Windows Events — Référence des Event ID & Dépannage

ID d'événement Windows 4816 – Audit de sécurité : Package d'authentification NTLM chargé

L'ID d'événement 4816 indique que le package d'authentification NTLM a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les capacités d'authentification NTLM sont initialisées sur les systèmes Windows.

ID d'événement Windows 4801 – Microsoft-Windows-WinRM : Service WinRM démarré avec succès

L'ID d'événement 4801 indique que le service Windows Remote Management (WinRM) a démarré avec succès. Cet événement informatif confirme que WinRM est opérationnel et prêt à accepter des connexions à distance.

ID d'événement Windows 4794 – Sécurité : Une tentative a été faite pour définir le mot de passe de l'administrateur du mode de restauration des services d'annuaire

L'ID d'événement 4794 se déclenche lorsque quelqu'un tente de définir ou de modifier le mot de passe administrateur du mode de restauration des services d'annuaire (DSRM) sur un contrôleur de domaine. Cet événement de sécurité suit les modifications critiques du mot de passe DSRM.

ID d'événement Windows 4793 – Microsoft-Windows-Security-Auditing : Une tentative a été faite pour appeler un service privilégié

L'ID d'événement 4793 enregistre lorsqu'un processus tente d'appeler une opération de service privilégiée. Cet événement d'audit de sécurité suit l'utilisation des privilèges de service pour la surveillance de la conformité et l'analyse de sécurité.

ID d'événement Windows 4782 – Sécurité : Mot de passe du compte utilisateur modifié

L'ID d'événement 4782 enregistre lorsqu'un mot de passe de compte utilisateur est modifié par un administrateur ou via des outils administratifs. Cet événement d'audit de sécurité suit les modifications de mot de passe à des fins de conformité et de surveillance de la sécurité.

ID d'événement Windows 4781 – Sécurité : Nom de compte modifié

L'ID d'événement 4781 enregistre lorsqu'un nom de compte utilisateur est modifié dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi de la conformité.

ID d'événement Windows 4780 – Microsoft-Windows-Security-Auditing : Mot de passe du compte d'ordinateur modifié

L'ID d'événement 4780 enregistre lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement d'audit de sécurité suit les mises à jour de mot de passe de compte machine pour les ordinateurs joints au domaine.

ID d'événement Windows 4778 – Microsoft-Windows-Security-Auditing : Session reconnectée à une station de travail

L'ID d'événement 4778 enregistre lorsqu'une session utilisateur se reconnecte à une station de travail ou un serveur Windows, généralement après une déconnexion de Bureau à distance ou un changement de console. Critique pour suivre l'activité des utilisateurs et la gestion des sessions.

ID d'événement Windows 4769 – Microsoft-Windows-Security-Auditing : Demande de ticket de service Kerberos

L'ID d'événement 4769 enregistre lorsqu'un ticket de service Kerberos est demandé à un contrôleur de domaine. Cet événement d'audit de sécurité suit les tentatives d'authentification aux services et ressources réseau.

ID d'événement Windows 4768 – Microsoft-Windows-Security-Auditing : Ticket d'authentification Kerberos (TGT) demandé

L'ID d'événement 4768 se connecte lorsqu'un utilisateur ou un service demande un Ticket Granting Ticket (TGT) Kerberos à un contrôleur de domaine lors de l'authentification.

ID d'événement Windows 4766 – Microsoft-Windows-Security-Auditing : Échec de l'authentification du compte d'ordinateur

L'ID d'événement 4766 indique qu'un compte d'ordinateur n'a pas réussi à s'authentifier auprès du contrôleur de domaine. Cet événement d'audit de sécurité se déclenche lorsque l'authentification de la machine échoue lors des processus de connexion au domaine.

ID d'événement Windows 4765 – Microsoft-Windows-Security-Auditing : Échec de la gestion du compte utilisateur

L'ID d'événement 4765 indique une tentative échouée de gérer les propriétés du compte utilisateur ou les appartenances à des groupes dans Active Directory, généralement en raison de permissions insuffisantes ou de violations de politiques.

ID d'événement Windows 4717 – Microsoft-Windows-Security-Auditing : Accès à la sécurité du système accordé

L'ID d'événement 4717 enregistre lorsqu'un utilisateur ou un processus se voit accorder des privilèges d'accès à la sécurité du système, impliquant généralement des opérations de sécurité sensibles comme la sauvegarde, la restauration ou les droits d'accès au niveau système.

ID d'événement Windows 4716 – Sécurité : Les informations d'un domaine de confiance ont été modifiées

L'ID d'événement 4716 enregistre lorsque les informations de domaine de confiance sont modifiées dans Active Directory, indiquant des changements dans les relations de confiance de domaine qui affectent l'authentification et l'autorisation entre les domaines.

ID d'événement Windows 4715 – Microsoft-Windows-Security-Auditing : Politique de contrôle d'accès de la sécurité du système modifiée

L'ID d'événement 4715 se déclenche lorsque les politiques de contrôle d'accès à la sécurité du système sont modifiées, indiquant des changements dans les paramètres de sécurité qui contrôlent l'accès aux ressources du système et les configurations d'audit.

ID d'événement Windows 4714 – Microsoft-Windows-Security-Auditing : La liste de contrôle d'accès à la sécurité du système a été modifiée

L'ID d'événement 4714 se déclenche lorsque la liste de contrôle d'accès système (SACL) est modifiée sur un système Windows, indiquant des changements dans les politiques d'audit ou les configurations de surveillance de la sécurité.

ID d'événement Windows 4713 – Microsoft-Windows-Security-Auditing : Politique Kerberos modifiée

L'ID d'événement 4713 se déclenche lorsque les paramètres de la politique d'authentification Kerberos sont modifiés sur un contrôleur de domaine, indiquant des changements dans la durée de vie des tickets, les paramètres de renouvellement ou d'autres paramètres de sécurité Kerberos.

ID d'événement Windows 4707 – Microsoft-Windows-Security-Auditing : Confiance cryptographique supprimée

L'ID d'événement 4707 indique qu'une relation de confiance cryptographique a été supprimée du système, généralement lorsque des certificats sont supprimés ou que des relations de confiance sont révoquées dans les environnements Active Directory.

ID d'événement Windows 4706 – Microsoft-Windows-Security-Auditing : Objet du service d'annuaire créé

L'ID d'événement 4706 enregistre la création d'un nouvel objet dans les services de domaine Active Directory. Cet événement d'audit de sécurité suit la création d'unités organisationnelles, d'utilisateurs, de groupes et de comptes d'ordinateurs pour le suivi de la conformité.

ID d'événement Windows 4705 – Microsoft-Windows-Security-Auditing : Compte utilisateur verrouillé

L'ID d'événement 4705 indique qu'un compte utilisateur a été verrouillé en raison de violations de la politique de sécurité, généralement à cause de tentatives d'authentification échouées répétées ou de violations de la politique de mot de passe.

ID d'événement Windows 4704 – Microsoft-Windows-Security-Auditing : Droit utilisateur attribué

L'ID d'événement 4704 enregistre lorsqu'un droit utilisateur est attribué à un principal de sécurité via des modifications de la stratégie de groupe ou de la stratégie de sécurité locale. Critique pour l'audit de sécurité et le suivi de la conformité.