ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event ID 11724InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 11724Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

Le fournisseur Microsoft-Windows-Kernel-General génère l'ID d'événement 11724 chaque fois que l'heure système subit une modification au-delà des ajustements normaux de tick. Cet événement au niveau du noyau capture des détails complets sur les changements d'heure, y compris la valeur de l'heure précédente, la nouvelle valeur de l'heure et l'identifiant du processus responsable de l'initiation du changement.

Windows maintient l'heure système grâce à plusieurs mécanismes : l'horloge temps réel matérielle (RTC), les routines de gestion du temps logiciel et la synchronisation de l'heure réseau. Lorsqu'un composant ajuste l'horloge système de manière significative, le noyau enregistre cet événement pour maintenir une piste d'audit. L'événement distingue entre différents types de changements d'heure, tels que les ajustements progressifs de la synchronisation NTP par rapport aux changements brusques des modifications manuelles.

Dans les environnements d'entreprise, cet événement devient particulièrement important pour la surveillance de la sécurité et l'audit de conformité. La manipulation du temps peut être utilisée pour contourner les contrôles de sécurité, modifier les horodatages des journaux ou perturber les mécanismes d'authentification sensibles au temps comme les tickets Kerberos. Les données de l'événement incluent l'ampleur de l'ajustement, permettant aux administrateurs de différencier les activités de synchronisation normales des sauts de temps potentiellement suspects.

L'événement joue également un rôle crucial dans le dépannage des problèmes d'application liés au temps. Les applications reposant sur une synchronisation précise, telles que les systèmes de trading financier, les logiciels de contrôle de fabrication ou la réplication de bases de données, peuvent rencontrer des problèmes lorsque l'heure système change de manière inattendue. En surveillant l'ID d'événement 11724, les administrateurs peuvent corréler les défaillances d'application avec les événements d'ajustement de l'heure et mettre en œuvre des stratégies de remédiation appropriées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Service de temps Windows (W32Time) synchronisant avec des contrôleurs de domaine ou des serveurs NTP externes
  • Ajustement manuel de l'heure via le Panneau de configuration, l'application Paramètres ou des outils en ligne de commande
  • Correction de la dérive de l'horloge temps réel (RTC) matérielle lors du démarrage du système ou de la reprise après veille
  • Logiciel de synchronisation de temps tiers effectuant des ajustements de l'horloge système
  • Synchronisation de l'heure de la machine virtuelle avec les systèmes hôtes de l'hyperviseur
  • Transitions de l'heure d'été gérées par les services de fuseau horaire de Windows
  • Opérations de récupération du système restaurant l'heure à partir de données de sauvegarde ou de point de contrôle
  • Corrections du protocole de temps réseau (NTP) dues aux changements de latence réseau
  • Mise à jour du firmware BIOS/UEFI ajustant l'heure système lors du processus de démarrage
  • Utilitaires PowerShell ou en ligne de commande exécutant des commandes de modification de l'heure
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 11724 pour comprendre le contexte et l'ampleur du changement de temps.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 11724 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 11724 pour voir les informations détaillées
  6. Examinez les données de l'événement pour l'ancienne valeur de temps, la nouvelle valeur de temps et l'ID de processus
  7. Notez l'ampleur de la différence de temps et la fréquence des occurrences

Utilisez PowerShell pour une analyse automatisée :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=11724} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
Astuce pro : Les ajustements de temps importants (>1 minute) peuvent indiquer des problèmes d'horloge matérielle ou une manipulation manuelle, tandis que les petits ajustements représentent généralement une synchronisation NTP normale.
02

Analyser la configuration du service de temps Windows

Enquêter sur les paramètres du service de temps Windows pour déterminer si la synchronisation de l'heure provoque des ajustements fréquents.

  1. Ouvrir l'invite de commande en tant qu'administrateur
  2. Vérifier la configuration actuelle du service de temps :
w32tm /query /configuration
  1. Examiner la source de temps et les paramètres de synchronisation :
w32tm /query /source
w32tm /query /status
  1. Examiner les journaux d'événements du service de temps :
Get-WinEvent -LogName 'System' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Time-Service']]]" -MaxEvents 20
  1. Vérifier les paramètres du registre pour la configuration du service de temps :
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config' | Format-List
  1. Si vous utilisez la synchronisation de l'heure de domaine, vérifier la connectivité du contrôleur de domaine et la précision de l'heure
Avertissement : Modifier incorrectement les paramètres du service de temps peut entraîner des échecs d'authentification dans les environnements de domaine. Testez toujours les modifications dans un environnement non productif d'abord.
03

Corréler avec l'activité des processus et les événements de sécurité

Identifiez quels processus initient des changements d'heure et corrélez avec les événements de sécurité pour une analyse complète.

  1. Extraire les informations de processus à partir des entrées d'Event ID 11724 :
$events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11724} -MaxEvents 100
$events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
        OldTime = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'OldTime'} | Select-Object -ExpandProperty '#text'
        NewTime = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text'
    }
} | Format-Table -AutoSize
  1. Recouper les IDs de processus avec les processus et services en cours d'exécution :
Get-Process | Where-Object {$_.Id -in @(1234, 5678)} | Select-Object Id, ProcessName, Path, StartTime
  1. Vérifiez les événements de sécurité liés indiquant des changements d'heure manuels :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616} -MaxEvents 20 | Select-Object TimeCreated, Id, Message
  1. Examinez les journaux d'application et de service pour les erreurs liées au temps :
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2,3; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.Message -match 'time|clock|sync'} | Select-Object TimeCreated, ProviderName, Id, LevelDisplayName, Message
Astuce pro : L'ID de processus 0 indique généralement des ajustements d'heure au niveau du noyau, tandis que des IDs de processus spécifiques pointent vers des applications ou services effectuant des changements d'heure.
04

Surveiller l'horloge matérielle et les performances du système

Enquêter sur les problèmes matériels potentiels causant une dérive temporelle excessive et des impacts sur les performances du système.

  1. Vérifiez la précision de l'horloge matérielle du système par rapport à des sources de temps fiables :
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
  1. Surveillez les compteurs de performance du système liés à la gestion du temps :
Get-Counter -Counter '\System\System Up Time', '\Processor(_Total)\% Processor Time', '\Memory\Available MBytes' -SampleInterval 5 -MaxSamples 12
  1. Examinez les journaux d'événements du système pour les problèmes liés au matériel :
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.Message -match 'hardware|clock|RTC|CMOS'} | Select-Object TimeCreated, ProviderName, Id, LevelDisplayName, Message
  1. Vérifiez les services d'intégration de machine virtuelle si vous utilisez un hyperviseur :
Get-Service -Name 'vmictimesync*' | Select-Object Name, Status, StartType
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Virtual Machine\Guest\Parameters' -ErrorAction SilentlyContinue
  1. Examinez les paramètres BIOS/UEFI pour la configuration de l'heure et de la date, en particulier sur les systèmes physiques subissant une dérive temporelle fréquente
Avertissement : Des ajustements fréquents et importants de l'heure peuvent indiquer une batterie CMOS défaillante ou des problèmes de carte mère nécessitant un remplacement matériel.
05

Mettre en œuvre une surveillance avancée du temps et des alertes

Configurez une surveillance complète et des réponses automatisées pour les événements de changement d'heure dans les environnements d'entreprise.

  1. Créez un script PowerShell pour la surveillance continue des changements d'heure :
# TimeChangeMonitor.ps1
$logName = 'System'
$eventId = 11724
$threshold = 60 # secondes

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='$logName' AND EventCode=$eventId" -Action {
    $event = $Event.SourceEventArgs.NewEvent
    $timeDiff = [Math]::Abs(([DateTime]$event.NewTime - [DateTime]$event.OldTime).TotalSeconds)
    
    if ($timeDiff -gt $threshold) {
        Write-EventLog -LogName 'Application' -Source 'TimeMonitor' -EventId 1001 -EntryType Warning -Message "Changement d'heure important détecté : $timeDiff secondes"
        # Ajoutez ici une notification par email ou une intégration SIEM
    }
}
  1. Configurez le transfert d'événements Windows pour la collecte centralisée des événements de temps :
wecutil cs TimeChangeSubscription.xml
  1. Configurez une tâche planifiée pour analyser les modèles de changement d'heure :
$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\AnalyzeTimeChanges.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At '06:00'
$principal = New-ScheduledTaskPrincipal -UserId 'SYSTEM' -LogonType ServiceAccount
Register-ScheduledTask -TaskName 'TimeChangeAnalysis' -Action $action -Trigger $trigger -Principal $principal
  1. Implémentez les paramètres de stratégie de groupe pour restreindre les changements d'heure manuels :
# Vérifiez les privilèges actuels de changement d'heure
secedit /export /cfg C:\temp\current_policy.inf
Select-String -Path C:\temp\current_policy.inf -Pattern 'SeSystemtimePrivilege'
  1. Créez des compteurs de performance personnalisés et des alertes dans des systèmes de surveillance comme SCOM ou des solutions tierces
Conseil pro : Intégrez la surveillance des changements d'heure avec votre solution SIEM pour corréler avec les événements de sécurité et détecter les attaques potentielles basées sur le temps ou la manipulation du système.

Aperçu

L'ID d'événement 11724 de la source Microsoft-Windows-Kernel-General se déclenche lorsque le noyau Windows détecte un changement de l'heure système. Cet événement informatif suit les modifications de l'horloge système, qu'elles soient initiées par le service de temps Windows (W32Time), des ajustements manuels par l'utilisateur, ou des corrections automatiques à partir de protocoles de temps réseau. L'événement capture les ajustements de temps en avant et en arrière, enregistrant les anciennes et nouvelles valeurs de temps ainsi que le processus responsable du changement.

Cet événement sert de piste d'audit pour les modifications de temps, ce qui est crucial pour l'analyse judiciaire, les exigences de conformité et le dépannage des applications sensibles au temps. Dans les environnements de domaine, des occurrences fréquentes peuvent indiquer des problèmes de synchronisation NTP ou des problèmes d'horloge matérielle. L'événement apparaît dans le journal Système et inclut des informations détaillées sur l'ampleur du changement de temps et le processus initiateur.

Bien que généralement bénins, des changements de temps inattendus peuvent impacter les tâches planifiées, la validation des certificats, l'authentification Kerberos et les transactions de base de données. Les administrateurs système surveillent cet événement pour s'assurer que la synchronisation du temps fonctionne correctement et pour détecter les ajustements manuels non autorisés de l'heure qui pourraient affecter la sécurité du système ou le comportement des applications.

Questions Fréquentes

Que signifie l'ID d'événement Windows 11724 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 11724 indique que Windows a détecté un changement de l'heure système. Cela est généralement normal lorsqu'il est causé par la synchronisation du service de temps Windows, mais vous devriez enquêter si vous constatez des ajustements fréquents et importants de l'heure (>1 minute), des changements d'heure en dehors des heures de travail sans maintenance programmée, ou si les changements coïncident avec des défaillances d'applications ou des événements de sécurité. Les petits ajustements réguliers sont généralement simplement une synchronisation NTP normale qui maintient l'exactitude de l'horloge de votre système.
Comment puis-je déterminer quel processus ou service modifie l'heure du système ?+
L'entrée Event ID 11724 contient des informations sur le processus dans ses données d'événement. Utilisez PowerShell pour extraire cela : Get-WinEvent -FilterHashtable @{LogName='System'; Id=11724} et examinez les données XML pour les valeurs de ProcessId. L'ID de processus 0 indique des modifications au niveau du noyau, tandis que des PID spécifiques peuvent être recoupés avec les processus en cours d'exécution. Les sources légitimes courantes incluent le service W32Time, VMware Tools, ou des modifications manuelles via timedate.cpl.
Pourquoi est-ce que je vois fréquemment l'ID d'événement 11724 sur mes machines virtuelles ?+
Les machines virtuelles génèrent souvent cet événement en raison de la synchronisation de l'heure avec l'hôte de l'hyperviseur. VMware, Hyper-V et d'autres plateformes de virtualisation ajustent régulièrement l'heure du système invité pour correspondre à celle de l'hôte. C'est un comportement normal, mais si les ajustements sont très fréquents ou importants, vérifiez vos services d'intégration VM, désactivez les méthodes de synchronisation de l'heure conflictuelles (choisissez soit la synchronisation de l'hyperviseur OU le service de temps Windows, pas les deux), et assurez-vous que l'hôte de l'hyperviseur a l'heure exacte.
L'ID d'événement 11724 peut-il indiquer un problème de sécurité ou une activité malveillante ?+
Bien que l'ID d'événement 11724 soit généralement bénin, il peut indiquer des préoccupations de sécurité dans certains contextes. De grands ajustements de temps en arrière pourraient être des tentatives pour contourner les contrôles de sécurité basés sur le temps, altérer les horodatages des journaux d'audit ou perturber l'authentification Kerberos. Surveillez les changements de temps pendant les périodes suspectes, corrélez avec l'ID d'événement de sécurité 4616 (changement de l'heure système), et enquêtez sur tout changement de temps manuel effectué par des utilisateurs non administratifs ou pendant des heures non autorisées.
Comment puis-je arrêter de recevoir l'ID d'événement 11724 s'il remplit mes journaux d'événements ?+
Ne supprimez pas simplement cet événement car il fournit des informations d'audit précieuses. Au lieu de cela, traitez la cause profonde : configurez une synchronisation NTP appropriée pour réduire les ajustements importants, corrigez les problèmes de dérive de l'horloge matérielle, assurez-vous qu'une seule méthode de synchronisation temporelle est active dans les machines virtuelles, et définissez des intervalles de synchronisation temporelle appropriés. Si vous devez le filtrer pour la gestion des journaux, utilisez des vues personnalisées de l'Observateur d'événements ou des règles de transfert de journaux pour exclure les petits ajustements temporels tout en préservant les grands qui pourraient indiquer des problèmes.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Docs - Event Logging and MonitoringTechnical reference for Windows event logging architecture and event analysis techniques for system administrators.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-11724

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8301
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8301 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 8301 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...