ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event ID 15InformationKernel-GeneralWindows

ID d'événement Windows 15 – Kernel-General : Heure du système modifiée

L'ID d'événement 15 de Kernel-General se journalise lorsque l'heure système est modifiée, soit manuellement par les utilisateurs, automatiquement par les services de synchronisation de l'heure, ou en raison d'ajustements de l'horloge matérielle.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 15Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 15 est généré par le fournisseur Kernel-General chaque fois que l'horloge système subit un changement d'heure. Cela inclut les modifications effectuées via le panneau de configuration Date et Heure, la synchronisation de l'heure par stratégie de groupe, les mises à jour du client NTP ou les ajustements manuels via des outils en ligne de commande comme w32tm ou date.

L'événement contient des informations détaillées, y compris l'heure système précédente, la nouvelle heure système et le processus ou service responsable du changement. Cette journalisation granulaire aide les administrateurs à distinguer entre la synchronisation automatique légitime et les modifications manuelles potentiellement suspectes.

Dans les environnements Windows Server, l'ID d'événement 15 apparaît fréquemment lors des opérations normales, car les contrôleurs de domaine et les serveurs membres synchronisent leurs horloges avec des sources de temps autorisées. Cependant, des changements d'heure inattendus en dehors des fenêtres de synchronisation programmées peuvent indiquer des problèmes de configuration, des problèmes matériels ou des incidents de sécurité.

L'événement joue un rôle crucial dans les enquêtes judiciaires, car les attaquants modifient parfois l'heure système pour altérer les horodatages des journaux ou contourner les contrôles de sécurité basés sur le temps. Les équipes de sécurité s'appuient sur l'ID d'événement 15 pour détecter de telles tentatives de falsification et maintenir l'intégrité de leurs pistes d'audit.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres de Date et Heure dans le Panneau de configuration
  • Synchronisation automatique de l'heure via le service de temps Windows (W32Time)
  • Synchronisation du client NTP avec des serveurs de temps externes
  • Synchronisation de l'heure imposée par la stratégie de groupe dans les environnements de domaine
  • Modifications de l'heure en ligne de commande à l'aide d'outils comme w32tm, date, ou time
  • Correction de la dérive de l'horloge matérielle lors du démarrage du système
  • Changements de fuseau horaire qui affectent l'heure locale affichée
  • Transitions de l'heure d'été (avancer au printemps/reculer à l'automne)
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Logiciel de synchronisation de l'heure tiers effectuant des ajustements système
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 15 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 15 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 15 pour voir des informations détaillées
  6. Examinez l'onglet Général pour l'ancienne heure, la nouvelle heure, et le processus responsable
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant la différence de temps exacte

Recherchez des motifs dans le timing et la fréquence. La synchronisation légitime W32Time se produit généralement à intervalles réguliers, tandis que les changements manuels apparaissent comme des événements isolés.

02

Interroger les événements de changement d'heure avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements de changement d'heure sur plusieurs systèmes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de changement d'heure :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=15} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize
  3. Pour une analyse détaillée des changements d'heure au cours des dernières 24 heures :
    $StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=15; StartTime=$StartTime} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        OldTime = $xml.Event.EventData.Data[0].'#text'
        NewTime = $xml.Event.EventData.Data[1].'#text'
        Reason = $xml.Event.EventData.Data[2].'#text'
    }
}
  4. Pour vérifier l'état de synchronisation de l'heure :
    w32tm /query /status
  5. Exporter les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=15} -MaxEvents 100 | Export-Csv -Path "C:\temp\TimeChangeEvents.csv" -NoTypeInformation
03

Examiner la configuration du service de temps Windows

Examinez la configuration du service de temps Windows pour comprendre le comportement de synchronisation automatique de l'heure.

  1. Vérifiez la configuration actuelle du service de temps :
    w32tm /query /configuration
  2. Vérifiez les sources de synchronisation de l'heure :
    w32tm /query /source
  3. Examinez les paramètres du registre du service de temps :
    Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  4. Vérifiez les intervalles de synchronisation de l'heure dans le registre :
    Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config"
  5. Pour les ordinateurs joints au domaine, vérifiez les paramètres de temps de la stratégie de groupe :
    gpresult /h C:\temp\gpresult.html
  6. Testez la synchronisation manuelle de l'heure :
    w32tm /resync /force
  7. Surveillez le journal Système immédiatement après la resynchronisation pour voir si l'ID d'événement 15 apparaît
Astuce pro : Dans les environnements de domaine, seul l'émulateur PDC doit se synchroniser avec des sources de temps externes. Les serveurs membres et les postes de travail doivent se synchroniser avec les contrôleurs de domaine.
04

Analyser les implications en matière de sécurité et la piste d'audit

Enquêter sur les préoccupations de sécurité potentielles liées aux changements d'heure non autorisés et maintenir des pistes d'audit appropriées.

  1. Vérifier le journal de sécurité pour les événements de connexion liés autour des changements d'heure :
    $TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=15} -MaxEvents 10
foreach ($Event in $TimeChangeEvents) {
    $StartTime = $Event.TimeCreated.AddMinutes(-5)
    $EndTime = $Event.TimeCreated.AddMinutes(5)
    Write-Host "Changement d'heure à : $($Event.TimeCreated)"
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, Id, Message
}
  2. Examiner les événements de création de processus (ID d'événement 4688) pour les commandes liées au temps :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -match "w32tm|date|time"} | Select-Object TimeCreated, Message
  3. Vérifier les événements d'escalade de privilèges avant les changements d'heure :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Select-Object TimeCreated, Message | Format-Table -AutoSize
  4. Examiner les modifications de la stratégie de groupe qui pourraient affecter la synchronisation de l'heure :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} | Select-Object TimeCreated, Message
  5. Créer un script de surveillance pour les changements d'heure suspects :
    # Enregistrer sous Monitor-TimeChanges.ps1
$LastCheck = (Get-Date).AddHours(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=15; StartTime=$LastCheck} | ForEach-Object {
    if ($_.Message -notmatch "W32Time") {
        Write-Warning "Changement d'heure suspect détecté à $($_.TimeCreated)"
        $_.Message
    }
}
Avertissement : Les changements d'heure manuels fréquents ou les ajustements de temps importants peuvent indiquer une activité malveillante ou une compromission du système. Toujours corréler avec les journaux de sécurité et l'activité des utilisateurs.
05

Configurer la surveillance avancée du temps et les alertes

Implémentez une surveillance complète des changements de temps pour détecter les anomalies et maintenir la conformité de sécurité.

  1. Créez une tâche planifiée pour surveiller les changements de temps :
    # Créer XML pour la tâche planifiée
$TaskXML = @"


  
    
      <QueryList><Query Id="0" Path="System"><Select Path="System">*[System[EventID=15]]</Select></Query></QueryList>
    
  
  
    
      powershell.exe
      -File "C:\Scripts\TimeChangeAlert.ps1"
    
  

"@
$TaskXML | Out-File -FilePath "C:\temp\TimeChangeMonitor.xml" -Encoding Unicode
  2. Enregistrez la tâche planifiée :
    Register-ScheduledTask -TaskName "TimeChangeMonitor" -Xml (Get-Content "C:\temp\TimeChangeMonitor.xml" | Out-String)
  3. Créez le script d'alerte (C:\Scripts\TimeChangeAlert.ps1) :
    # TimeChangeAlert.ps1
$Event = Get-WinEvent -FilterHashtable @{LogName='System'; Id=15} -MaxEvents 1
$xml = [xml]$Event.ToXml()
$OldTime = $xml.Event.EventData.Data[0].'#text'
$NewTime = $xml.Event.EventData.Data[1].'#text'
$Reason = $xml.Event.EventData.Data[2].'#text'

# Envoyer une alerte par email ou écrire dans un journal personnalisé
Write-EventLog -LogName "Application" -Source "TimeMonitor" -EventId 1001 -EntryType Warning -Message "Time changed from $OldTime to $NewTime. Reason: $Reason"
  4. Configurez le transfert d'événements Windows pour une surveillance centralisée :
    # Sur le serveur collecteur
wecutil qc /q
# Créer une souscription pour l'ID d'événement 15
wecutil cs C:\temp\TimeChangeSubscription.xml
  5. Configurez la surveillance du registre pour les changements de service de temps :
    $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time"
$Action = {
    Write-EventLog -LogName "Application" -Source "TimeMonitor" -EventId 1002 -EntryType Information -Message "Time service registry modified"
}
Register-WmiEvent -Query "SELECT * FROM RegistryTreeChangeEvent WHERE Hive='HKEY_LOCAL_MACHINE' AND RootPath='SYSTEM\\CurrentControlSet\\Services\\W32Time'" -Action $Action
Conseil pro : Dans les environnements à haute sécurité, envisagez de mettre en œuvre une journalisation inviolable en transférant immédiatement l'ID d'événement 15 vers un système SIEM sécurisé et centralisé.

Aperçu

L'ID d'événement 15 de la source Kernel-General se déclenche chaque fois que Windows détecte un changement de l'heure système. Cet événement capture à la fois les ajustements manuels de l'heure et les activités de synchronisation automatique effectuées par le service de temps Windows (W32Time). L'événement enregistre l'ancienne heure, la nouvelle heure et la raison du changement, ce qui le rend essentiel pour l'audit de sécurité et le dépannage des problèmes liés au temps.

Cet événement apparaît dans le journal Système et fournit des informations médico-légales cruciales pour enquêter sur les changements d'heure non autorisés, qui peuvent être utilisés pour contourner les politiques de sécurité ou masquer des activités malveillantes. Dans les environnements de domaine, des entrées fréquentes de l'ID d'événement 15 peuvent indiquer des problèmes de synchronisation de l'heure entre les contrôleurs de domaine et les machines clientes.

L'événement devient particulièrement important dans les environnements où la précision de l'heure est critique, tels que les systèmes financiers, l'infrastructure de journalisation ou les réseaux soumis à des réglementations de conformité. Comprendre quand et pourquoi les changements de l'heure système se produisent aide les administrateurs à maintenir des pistes d'audit appropriées et à identifier les préoccupations potentielles en matière de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement Windows 15 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 15 indique que l'heure du système a été modifiée. Vous devriez vous inquiéter lorsque ces événements se produisent fréquemment en dehors des horaires de synchronisation normaux, montrent de grands ajustements de temps, ou apparaissent en même temps que des événements de sécurité suspects. La synchronisation normale de W32Time entraîne généralement de petits ajustements réguliers, tandis que les changements manuels ou les corrections importantes peuvent indiquer des problèmes de configuration ou des incidents de sécurité potentiels.
Comment puis-je distinguer entre une synchronisation horaire légitime et des changements manuels de l'heure suspects ?+
Les événements de synchronisation de l'heure légitimes montrent généralement de petits ajustements de temps (généralement des secondes ou des minutes), se produisent à intervalles réguliers et font référence au service W32Time dans les détails de l'événement. Les changements suspects impliquent souvent de grands ajustements de temps, se produisent à des intervalles irréguliers, font référence à des processus utilisateur plutôt qu'à des services système, ou sont corrélés avec une activité de connexion utilisateur inhabituelle. Vérifiez les données XML de l'événement pour le processus responsable et l'ampleur du changement de temps.
Pourquoi vois-je plusieurs entrées d'ID d'événement 15 dans mon environnement de domaine ?+
Dans les domaines Active Directory, plusieurs entrées d'ID d'événement 15 sont normales car les contrôleurs de domaine et les ordinateurs membres synchronisent leurs horloges. L'émulateur PDC se synchronise avec des sources de temps externes, les autres contrôleurs de domaine se synchronisent avec le PDC, et les ordinateurs membres se synchronisent avec les contrôleurs de domaine. Cependant, si vous constatez des événements excessifs ou de grandes corrections de temps, vérifiez la configuration de votre hiérarchie de temps et la connectivité réseau entre les contrôleurs de domaine.
L'ID d'événement 15 peut-il m'aider à détecter des violations de sécurité ou des activités malveillantes ?+
Oui, l'ID d'événement 15 est précieux pour la surveillance de la sécurité. Les attaquants modifient parfois l'heure du système pour altérer les horodatages des journaux, contourner les contrôles de sécurité basés sur le temps ou dissimuler leurs activités. Corrélez l'ID d'événement 15 avec des événements de sécurité comme l'escalade de privilèges (ID d'événement 4672), la création de processus (ID d'événement 4688) et les événements de connexion (ID d'événement 4624/4625). Les changements d'heure soudains importants ou les ajustements manuels en dehors des heures ouvrables devraient déclencher des enquêtes de sécurité.
Comment configurer une synchronisation temporelle appropriée pour minimiser les entrées inutiles d'ID d'événement 15 ?+
Configurez correctement votre hiérarchie temporelle : réglez l'émulateur PDC pour qu'il se synchronise avec des sources NTP externes fiables en utilisant 'w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual'. Assurez-vous que les autres contrôleurs de domaine se synchronisent avec le PDC, et que les ordinateurs membres se synchronisent avec les contrôleurs de domaine via la stratégie de groupe. Ajustez les intervalles de synchronisation dans le registre à HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config pour réduire la fréquence si nécessaire, mais maintenez les exigences de précision pour votre environnement.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Support - How to configure an authoritative time server in Windows ServerStep-by-step guidance for configuring authoritative time servers and establishing proper time synchronization hierarchy in Active Directory domains.https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/configure-authoritative-time-server
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#time-synchronization#event-id-15

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...