ID d'événement Windows 2101 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

Commencez par examiner les détails spécifiques de l'ID d'événement 2101 pour comprendre ce qui a déclenché le changement d'heure.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 2101 en cliquant avec le bouton droit sur Système → Filtrer le journal actuel → entrez 2101 dans le champ ID d'événements
4. Double-cliquez sur l'ID d'événement 2101 le plus récent pour voir les détails
5. Examinez l'onglet Général pour l'ancienne heure, la nouvelle heure et la différence de temps
6. Vérifiez l'onglet Détails pour le nom du processus qui a initié le changement
7. Notez le champ Source pour identifier si le changement a été initié par l'utilisateur ou par le système

Utilisez PowerShell pour une analyse en masse :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=2101} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Enquêter sur la configuration du service Windows Time pour déterminer si la synchronisation automatique provoque les changements d'heure.

1. Vérifier l'état du service Windows Time :

Get-Service W32Time | Format-List *
w32tm /query /status

2. Examiner la configuration de la synchronisation horaire :

w32tm /query /configuration
w32tm /query /peers

3. Vérifier les sources de synchronisation horaire dans le registre :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" | Select-Object NtpServer, Type

4. Pour les ordinateurs joints au domaine, vérifier la synchronisation horaire du contrôleur de domaine :

w32tm /monitor /domain
w32tm /query /source

5. Tester la synchronisation manuelle pour identifier les problèmes :

w32tm /resync /force

Recoupez l'ID d'événement 2101 avec d'autres événements système pour identifier la cause principale et évaluer les implications en matière de sécurité.

1. Vérifiez les événements de sécurité liés autour de la même période :

$TimeChange = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2101} -MaxEvents 1
$StartTime = $TimeChange.TimeCreated.AddMinutes(-10)
$EndTime = $TimeChange.TimeCreated.AddMinutes(10)
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime; Id=4624,4625,4648} | Format-Table TimeCreated, Id, Message

2. Cherchez les erreurs d'application liées à la synchronisation de l'heure :

Get-WinEvent -FilterHashtable @{LogName='Application'; StartTime=$StartTime; EndTime=$EndTime; Level=2,3} | Where-Object {$_.Message -like "*time*" -or $_.Message -like "*clock*"}

3. Vérifiez les événements de stratégie de groupe qui pourraient imposer des paramètres de temps :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 20

4. Examinez les journaux du Planificateur de tâches pour les tâches automatisées liées au temps :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-TaskScheduler/Operational'; StartTime=$StartTime; EndTime=$EndTime}

5. Exportez une analyse complète des changements de temps :

$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2101} -MaxEvents 100
$Events | Export-Csv -Path "C:\Temp\TimeChangeAnalysis.csv" -NoTypeInformation

Implémentez une surveillance proactive pour détecter et alerter sur les changements de temps inattendus à des fins de sécurité et de conformité.

1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance du temps :

Dans Visualiseur d'événements → Vues personnalisées → Créer une vue personnalisée :

• Niveau d'événement : Information, Avertissement, Erreur
• Journaux d'événements : Système, Sécurité
• ID d'événements : 2101, 4616, 1
• Enregistrez sous "Surveillance des changements de temps"

2. Configurez un script de surveillance basé sur PowerShell :

# Enregistrez sous TimeChangeMonitor.ps1
$LastCheck = (Get-Date).AddHours(-1)
$TimeChanges = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2101; StartTime=$LastCheck}
if ($TimeChanges) {
    foreach ($Event in $TimeChanges) {
        $Message = "Changement de temps détecté à $($Event.TimeCreated): $($Event.Message)"
        Write-EventLog -LogName Application -Source "TimeMonitor" -EventId 9001 -EntryType Warning -Message $Message
        # Ajoutez ici une notification par email ou une intégration SIEM
    }
}

3. Configurez le Planificateur de tâches Windows pour exécuter le script de surveillance :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\TimeChangeMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest

4. Créez une surveillance du registre pour les changements de service de temps :

$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
$Baseline = Get-ItemProperty -Path $RegPath | ConvertTo-Json
$Baseline | Out-File -FilePath "C:\Temp\W32TimeBaseline.json"

Configurez des mesures de sécurité temporelle avancées pour empêcher les modifications non autorisées de l'heure et garantir la conformité avec les cadres de sécurité.

1. Restreindre les autorisations de changement d'heure à l'aide de la stratégie de groupe :

Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques locales → Attribution des droits utilisateur :

• Modifier la politique "Changer l'heure du système"
• Supprimer le groupe "Utilisateurs", conserver uniquement "Administrateurs" et "SERVICE LOCAL"

2. Configurer la hiérarchie de source de temps sécurisée via la stratégie de groupe :

Dans Configuration de l'ordinateur → Modèles d'administration → Système → Service de temps Windows :

• Activer "Configurer le client NTP Windows"
• Définir NtpServer sur des sources de confiance : time.nist.gov,0x1 pool.ntp.org,0x1
• Activer "Activer le serveur NTP Windows" uniquement sur les contrôleurs de domaine

3. Mettre en œuvre les paramètres de registre de détection de falsification de l'heure :

# Activer la journalisation détaillée du service de temps
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config" -Name "EventLogFlags" -Value 3
# Configurer l'ajustement maximal autorisé de l'heure
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config" -Name "MaxAllowedPhaseOffset" -Value 300

4. Configurer le rapport de conformité automatisé :

# Créer un rapport de conformité pour les changements d'heure
$Report = @()
$TimeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2101} -MaxEvents 100
foreach ($Event in $TimeEvents) {
    $Report += [PSCustomObject]@{
        Timestamp = $Event.TimeCreated
        EventID = $Event.Id
        Source = $Event.ProviderName
        Message = $Event.Message
        UserSID = $Event.UserId
    }
}
$Report | Export-Csv -Path "C:\Compliance\TimeChangeReport_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

5. Configurer le transfert des événements Windows pour une surveillance centralisée :

# Sur le serveur collecteur
wecutil qc /q
# Créer une souscription pour les événements de temps
$SubscriptionXML = @"
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>TimeChangeCollection</SubscriptionId>
    <Query><![CDATA[<QueryList><Query Id="0"><Select Path="System">*[System[EventID=2101]]</Select></Query></QueryList>]]></Query>
</Subscription>
"@
$SubscriptionXML | Out-File -FilePath "C:\Temp\TimeSubscription.xml"
wecutil cs "C:\Temp\TimeSubscription.xml"