Windows Event Viewer showing system event logs on a monitoring dashboard

Event ID 4004InformationWinLogonWindows

ID d'événement Windows 4004 – WinLogon : Initialisation du processus de connexion interactive

L'ID d'événement 4004 indique que le processus de connexion interactive de Windows a été initialisé. Cet événement informatif se déclenche lors du démarrage du système lorsque WinLogon prépare l'environnement de bureau interactif pour l'authentification de l'utilisateur.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 4004WinLogon 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement 4004 représente un point de contrôle fondamental dans le processus de démarrage de Windows où le service WinLogon initialise avec succès le sous-système de connexion interactive. Cet événement se produit après le chargement du noyau mais avant que le premier utilisateur puisse s'authentifier sur le système. WinLogon sert de gardien pour toute authentification interactive, gérant tout, de l'invite initiale Ctrl+Alt+Suppr à la validation des identifiants et à l'établissement de la session.

Le processus d'initialisation implique le chargement de composants de sécurité critiques, y compris le Service du Sous-système de l'Autorité de Sécurité Locale (LSASS), le Gestionnaire de Comptes de Sécurité (SAM), et divers packages d'authentification comme Kerberos et NTLM. WinLogon établit également le bureau sécurisé où se fait l'entrée des identifiants, garantissant que les logiciels malveillants ne peuvent pas intercepter les mots de passe des utilisateurs pendant le processus de connexion.

Dans les environnements d'entreprise, cet événement devient particulièrement significatif car il indique le chargement réussi des composants de traitement des stratégies de groupe, des mécanismes d'authentification de domaine, et des sous-systèmes de carte à puce si configurés. Le timing de l'ID d'événement 4004 peut aider les administrateurs à identifier les goulets d'étranglement de performance dans le processus de démarrage, surtout lors de la comparaison des temps de démarrage entre différents systèmes ou après des changements de configuration.

Les versions modernes de Windows en 2026 ont amélioré le processus d'initialisation de WinLogon avec des fonctionnalités de sécurité améliorées et des temps de démarrage plus rapides, faisant de cet événement un indicateur fiable de la santé du système pendant la phase critique de démarrage.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Séquence de démarrage normale du système se terminant avec succès
Initialisation du service WinLogon pendant le processus de démarrage
Sous-système de connexion interactive devenant disponible pour l'authentification utilisateur
Composants du sous-système de sécurité se chargeant correctement
Récupération du système après un arrêt ou un redémarrage inattendu
Démarrage du service après le mode de maintenance ou le démarrage en mode sans échec
Services d'authentification du contrôleur de domaine devenant disponibles

Méthodes de résolution

Étapes de dépannage

Vérifier les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte et le timing de l'initialisation de WinLogon.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Système
Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
Entrez 4004 dans le champ ID d'événement et cliquez sur OK
Double-cliquez sur l'ID d'événement 4004 le plus récent pour voir les informations détaillées
Vérifiez l'onglet Général pour l'horodatage exact et toute donnée supplémentaire
Consultez l'onglet Détails pour les données XML qui peuvent contenir des informations sur le processus

Utilisez PowerShell pour interroger plusieurs instances :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=4004} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Astuce pro : Comparez le timing de l'ID d'événement 4004 avec d'autres événements de démarrage pour identifier d'éventuels problèmes de performance au démarrage.

Analyser les performances et le timing du démarrage

Examinez la relation entre l'initialisation de WinLogon et la performance globale du démarrage du système pour identifier les goulets d'étranglement potentiels.

Utilisez PowerShell pour corréler l'ID d'événement 4004 avec les événements de démarrage du système :

# Obtenez les événements de démarrage récents, y compris l'initialisation de WinLogon
$BootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(6005,6006,6009,4004)} -MaxEvents 50
$BootEvents | Sort-Object TimeCreated | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Vérifiez la performance de démarrage de Windows avec les diagnostics intégrés :

# Analysez les données de performance de démarrage
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Diagnostics-Performance/Operational'; Id=100} -MaxEvents 5

Examinez les programmes de démarrage qui pourraient retarder l'initialisation de WinLogon :

# Vérifiez les programmes de démarrage
Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, Location, User

Avertissement : Un nombre excessif de programmes de démarrage peut retarder l'initialisation de WinLogon et affecter l'expérience de connexion de l'utilisateur.

Examiner la configuration du service WinLogon

Vérifiez que le service WinLogon et les composants d'authentification associés sont configurés correctement pour des performances optimales.

Vérifiez l'état et la configuration du service WinLogon :

# Vérifiez les services de connexion critiques
$Services = @('Winlogon', 'LSASS', 'SamSs', 'LanmanServer', 'LanmanWorkstation')
foreach ($Service in $Services) {
    Get-Service -Name $Service -ErrorAction SilentlyContinue | Select-Object Name, Status, StartType
}

Examinez la configuration du registre WinLogon :

# Vérifiez les paramètres du registre WinLogon
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" | Select-Object Shell, Userinit, VMApplet

Vérifiez la configuration du package d'authentification :

# Vérifiez les packages d'authentification chargés
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Authentication Packages"

Examinez les paramètres de stratégie de groupe affectant la connexion :

# Vérifiez les paramètres de stratégie de groupe pertinents
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" | Select-Object DisableCAD, DontDisplayLastUserName, LegalNoticeCaption

Astuce pro : Documentez la configuration de base de WinLogon avant de faire des modifications pour résoudre efficacement les problèmes d'authentification.

Surveiller la santé du sous-système d'authentification

Mettre en œuvre une surveillance complète du sous-système d'authentification pour identifier de manière proactive les problèmes pouvant affecter l'initialisation de WinLogon.

Créer un script PowerShell pour surveiller les événements d'authentification :

# Surveiller les événements du sous-système d'authentification
$AuthEvents = @(4004, 4005, 4634, 4624, 4625)
$Events = Get-WinEvent -FilterHashtable @{LogName=@('System','Security'); Id=$AuthEvents; StartTime=(Get-Date).AddHours(-24)}
$Events | Group-Object Id | Select-Object Name, Count | Sort-Object Name

Configurer la surveillance des compteurs de performance pour la performance de connexion :

# Surveiller les compteurs de performance de connexion
$Counters = @(
    '\LogicalDisk(C:)\Avg. Disk Queue Length',
    '\Memory\Available MBytes',
    '\Processor(_Total)\% Processor Time'
)
Get-Counter -Counter $Counters -SampleInterval 5 -MaxSamples 12

Vérifier les erreurs liées à l'authentification dans le journal des applications :

# Rechercher les erreurs d'authentification
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.ProviderName -like '*Auth*' -or $_.Message -like '*logon*'} | Select-Object TimeCreated, Id, ProviderName, LevelDisplayName

Vérifier la connectivité au domaine pour les systèmes joints au domaine :

# Tester la connectivité au contrôleur de domaine
Test-ComputerSecureChannel -Verbose
nltest /dsgetdc:$env:USERDOMAIN

Avertissement : Les problèmes du sous-système d'authentification peuvent empêcher les utilisateurs de se connecter même si l'ID d'événement 4004 apparaît normalement.

Dépannage avancé avec Process Monitor et ETW

Utilisez des outils de diagnostic avancés pour effectuer une analyse approfondie de l'initialisation de WinLogon lorsque les méthodes standard ne révèlent pas la cause des problèmes.

Activez la journalisation détaillée de WinLogon via la modification du registre :

# Activer la journalisation détaillée de WinLogon (nécessite un redémarrage)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name "EnableVerboseStatus" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name "VerboseStatus" -Value 1 -Type DWord

Utilisez Windows Performance Toolkit pour l'analyse de la trace de démarrage :

# Démarrer la trace de démarrage (exécuter en tant qu'administrateur)
wpr -start GeneralProfile -start CPU -start DiskIO
# Après le redémarrage, arrêter la trace
wpr -stop C:\BootTrace.etl

Configurez Event Tracing for Windows (ETW) pour une surveillance détaillée de l'authentification :

# Créer une session ETW pour les événements d'authentification
$SessionName = "AuthTrace"
logman create trace $SessionName -p "Microsoft-Windows-Winlogon" 0xFFFFFFFF 0xFF -o C:\AuthTrace.etl -ets
# Arrêter la trace après la collecte des données
logman stop $SessionName -ets

Analysez l'intégrité des fichiers système qui pourraient affecter WinLogon :

# Vérifier l'intégrité des fichiers système
sfc /scannow
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth

Examinez le journal de sécurité de Windows pour un flux d'authentification détaillé :

# Analyser les événements de sécurité autour de l'initialisation de WinLogon
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4608,4609,4610,4611); StartTime=(Get-Date).AddDays(-1)}
$SecurityEvents | Format-Table TimeCreated, Id, Message -AutoSize

Astuce pro : Désactivez toujours la journalisation détaillée après le dépannage pour éviter l'impact sur les performances et la croissance excessive des journaux.

Aperçu

L'ID d'événement 4004 de la source WinLogon se déclenche lors du démarrage du système Windows lorsque le processus de connexion interactive s'initialise avec succès. Cet événement marque une étape critique dans la séquence de démarrage où Windows prépare l'environnement de bureau sécurisé pour l'authentification de l'utilisateur. Le service WinLogon gère toutes les demandes de connexion interactive et assure la transition entre le processus de démarrage du système et l'établissement de la session utilisateur.

Cet événement apparaît dans le journal Système et indique un comportement normal du système. WinLogon est responsable du chargement de l'Autorité de sécurité locale (LSA), de l'initialisation des politiques de sécurité et de la préparation de la séquence d'attention sécurisée Ctrl+Alt+Suppr. Lorsque vous voyez l'ID d'événement 4004, cela confirme que l'infrastructure d'authentification principale a été chargée correctement et que le système est prêt à accepter les tentatives de connexion utilisateur.

L'événement se produit généralement dans les 30 à 60 premières secondes du démarrage du système, en fonction des performances matérielles et de la configuration du système. C'est particulièrement important pour les machines jointes à un domaine où des composants d'authentification supplémentaires doivent s'initialiser avant que les utilisateurs puissent se connecter avec des identifiants de domaine.

Questions Fréquentes

Que signifie l'ID d'événement Windows 4004 et est-ce normal ?+

L'ID d'événement 4004 indique que le processus de connexion interactive de Windows a été initialisé avec succès par le service WinLogon. Ceci est tout à fait normal et se produit à chaque démarrage du système. L'événement confirme que le sous-système d'authentification est prêt à accepter les tentatives de connexion des utilisateurs. Vous devriez voir cet événement apparaître dans le journal Système dans la première minute du démarrage du système, et sa présence indique un comportement de démarrage sain du système.

Pourquoi vois-je plusieurs entrées d'ID d'événement 4004 dans mes journaux ?+

Plusieurs entrées d'ID d'événement 4004 correspondent généralement à différents démarrages ou redémarrages du système. Chaque fois que Windows démarre, WinLogon s'initialise et génère cet événement. Si vous voyez plusieurs entrées avec des horodatages proches, cela pourrait indiquer une instabilité du système, des redémarrages inattendus ou une récupération des modes veille/hibernation. Vérifiez les horodatages exacts et corrélez-les avec d'autres événements système comme l'ID d'événement 6005 (service du journal des événements démarré) pour comprendre la séquence de démarrage.

L'ID d'événement 4004 peut-il m'aider à résoudre les problèmes de lenteur au démarrage ?+

Oui, le timing de l'ID d'événement 4004 peut être précieux pour l'analyse des performances de démarrage. Comparez l'horodatage de cet événement avec l'ID d'événement 6005 (démarrage du service de journal des événements) pour mesurer le temps que prend WinLogon à s'initialiser. S'il y a un retard significatif entre ces événements, cela pourrait indiquer des problèmes avec les packages d'authentification, la connectivité au domaine ou des contraintes de ressources système. Utilisez PowerShell pour analyser les modèles de timing des événements de démarrage et identifier les goulots d'étranglement de performance dans la séquence de démarrage.

Que dois-je faire si l'ID d'événement 4004 est absent de mon journal système ?+

L'absence d'événements d'ID 4004 pourrait indiquer des problèmes sérieux avec le service WinLogon ou des problèmes de configuration des journaux. Tout d'abord, vérifiez que le journal Système est activé et dispose de suffisamment d'espace. Vérifiez si le service WinLogon fonctionne correctement en utilisant 'Get-Service Winlogon' dans PowerShell. Si le service semble sain mais que des événements manquent, examinez la configuration du service de journalisation des événements et envisagez d'exécuter 'sfc /scannow' pour vérifier la corruption des fichiers système qui pourrait affecter la fonctionnalité de journalisation.

Comment l'ID d'événement 4004 est-il lié à l'authentification de domaine dans les environnements d'entreprise ?+

Dans les environnements de domaine, l'ID d'événement 4004 indique que WinLogon a initialisé avec succès les composants nécessaires à l'authentification de domaine, y compris les packages Kerberos et NTLM. L'événement devrait apparaître avant que les utilisateurs puissent s'authentifier avec des identifiants de domaine. Si les utilisateurs de domaine ne peuvent pas se connecter mais que l'ID d'événement 4004 apparaît normalement, le problème réside probablement dans la connectivité du contrôleur de domaine, les relations de confiance ou le traitement des stratégies de groupe plutôt que dans l'initialisation de base de WinLogon. Utilisez 'nltest /dsgetdc:domain' pour vérifier la connectivité du contrôleur de domaine.

Documentation

Références (2)

Microsoft Learn - Windows Event LogsOfficial documentation covering Windows Event Logging architecture and system event interpretationhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging

Microsoft Docs - WinLogon and AuthenticationTechnical reference for WinLogon service functionality and authentication process flowhttps://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/winlogon-automatic-logon

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 5617

Winlogon

Windows EventInformation

ID d'événement Windows 5617 – Winlogon : Session de connexion utilisateur détruite

L'ID d'événement 5617 indique qu'une session de connexion utilisateur a été détruite par le service Windows Logon, se produisant généralement lors des processus normaux de déconnexion ou de terminaison de session utilisateur.

18 mars12 min

Event 1066

WinLogon

Windows EventInformation

ID d'événement Windows 1066 – WinLogon : Initialisation du sous-système du gestionnaire de session

L'ID d'événement 1066 indique que le sous-système du gestionnaire de session Windows s'est initialisé avec succès lors du démarrage du système, marquant une étape critique dans le processus de démarrage.

ID d'événement Windows 1016 – WinLogon : Échec de l'application de la stratégie de groupe

L'ID d'événement 1016 indique des échecs de traitement de la stratégie de groupe lors de la connexion de l'utilisateur ou du démarrage de l'ordinateur, généralement causés par des problèmes de connectivité réseau, des problèmes de contrôleur de domaine ou des fichiers de stratégie corrompus.

ID d'événement Windows 1704 – Winlogon : Échec du service de profil utilisateur

L'ID d'événement 1704 indique que le service de profil utilisateur n'a pas pu charger un profil utilisateur, empêchant une connexion utilisateur réussie et pouvant potentiellement causer une corruption du profil ou des problèmes d'accès.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...