Référence IT & Documentation
Documentation technique de référence : articles KB vérifiés et référence complète des Event ID Windows.
ID d'événement Windows 4868 – Sécurité : Demande refusée par les services de certificats
L'ID d'événement 4868 se déclenche lorsque les services de certificats Active Directory refusent une demande de certificat en raison de violations de politique, de permissions insuffisantes ou de restrictions de modèle.
ID d'événement Windows 4867 – Audit de sécurité : Descripteur de sécurité du modèle de services de certificats modifié
L'ID d'événement 4867 se déclenche lorsque les autorisations de sécurité sur un modèle de certificat sont modifiées dans les services de certificats Active Directory, indiquant des changements concernant qui peut demander ou gérer des certificats.
ID d'événement Windows 4866 – Sécurité : Tentative d'opération sur un objet
L'ID d'événement 4866 indique une tentative d'effectuer une opération sur un objet de sécurité, généralement liée aux modifications de contrôle d'accès du système de fichiers ou du registre dans les environnements Windows.
ID d'événement Windows 4865 – Microsoft-Windows-Security-Auditing : Un processus de connexion de confiance a été attribué à un package d'authentification
L'ID d'événement 4865 enregistre lorsque Windows attribue un processus de connexion de confiance à un package d'authentification, généralement lors du démarrage du système ou de l'initialisation du sous-système de sécurité.
ID d'événement Windows 4816 – Audit de sécurité : Package d'authentification NTLM chargé
L'ID d'événement 4816 indique que le package d'authentification NTLM a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les capacités d'authentification NTLM sont initialisées sur les systèmes Windows.
ID d'événement Windows 4801 – Microsoft-Windows-WinRM : Service WinRM démarré avec succès
L'ID d'événement 4801 indique que le service Windows Remote Management (WinRM) a démarré avec succès. Cet événement informatif confirme que WinRM est opérationnel et prêt à accepter des connexions à distance.
ID d'événement Windows 4794 – Sécurité : Une tentative a été faite pour définir le mot de passe de l'administrateur du mode de restauration des services d'annuaire
L'ID d'événement 4794 se déclenche lorsque quelqu'un tente de définir ou de modifier le mot de passe administrateur du mode de restauration des services d'annuaire (DSRM) sur un contrôleur de domaine. Cet événement de sécurité suit les modifications critiques du mot de passe DSRM.
ID d'événement Windows 4793 – Microsoft-Windows-Security-Auditing : Une tentative a été faite pour appeler un service privilégié
L'ID d'événement 4793 enregistre lorsqu'un processus tente d'appeler une opération de service privilégiée. Cet événement d'audit de sécurité suit l'utilisation des privilèges de service pour la surveillance de la conformité et l'analyse de sécurité.
ID d'événement Windows 4782 – Sécurité : Mot de passe du compte utilisateur modifié
L'ID d'événement 4782 enregistre lorsqu'un mot de passe de compte utilisateur est modifié par un administrateur ou via des outils administratifs. Cet événement d'audit de sécurité suit les modifications de mot de passe à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4781 – Sécurité : Nom de compte modifié
L'ID d'événement 4781 enregistre lorsqu'un nom de compte utilisateur est modifié dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi de la conformité.
ID d'événement Windows 4780 – Microsoft-Windows-Security-Auditing : Mot de passe du compte d'ordinateur modifié
L'ID d'événement 4780 enregistre lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement d'audit de sécurité suit les mises à jour de mot de passe de compte machine pour les ordinateurs joints au domaine.
ID d'événement Windows 4778 – Microsoft-Windows-Security-Auditing : Session reconnectée à une station de travail
L'ID d'événement 4778 enregistre lorsqu'une session utilisateur se reconnecte à une station de travail ou un serveur Windows, généralement après une déconnexion de Bureau à distance ou un changement de console. Critique pour suivre l'activité des utilisateurs et la gestion des sessions.
ID d'événement Windows 4769 – Microsoft-Windows-Security-Auditing : Demande de ticket de service Kerberos
L'ID d'événement 4769 enregistre lorsqu'un ticket de service Kerberos est demandé à un contrôleur de domaine. Cet événement d'audit de sécurité suit les tentatives d'authentification aux services et ressources réseau.
ID d'événement Windows 4768 – Microsoft-Windows-Security-Auditing : Ticket d'authentification Kerberos (TGT) demandé
L'ID d'événement 4768 se connecte lorsqu'un utilisateur ou un service demande un Ticket Granting Ticket (TGT) Kerberos à un contrôleur de domaine lors de l'authentification.
ID d'événement Windows 4766 – Microsoft-Windows-Security-Auditing : Échec de l'authentification du compte d'ordinateur
L'ID d'événement 4766 indique qu'un compte d'ordinateur n'a pas réussi à s'authentifier auprès du contrôleur de domaine. Cet événement d'audit de sécurité se déclenche lorsque l'authentification de la machine échoue lors des processus de connexion au domaine.
ID d'événement Windows 4765 – Microsoft-Windows-Security-Auditing : Échec de la gestion du compte utilisateur
L'ID d'événement 4765 indique une tentative échouée de gérer les propriétés du compte utilisateur ou les appartenances à des groupes dans Active Directory, généralement en raison de permissions insuffisantes ou de violations de politiques.
ID d'événement Windows 4717 – Microsoft-Windows-Security-Auditing : Accès à la sécurité du système accordé
L'ID d'événement 4717 enregistre lorsqu'un utilisateur ou un processus se voit accorder des privilèges d'accès à la sécurité du système, impliquant généralement des opérations de sécurité sensibles comme la sauvegarde, la restauration ou les droits d'accès au niveau système.
ID d'événement Windows 4716 – Sécurité : Les informations d'un domaine de confiance ont été modifiées
L'ID d'événement 4716 enregistre lorsque les informations de domaine de confiance sont modifiées dans Active Directory, indiquant des changements dans les relations de confiance de domaine qui affectent l'authentification et l'autorisation entre les domaines.
ID d'événement Windows 4715 – Microsoft-Windows-Security-Auditing : Politique de contrôle d'accès de la sécurité du système modifiée
L'ID d'événement 4715 se déclenche lorsque les politiques de contrôle d'accès à la sécurité du système sont modifiées, indiquant des changements dans les paramètres de sécurité qui contrôlent l'accès aux ressources du système et les configurations d'audit.
ID d'événement Windows 4714 – Microsoft-Windows-Security-Auditing : La liste de contrôle d'accès à la sécurité du système a été modifiée
L'ID d'événement 4714 se déclenche lorsque la liste de contrôle d'accès système (SACL) est modifiée sur un système Windows, indiquant des changements dans les politiques d'audit ou les configurations de surveillance de la sécurité.