ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs on a monitoring dashboard
Event ID 16384InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 16384Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 16384 sert de mécanisme principal de Windows pour enregistrer les modifications de l'heure système. Le noyau génère cet événement chaque fois que l'horloge système subit un ajustement, que ce soit par une action de l'utilisateur, une synchronisation automatique ou des sources de temps externes. Cet événement joue un rôle crucial dans le maintien des pistes d'audit pour les exigences de conformité et le dépannage des problèmes liés au temps dans les environnements d'entreprise.

La structure de l'événement inclut l'heure système précédente, la nouvelle heure système, et le processus ou service responsable du changement. Lorsque les utilisateurs ajustent manuellement l'horloge via le Panneau de configuration ou les Paramètres, l'événement enregistre le compte utilisateur et les détails du processus. Pour les changements automatiques via le service de temps Windows (W32Time), l'événement identifie le service et la source de synchronisation.

Dans les environnements de domaine, cet événement devient particulièrement important pour suivre les dérives de temps et les problèmes de synchronisation. Les contrôleurs de domaine dépendent d'une synchronisation temporelle précise pour l'authentification Kerberos, et des écarts de temps dépassant cinq minutes peuvent entraîner des échecs d'authentification. L'événement 16384 aide les administrateurs à identifier quand les changements de temps se produisent et à les corréler avec des problèmes d'authentification ou des interruptions de service.

Les équipes de sécurité surveillent cet événement pour détecter des changements de temps non autorisés qui pourraient indiquer des tentatives de falsification ou une activité malveillante. Les attaquants modifient parfois l'heure système pour contourner les contrôles de sécurité basés sur le temps ou masquer les horodatages des journaux. La surveillance régulière des modèles de l'événement 16384 aide à établir un comportement de changement de temps de référence et à détecter les anomalies.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les Paramètres Windows ou le Panneau de configuration
  • Synchronisation automatique de l'heure avec les contrôleurs de domaine ou les serveurs NTP
  • Corrections du service de temps Windows (W32Time) dues à la dérive de l'horloge
  • Transitions de l'heure d'été gérées par le système d'exploitation
  • Ajustements de l'horloge matérielle lors du démarrage du système ou de la reprise après veille
  • Logiciel de synchronisation de l'heure tiers effectuant des modifications de l'heure système
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Mises à jour de l'heure du firmware BIOS/UEFI lors du démarrage du système
  • Événements de synchronisation du client du protocole de temps réseau (NTP)
  • Changements de fuseau horaire appliqués par les utilisateurs ou la stratégie de groupe
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 16384 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 16384 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 16384 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'événement 16384 pour voir les informations détaillées
  6. Vérifiez l'onglet Général pour les anciennes et nouvelles valeurs de temps
  7. Examinez l'onglet Détails pour les informations de processus et la source du changement

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=16384} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Recherchez l'ID de processus et le nom de processus dans les détails de l'événement pour identifier si le changement a été initié par l'utilisateur ou par un service.
02

Vérifier la configuration du service de temps Windows

Examinez la configuration du service Windows Time pour comprendre le comportement de synchronisation automatique de l'heure.

  1. Ouvrez une invite de commande ou PowerShell avec élévation de privilèges
  2. Vérifiez la configuration actuelle du service de temps :
w32tm /query /configuration
  1. Examinez la source de temps et les paramètres de synchronisation :
w32tm /query /source
w32tm /query /status
  1. Vérifiez les événements récents de synchronisation de l'heure :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 10
  1. Vérifiez la hiérarchie de synchronisation de l'heure du domaine :
w32tm /query /peers
  1. Testez la synchronisation manuelle pour identifier les problèmes :
w32tm /resync /force
Avertissement : Forcer la synchronisation de l'heure peut causer des problèmes d'authentification temporaires si le changement d'heure est significatif.
03

Analyser les modèles de changement de temps et la fréquence

Examinez la fréquence et les modèles de changements de temps pour identifier les problèmes potentiels ou établir des bases de référence.

  1. Interroger les occurrences de l'événement 16384 au cours des 30 derniers jours :
$StartTime = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=16384; StartTime=$StartTime}
$Events | Group-Object {$_.TimeCreated.Date} | Sort-Object Name
  1. Créer une analyse détaillée des changements de temps :
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessId = $EventXML.Event.EventData.Data[0].'#text'
        ProcessName = $EventXML.Event.EventData.Data[1].'#text'
        OldTime = $EventXML.Event.EventData.Data[2].'#text'
        NewTime = $EventXML.Event.EventData.Data[3].'#text'
    }
} | Format-Table -AutoSize
  1. Vérifiez la corrélation avec les événements système :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(1074,6005,6006,16384); StartTime=$StartTime} | Sort-Object TimeCreated
  1. Exporter les données de changement de temps pour une analyse plus approfondie :
$Events | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation
Astuce pro : Recherchez des modèles comme des occurrences quotidiennes qui pourraient indiquer des tâches planifiées ou des intervalles de synchronisation réguliers.
04

Examiner les implications en matière de sécurité et de conformité

Examinez les changements de temps d'un point de vue sécurité et assurez-vous de la conformité avec les exigences d'audit.

  1. Vérifiez les changements de temps non autorisés en les corrélant avec les événements de connexion utilisateur :
$TimeChanges = Get-WinEvent -FilterHashtable @{LogName='System'; Id=16384; StartTime=(Get-Date).AddDays(-7)}
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddDays(-7)}

# Corréler les changements de temps avec les sessions utilisateur
$TimeChanges | ForEach-Object {
    $ChangeTime = $_.TimeCreated
    $NearbyLogons = $LogonEvents | Where-Object {[Math]::Abs(($_.TimeCreated - $ChangeTime).TotalMinutes) -lt 30}
    [PSCustomObject]@{
        TimeChange = $ChangeTime
        NearbyLogons = $NearbyLogons.Count
        Users = ($NearbyLogons | ForEach-Object {([xml]$_.ToXml()).Event.EventData.Data[5].'#text'} | Select-Object -Unique) -join ', '
    }
}
  1. Examinez les paramètres de stratégie de groupe affectant la synchronisation du temps :
Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\W32Time\TimeProviders\NtpClient" -ErrorAction SilentlyContinue
Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\W32Time\Config" -ErrorAction SilentlyContinue
  1. Vérifiez les événements de sécurité liés au temps :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4616,4624,4625)} -MaxEvents 50 | Where-Object {$_.Message -match 'time|clock'}
  1. Générez un rapport de conformité pour les changements de temps :
$Report = $TimeChanges | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        Timestamp = $_.TimeCreated
        EventId = $_.Id
        Source = $_.ProviderName
        ProcessId = $EventXML.Event.EventData.Data[0].'#text'
        ProcessName = $EventXML.Event.EventData.Data[1].'#text'
        Description = "Changement de l'heure système"
        Impact = "Impact potentiel sur l'authentification/l'audit"
    }
}
$Report | Export-Csv -Path "C:\Temp\TimeChangeAudit.csv" -NoTypeInformation
05

Configurer la surveillance et l'alerte avancées du temps

Configurez une surveillance proactive des changements de temps pour détecter les problèmes avant qu'ils n'affectent les opérations.

  1. Créez une tâche planifiée pour surveiller les changements de temps :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command \"Get-WinEvent -FilterHashtable @{LogName='System'; Id=16384; StartTime=(Get-Date).AddMinutes(-5)} | Export-Csv -Path 'C:\Logs\TimeChanges.csv' -Append -NoTypeInformation\""
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
# Sur le serveur collecteur
wecutil qc /q

# Créez un abonnement pour l'événement 16384
$SubscriptionXML = @"
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>TimeChangeEvents</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Forward Event ID 16384 time change events</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="System">*[System[EventID=16384]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
"@

$SubscriptionXML | Out-File -FilePath "C:\Temp\TimeChangeSubscription.xml"
wecutil cs "C:\Temp\TimeChangeSubscription.xml"
  1. Configurez la surveillance du registre pour les changements de service de temps :
# Surveillez les changements de registre W32Time
$RegPath = "HKLM\SYSTEM\CurrentControlSet\Services\W32Time"
Register-WmiEvent -Query "SELECT * FROM RegistryTreeChangeEvent WHERE Hive='HKEY_LOCAL_MACHINE' AND RootPath='SYSTEM\\CurrentControlSet\\Services\\W32Time'" -Action {
    Write-EventLog -LogName Application -Source "TimeMonitor" -EventId 1001 -Message "W32Time registry modification detected"
}
Avertissement : Assurez-vous d'avoir suffisamment d'espace disque pour les fichiers journaux lors de la mise en œuvre de solutions de surveillance continue.

Aperçu

L'ID d'événement 16384 de la source Microsoft-Windows-Kernel-General se journalise chaque fois que Windows détecte un changement de l'heure système. Cet événement se déclenche lors des ajustements manuels de l'heure, de la synchronisation automatique de l'heure avec les contrôleurs de domaine ou les serveurs NTP, et des transitions de l'heure d'été. L'événement capture à la fois les valeurs de l'heure précédente et nouvelle, ce qui le rend essentiel pour l'audit de sécurité et le suivi de la conformité.

Cet événement apparaît dans le journal Système et fournit des informations détaillées sur ce qui a déclenché le changement d'heure, qu'il ait été initié par l'utilisateur, piloté par un service ou causé par une synchronisation externe. Dans les environnements d'entreprise, des changements d'heure inattendus peuvent indiquer des problèmes de sécurité, des services de temps mal configurés ou des problèmes d'horloge matérielle. L'événement aide les administrateurs à suivre les changements liés au temps qui pourraient affecter l'authentification Kerberos, la validation des certificats et la corrélation des journaux entre les systèmes.

Windows génère cet événement via le sous-système de gestion du temps du noyau, qui surveille toutes les opérations d'ajustement de l'heure. L'événement inclut des informations sur le processus lorsque le changement est initié par l'utilisateur et des détails sur le service lorsqu'il est déclenché par le service de temps Windows ou d'autres composants système.

Questions Fréquentes

Que signifie l'ID d'événement 16384 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 16384 indique qu'un changement de l'heure système s'est produit sur votre machine Windows. Vous devriez vous inquiéter lorsque ces événements apparaissent fréquemment sans explication, se produisent en dehors des fenêtres de synchronisation normales, ou coïncident avec des échecs d'authentification. Dans les environnements de domaine, des changements d'heure inattendus peuvent perturber l'authentification Kerberos et causer des interruptions de service. Les occurrences normales incluent la synchronisation NTP programmée, les transitions de l'heure d'été et les ajustements manuels de l'heure par les administrateurs.
Comment puis-je déterminer ce qui a causé un changement d'heure spécifique dans l'événement 16384 ?+
Examinez les détails de l'événement dans le Visualiseur d'événements ou utilisez PowerShell pour analyser le XML de l'événement. L'événement contient les champs ProcessId et ProcessName qui identifient la source du changement. Les sources courantes incluent 'svchost.exe' pour le service de temps Windows, 'explorer.exe' pour les changements initiés par l'utilisateur via les Paramètres, ou des noms d'application spécifiques pour les logiciels de synchronisation de temps tiers. Recoupez l'horodatage avec les événements de connexion utilisateur et les tâches planifiées pour identifier la cause principale.
L'ID d'événement 16384 peut-il indiquer une violation de sécurité ou une activité malveillante ?+
Oui, des occurrences inattendues ou fréquentes de l'événement 16384 peuvent indiquer des problèmes de sécurité. Les logiciels malveillants modifient parfois l'heure du système pour échapper aux contrôles de sécurité basés sur le temps, contourner la validation des certificats ou masquer les horodatages des journaux. Recherchez les changements d'heure qui se produisent en dehors des heures de bureau normales, qui coïncident avec une activité de processus suspecte ou qui se produisent sans connexions utilisateur correspondantes. Établissez des modèles de référence pour votre environnement et enquêtez sur les écarts. Corrélez toujours avec d'autres événements de sécurité et alertes de protection des points de terminaison.
Pourquoi vois-je l'événement 16384 plusieurs fois lors du démarrage du système ?+
Plusieurs entrées d'événement 16384 lors du démarrage sont normales et se produisent en raison de divers processus de synchronisation temporelle. L'horloge matérielle peut différer de la dernière heure système enregistrée, déclenchant un ajustement initial. Le service Windows Time effectue ensuite une synchronisation avec les sources de temps configurées, pouvant entraîner des modifications supplémentaires. Les machines virtuelles rencontrent souvent ce phénomène en raison de la synchronisation temporelle de l'hôte. Les mises à jour du firmware UEFI et la détection du fuseau horaire peuvent également générer plusieurs événements lors du démarrage. Ce comportement est attendu sauf si les changements de temps sont excessifs ou causent des problèmes d'authentification.
Comment puis-je empêcher les changements d'heure non autorisés tout en maintenant une synchronisation correcte ?+
Configurez la stratégie de groupe pour restreindre les autorisations de changement d'heure tout en garantissant que les comptes de service appropriés peuvent synchroniser l'heure. Définissez le droit d'utilisateur 'Modifier l'heure du système' pour n'inclure que les administrateurs et le SERVICE LOCAL. Configurez le service de temps Windows avec les serveurs NTP appropriés et les intervalles de synchronisation. Dans les environnements de domaine, assurez une hiérarchie temporelle appropriée avec l'émulateur PDC comme source de temps autoritaire. Surveillez l'événement 16384 pour les modifications non autorisées et mettez en place des alertes pour les changements d'heure en dehors des fenêtres de maintenance. Envisagez d'utiliser des modules de sécurité matériels ou des sources de temps de confiance pour les environnements à haute sécurité.
Documentation

Références (2)

1
Microsoft Learn - Windows Time ServiceComprehensive documentation on Windows Time service configuration and troubleshootinghttps://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-top
2
Microsoft Support - Event ID 16384 ReferenceOfficial Windows event logging reference documentationhttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-16384

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8301
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8301 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 8301 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...