourraient déclencher le nettoyage de session
6. Analysez les journaux de connectivité réseau si vous traitez des sessions à distance

Implémentez une surveillance complète des sessions pour suivre et analyser de manière proactive les occurrences de l'ID d'événement 6145.

1. Activez les politiques d'audit avancées pour un suivi détaillé des sessions :

# Configurer les politiques d'audit via PowerShell
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable /failure:enable
auditpol /set /subcategory:"Other Logon/Logoff Events" /success:enable /failure:enable

2. Configurez les paramètres du registre pour une journalisation améliorée des sessions :

# Activer le suivi supplémentaire des sessions (nécessite un redémarrage)
New-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" -Name "AuditBaseObjects" -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" -Name "FullPrivilegeAuditing" -Value 1 -PropertyType DWORD -Force

3. Configurez le transfert d'événements Windows (WEF) pour une collecte centralisée :
4. Créez des abonnements d'événements personnalisés ciblant l'ID d'événement 6145
5. Configurez l'intégration SIEM pour une analyse et des alertes automatisées
6. Implémentez une surveillance basée sur PowerShell avec des notifications par e-mail :

# Surveiller les schémas inhabituels de terminaison de session
$Threshold = 10 # Alerte si plus de 10 terminaisons par heure
$HourlyCount = (Get-WinEvent -FilterHashtable @{LogName='System'; Id=6145; StartTime=(Get-Date).AddHours(-1)}).Count

if ($HourlyCount -gt $Threshold) {
    # Envoyer un e-mail d'alerte ou enregistrer dans le système de surveillance
    Write-EventLog -LogName Application -Source "Custom Monitor" -EventId 1001 -EntryType Warning -Message "Taux élevé de terminaison de session détecté : $HourlyCount événements dans la dernière heure"
}