ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Network Policy Server monitoring dashboard showing authentication events and security logs
Event ID 6273InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 6273Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 6273 représente l'achèvement réussi du processus d'authentification et d'autorisation RADIUS au sein de l'infrastructure du serveur de stratégie réseau de Microsoft. Lorsqu'un appareil client tente de se connecter à une ressource réseau protégée par une authentification 802.1X, une passerelle VPN ou un point d'accès sans fil configuré pour l'authentification RADIUS, la demande passe par NPS pour une évaluation de la politique.

L'événement est généré après que NPS a validé les informations d'identification du client par rapport à Active Directory, évalué les politiques réseau applicables et déterminé que l'accès doit être accordé en fonction des conditions configurées. Cela inclut la vérification des appartenances aux groupes d'utilisateurs, du statut de conformité de l'appareil, des restrictions basées sur le temps et des politiques basées sur la localisation selon votre configuration NPS.

L'enregistrement de l'événement contient des détails complets, y compris l'adresse IP du client, l'adresse MAC, la méthode d'authentification utilisée (telle que PEAP-MSCHAPv2, EAP-TLS ou PAP), la politique réseau qui a accordé l'accès et les identifiants spécifiques à la session. Ces détails sont inestimables pour l'audit de sécurité, le reporting de conformité et le dépannage des problèmes d'accès réseau.

Dans les environnements modernes de Windows Server 2025, cet événement s'intègre avec des fonctionnalités de sécurité avancées telles que les politiques d'accès conditionnel et les vérifications de conformité des appareils, en faisant un composant critique des architectures réseau à confiance zéro.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Authentification utilisateur réussie via des commutateurs réseau ou des points d'accès sans fil activés par 802.1X
  • Client VPN se connectant avec succès via une passerelle protégée par NPS avec des identifiants valides
  • Appareil sans fil complétant l'authentification WPA2-Enterprise ou WPA3-Enterprise
  • Appareil réseau s'authentifiant via RADIUS pour l'accès à la gestion
  • Client DirectAccess établissant une connexion via la validation de la politique NPS
  • Connexion Remote Desktop Gateway autorisée via les politiques NPS
  • Équipement réseau tiers utilisant l'authentification RADIUS contre Windows NPS
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte d'authentification et les informations sur le client.

  1. Ouvrez Observateur d'événements sur votre serveur NPS ou contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 6273 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir des informations détaillées incluant :
    • Nom d'utilisateur et domaine
    • Adresse IP du client et adresse MAC
    • Méthode d'authentification utilisée
    • Nom de la politique réseau qui a accordé l'accès
    • Identifiant de session et horodatage
  5. Notez l'ID de la station appelante qui contient généralement l'adresse MAC du client
  6. Vérifiez le champ NAS-Identifier pour identifier quel appareil réseau a traité la demande
Astuce pro : Le format de l'ID de la station appelante varie selon le fournisseur - Cisco utilise des tirets tandis que d'autres fournisseurs peuvent utiliser des deux-points ou aucun séparateur.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour extraire et analyser les occurrences de l'ID d'événement 6273 pour les motifs et les tendances.

  1. Ouvrez PowerShell en tant qu'administrateur sur votre serveur NPS
  2. Interrogez les authentifications réussies récentes :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6273} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*User Name:*'}) -replace '.*User Name:\s*',''}}, @{Name='ClientIP';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Client IP Address:*'}) -replace '.*Client IP Address:\s*',''}}
  3. Filtrez les événements par utilisateur spécifique ou plage de temps :
    $StartTime = (Get-Date).AddHours(-24)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6273; StartTime=$StartTime}
$Events | Where-Object {$_.Message -like '*john.doe*'}
  4. Exportez les données d'authentification pour le rapport de conformité :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6273; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated, @{Name='Details';Expression={$_.Message}} | Export-Csv -Path 'C:\Logs\NPS_Access_Granted.csv' -NoTypeInformation
03

Corréler avec la configuration de la politique réseau

Vérifiez que l'accès accordé est conforme à votre configuration de politique réseau prévue et aux exigences de sécurité.

  1. Ouvrez la console Network Policy Server à partir des Outils d'administration
  2. Accédez à PolitiquesPolitiques réseau
  3. Localisez le nom de la politique mentionné dans les détails de l'ID d'événement 6273
  4. Examinez les conditions de la politique pour vous assurer qu'elles correspondent à vos exigences de sécurité:
    • Exigences d'appartenance à un utilisateur/groupe
    • Restrictions d'accès basées sur le temps
    • Exigences de conformité des appareils
    • Conditions basées sur la localisation
  5. Vérifiez les contraintes et paramètres de la politique:
    • Méthodes d'authentification autorisées
    • Valeurs de délai d'expiration de session
    • Affectations de VLAN ou filtres IP
    • Limitations de bande passante
  6. Vérifiez l'ordre de traitement des politiques en consultant la colonne Ordre de traitement
  7. Testez les modifications de politique dans un environnement contrôlé avant le déploiement en production
Avertissement : La modification des politiques réseau peut affecter immédiatement l'accès des utilisateurs. Testez toujours les modifications pendant les fenêtres de maintenance.
04

Surveiller les modèles d'authentification et les anomalies

Implémentez une surveillance pour détecter des modèles d'authentification inhabituels pouvant indiquer des préoccupations de sécurité.

  1. Créez un script PowerShell pour surveiller la fréquence d'authentification :
    # Surveiller les modèles d'authentification inhabituels
$Yesterday = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6273; StartTime=$Yesterday}

# Regrouper par utilisateur pour identifier les authentifications à haute fréquence
$UserStats = $Events | ForEach-Object {
    $Message = $_.Message
    $User = ($Message -split '\n' | Where-Object {$_ -like '*User Name:*'}) -replace '.*User Name:\s*',''
    $ClientIP = ($Message -split '\n' | Where-Object {$_ -like '*Client IP Address:*'}) -replace '.*Client IP Address:\s*',''
    [PSCustomObject]@{
        User = $User
        ClientIP = $ClientIP
        TimeCreated = $_.TimeCreated
    }
} | Group-Object User | Select-Object Name, Count | Sort-Object Count -Descending

$UserStats | Where-Object {$_.Count -gt 100}
  2. Configurez des tâches planifiées pour exécuter des scripts de surveillance et alerter sur les anomalies
  3. Configurez le transfert d'événements Windows pour centraliser les journaux NPS de plusieurs serveurs
  4. Utilisez les paramètres du registre pour augmenter la taille du journal de sécurité si nécessaire :
    Set-ItemProperty -Path 'HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security' -Name 'MaxSize' -Value 0x6400000  # 100MB
05

Dépannage avancé avec la journalisation NPS

Activez la journalisation NPS complète pour une analyse détaillée du flux d'authentification et des scénarios de dépannage avancés.

  1. Configurez la journalisation de la comptabilité et de l'authentification NPS:
    • Ouvrez la console Network Policy Server
    • Cliquez avec le bouton droit sur NPS (Local) et sélectionnez Propriétés
    • Allez à l'onglet Journalisation des événements
    • Activez les Événements de réussite et d'échec pour l'authentification et la comptabilité
  2. Activez la journalisation détaillée des requêtes:
    • Accédez à Comptabilité dans la console NPS
    • Cliquez avec le bouton droit sur Propriétés du fichier journal
    • Configurez le format du fichier journal comme IAS (Legacy) ou DTS Compliant
    • Définissez les limites appropriées de rotation et de taille des fichiers journaux
  3. Analysez les fichiers journaux NPS pour des informations détaillées sur les sessions:
    # Analyser les fichiers journaux NPS pour les détails d'authentification
$LogPath = 'C:\Windows\System32\LogFiles\IN*.log'
$LogEntries = Get-Content $LogPath | Where-Object {$_ -like '*6273*' -or $_ -like '*Access-Accept*'}
$LogEntries | Select-Object -First 10
  4. Recoupez l'ID d'événement 6273 avec les événements de début/arrêt de comptabilité RADIUS correspondants (ID d'événements 6272, 6274)
  5. Utilisez des outils de capture de paquets réseau comme Wireshark pour analyser le trafic RADIUS si les problèmes d'authentification persistent
Astuce pro : Les fichiers journaux NPS contiennent des informations plus détaillées que les journaux d'événements Windows, y compris tous les attributs RADIUS échangés lors de l'authentification.

Aperçu

L'ID d'événement 6273 se déclenche lorsque le serveur de stratégie réseau Microsoft (NPS) accorde avec succès l'accès au réseau à un client après avoir terminé les vérifications d'authentification et d'autorisation. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et les serveurs NPS exécutant le rôle de services de stratégie et d'accès réseau. L'événement capture des détails critiques sur les sessions d'authentification RADIUS réussies, y compris les informations sur le client, les méthodes d'authentification et les politiques réseau appliquées.

Cet événement est essentiel pour la surveillance de l'accès au réseau dans les environnements d'entreprise utilisant l'authentification 802.1X, les connexions VPN ou l'accès au réseau sans fil via RADIUS. Les administrateurs système s'appuient sur l'ID d'événement 6273 pour suivre les authentifications réseau réussies, valider l'application des politiques et maintenir des pistes d'audit pour les exigences de conformité. L'événement fournit des informations détaillées sur les utilisateurs ou les appareils ayant obtenu l'accès au réseau, le moment où l'accès a été accordé et les politiques réseau appliquées lors du processus d'autorisation.

Comprendre cet événement aide les administrateurs à surveiller la posture de sécurité du réseau, à résoudre les problèmes d'authentification et à garantir une application correcte des politiques à travers les composants de l'infrastructure réseau.

Questions Fréquentes

Que signifie l'ID d'événement 6273 et quand se produit-il ?+
L'ID d'événement 6273 indique que le serveur de stratégie réseau (NPS) a accordé avec succès l'accès au réseau à un client après avoir terminé l'authentification et l'autorisation. Cela se produit lorsqu'un utilisateur ou un appareil s'authentifie avec succès via des protocoles RADIUS, comme lors de l'accès réseau 802.1X, des connexions VPN ou de l'authentification sans fil. L'événement confirme que le client a satisfait à toutes les exigences de la politique et a obtenu l'accès aux ressources réseau.
Comment puis-je identifier quelle politique réseau a accordé l'accès dans l'ID d'événement 6273 ?+
Le nom de la politique réseau est inclus dans les détails de l'événement sous le champ 'Nom de la politique réseau'. Pour voir cette information, ouvrez l'événement dans le Visualiseur d'événements et recherchez le nom de la politique dans la description de l'événement. Vous pouvez également extraire cette information en utilisant PowerShell en analysant le contenu du message de l'événement. Le nom de la politique vous aide à comprendre quel ensemble de conditions et de contraintes a été appliqué pour accorder l'accès.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 6273 pour le même utilisateur ?+
Plusieurs entrées d'ID d'événement 6273 pour le même utilisateur sont normales et peuvent se produire pour plusieurs raisons : intervalles de ré-authentification configurés dans vos politiques réseau, changement d'utilisateur entre différents points d'accès réseau, renouvellements de session pour des connexions de longue durée, ou l'utilisateur connectant plusieurs appareils. Chaque authentification ou ré-authentification réussie génère un événement distinct. Vous pouvez corréler ces événements en utilisant l'identifiant de session et les horodatages pour comprendre le schéma d'authentification.
Comment puis-je corréler l'ID d'événement 6273 avec les tentatives d'authentification échouées ?+
Pour corréler les authentifications réussies (ID d'événement 6273) avec les tentatives échouées, recherchez les événements d'échec correspondants à l'ID d'événement 6273, tels que l'ID d'événement 6272 (accès refusé) ou les événements d'échec d'authentification. Utilisez PowerShell pour interroger à la fois les événements réussis et échoués dans la même période, en filtrant par nom d'utilisateur ou adresse IP du client. Cette corrélation aide à identifier des problèmes de sécurité potentiels, tels que des tentatives de force brute suivies d'une compromission réussie, ou aide à résoudre des problèmes d'authentification intermittents.
L'ID d'événement 6273 peut-il aider à la conformité et à l'audit de sécurité ?+
Oui, l'ID d'événement 6273 est crucial pour la conformité et l'audit de sécurité car il fournit une piste d'audit complète des autorisations d'accès réseau réussies. L'événement inclut l'identité de l'utilisateur, la méthode d'authentification, les informations sur le dispositif client, les horodatages et les politiques appliquées. Ces informations soutiennent les exigences de conformité pour des normes comme PCI DSS, HIPAA ou SOX qui nécessitent la surveillance de l'accès réseau. Vous pouvez exporter ces événements vers des systèmes SIEM ou créer des rapports automatisés pour démontrer le contrôle d'accès approprié et l'application des politiques.
Documentation

Références (2)

1
Microsoft Learn - Network Policy Server OverviewComprehensive documentation about Network Policy Server configuration and management in Windows Server environments.https://learn.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-top
2
Microsoft Docs - Security Auditing EventsOfficial documentation covering Windows security auditing events and their meanings for system administrators.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#nps-authentication#radius-security#event-id-6273

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min
Windows security monitoring dashboard displaying authentication package loading events in Event Viewer
Event 5632
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 5632 – LSA : Package d'authentification chargé

L'ID d'événement 5632 indique qu'un package d'authentification a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les fournisseurs d'authentification sont initialisés lors du démarrage du système ou des modifications du sous-système de sécurité.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...