ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a monitoring dashboard with multiple time zone clocks
Event ID 4097InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 4097 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 4097 se déclenche lorsque Windows détecte un changement de l'heure système, qu'il soit manuel ou automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4097Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4097 représente la détection au niveau du noyau Windows des modifications de l'heure système. Le fournisseur Microsoft-Windows-Kernel-General génère cet événement chaque fois que l'horloge système subit un changement significatif, qu'il soit initié par une action de l'utilisateur, des outils administratifs ou des services de synchronisation automatique de l'heure.

L'événement contient des données médico-légales cruciales, y compris l'heure système précédente, la nouvelle heure système et l'ID du processus responsable du changement. Ces informations s'avèrent inestimables lors des enquêtes de sécurité où les attaquants pourraient manipuler l'heure système pour échapper à la détection ou perturber les mécanismes d'authentification.

Dans les environnements de domaine, cet événement se déclenche régulièrement lorsque les serveurs membres se synchronisent avec les contrôleurs de domaine via le service de temps Windows. La fréquence dépend de votre configuration de synchronisation de l'heure et des conditions du réseau. Les systèmes autonomes peuvent générer moins d'instances à moins que les utilisateurs n'ajustent manuellement les paramètres de l'heure.

L'importance de l'événement va au-delà du simple suivi du temps. Les changements d'heure affectent les périodes de validité des certificats, la durée de vie des tickets Kerberos, les horodatages des fichiers et la chronologie des journaux d'audit. Les équipes de sécurité surveillent cet événement pour détecter d'éventuelles tentatives de falsification, tandis que les administrateurs système l'utilisent pour résoudre les problèmes de synchronisation de l'heure qui peuvent causer des échecs d'authentification et des problèmes d'application.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres Date et Heure ou timedate.cpl
  • Modifications administratives de l'heure via les commandes net time, w32tm ou Set-Date PowerShell
  • Synchronisation automatique du service de temps Windows (W32Time) avec les serveurs NTP
  • Synchronisation des membres du domaine avec les sources de temps du contrôleur de domaine
  • Correction de la dérive de l'horloge matérielle dépassant les seuils configurés
  • Changements de fuseau horaire ou transitions de l'heure d'été
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Modifications logicielles de synchronisation de l'heure tierces
  • Reprise du système après hibernation ou veille avec une dérive temporelle significative
  • Mises à jour de l'heure du firmware BIOS/UEFI lors du démarrage du système
Méthodes de résolution

Étapes de dépannage

01

Vérifier le Visualiseur d'événements pour les détails de changement d'heure

Accédez à l'Observateur d'événements pour examiner les détails spécifiques du changement d'heure et identifier le processus source.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4097 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4097
  6. Examinez l'onglet Général pour l'heure précédente, la nouvelle heure et les informations sur le processus
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires, y compris l'ID du processus
  8. Notez l'ampleur de la différence de temps pour déterminer si le changement était significatif
Astuce pro : Les grands sauts de temps (de plusieurs minutes) indiquent souvent des changements manuels, tandis que les petits ajustements suggèrent une synchronisation automatique.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour récupérer et analyser les entrées d'ID d'événement 4097 pour les motifs et la fréquence.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour obtenir les événements de changement d'heure récents :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=4097} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
  1. Pour une analyse détaillée des changements d'heure au cours des dernières 24 heures :
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=4097; StartTime=$StartTime} | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        PreviousTime = $Event.Event.EventData.Data[0].'#text'
        NewTime = $Event.Event.EventData.Data[1].'#text'
        ProcessId = $Event.Event.EventData.Data[2].'#text'
    }
} | Format-Table -AutoSize
  1. Exportez les résultats au format CSV pour une analyse plus approfondie :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=4097} -MaxEvents 100 | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation
03

Examiner la configuration du service de temps Windows

Examinez les paramètres du service de temps Windows pour comprendre le comportement de la synchronisation automatique de l'heure.

  1. Vérifiez l'état actuel du service de temps :
w32tm /query /status /verbose
  1. Examinez la configuration du service de temps :
w32tm /query /configuration
  1. Vérifiez les sources de synchronisation de l'heure :
w32tm /query /peers
  1. Examinez les paramètres du registre pour le service de temps :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  1. Pour les membres du domaine, vérifiez la hiérarchie du domaine :
w32tm /query /source
  1. Testez la synchronisation de l'heure manuellement :
w32tm /resync /rediscover
Avertissement : La synchronisation manuelle de l'heure peut déclencher des entrées supplémentaires d'ID d'événement 4097 lors des tests.
04

Surveiller les sources de changement de temps au niveau des processus

Identifier les processus spécifiques responsables des changements d'heure en utilisant la corrélation avancée des événements.

  1. Créer un script PowerShell pour surveiller les changements d'heure avec les détails des processus :
$Query = @"

  
    
  

"@

Register-WmiEvent -Query "SELECT * FROM Win32_VolumeChangeEvent" -Action {
    Get-WinEvent -FilterXml $Query -MaxEvents 1 | ForEach-Object {
        $Event = [xml]$_.ToXml()
        $ProcessId = $Event.Event.EventData.Data[2].'#text'
        $Process = Get-Process -Id $ProcessId -ErrorAction SilentlyContinue
        Write-Host "Heure modifiée par le processus : $($Process.ProcessName) (PID : $ProcessId)"
    }
}
  1. Vérifier les processus courants modifiant l'heure :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=4097} -MaxEvents 50 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $ProcessId = $Event.Event.EventData.Data[2].'#text'
    try {
        $Process = Get-Process -Id $ProcessId -ErrorAction Stop
        $Process.ProcessName
    } catch {
        "Processus $ProcessId (ne fonctionne plus)"
    }
} | Group-Object | Sort-Object Count -Descending
  1. Enquêter sur les processus suspects en vérifiant leurs emplacements de fichiers :
Get-Process | Where-Object {$_.ProcessName -match "time|clock|sync"} | Select-Object ProcessName, Id, Path, StartTime
05

Configurer l'audit avancé des modifications de l'heure

Mettre en œuvre une surveillance et une alerte améliorées pour les changements d'heure non autorisés.

  1. Activer la journalisation détaillée du service de temps dans le registre :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config" -Name "EventLogFlags" -Value 3 -Type DWord
  1. Créer une tâche planifiée pour surveiller les changements d'heure :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=4097} -MaxEvents 1 | Out-File C:\Logs\TimeChange.log -Append"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest
  1. Configurer une vue personnalisée dans le Visualiseur d'événements pour les changements d'heure :
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[EventID=4097]]</Select>
  </Query>
</QueryList>
  1. Configurer la stratégie de groupe pour les restrictions de changement d'heure (environnements de domaine) :
  2. Accéder à Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur
  3. Modifier la stratégie Modifier l'heure du système pour restreindre les utilisateurs non autorisés
  4. Appliquer la stratégie et exécuter gpupdate /force sur les systèmes cibles
Conseil pro : Envisagez de mettre en œuvre une intégration SIEM pour corréler les changements d'heure avec d'autres événements de sécurité pour une surveillance complète.

Aperçu

L'ID d'événement 4097 de la source Microsoft-Windows-Kernel-General se déclenche chaque fois que Windows détecte un changement de l'heure système. Cet événement capture à la fois les ajustements manuels de l'heure et les événements de synchronisation automatique du service de temps Windows (W32Time). L'événement enregistre l'heure précédente, la nouvelle heure et le processus responsable du changement.

Cet événement sert de piste d'audit critique pour les équipes de sécurité surveillant les changements d'heure non autorisés, qui peuvent affecter l'authentification Kerberos, la validation des certificats et les enquêtes judiciaires. Les contrôleurs de domaine et les serveurs membres génèrent fréquemment cet événement lors des cycles de synchronisation NTP normaux.

L'événement apparaît dans le journal Système et inclut des informations détaillées sur l'ampleur et la source du changement d'heure. Les grands sauts de temps (de plus d'une seconde) génèrent généralement cet événement, tandis que les ajustements mineurs lors de la correction normale de la dérive de l'horloge peuvent ne pas toujours déclencher la journalisation selon la configuration du système.

Comprendre cet événement aide à distinguer entre la synchronisation légitime de l'heure et les incidents de sécurité potentiels impliquant une manipulation manuelle de l'heure.

Questions Fréquentes

Que signifie l'ID d'événement 4097 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4097 indique un changement de l'heure système détecté par le noyau Windows. Vous devriez vous inquiéter lorsque vous voyez des changements d'heure manuels fréquents (non issus du service W32Time), de grands sauts temporels sans explication, ou des changements d'heure se produisant en dehors des fenêtres de maintenance. La synchronisation normale de domaine montre généralement de petits ajustements du processus W32Time. Enquêtez immédiatement si vous voyez des changements d'heure provenant de processus inattendus ou pendant des périodes d'activité suspecte.
Comment puis-je distinguer entre une synchronisation temporelle légitime et une manipulation temporelle malveillante ?+
La synchronisation temporelle légitime montre généralement de petits ajustements (de quelques secondes à quelques minutes) du processus de service W32Time, se produit à intervalles réguliers et s'aligne avec votre configuration NTP. La manipulation malveillante implique souvent de grands sauts temporels, des changements provenant de processus inattendus comme cmd.exe ou powershell.exe, ou un timing qui coïncide avec d'autres activités suspectes. Vérifiez l'ID de processus dans les détails de l'événement et croisez avec les processus en cours pour identifier la source.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 4097 toutes les quelques minutes ?+
Les entrées fréquentes de l'ID d'événement 4097 indiquent généralement des problèmes de synchronisation de l'heure. Les causes courantes incluent des problèmes de connectivité réseau avec les serveurs NTP, des paramètres de service de temps mal configurés ou une dérive de l'horloge matérielle. Vérifiez votre configuration W32Time avec 'w32tm /query /status' et vérifiez l'accessibilité du serveur NTP. Dans les environnements virtuels, assurez-vous d'une synchronisation correcte de l'heure entre les systèmes hôte et invité. Envisagez d'ajuster les valeurs de registre MaxPosPhaseCorrection et MaxNegPhaseCorrection si des ajustements légitimes mais fréquents et mineurs génèrent des événements excessifs.
L'ID d'événement 4097 peut-il aider dans les enquêtes judiciaires ?+
Oui, l'ID d'événement 4097 est crucial pour les enquêtes judiciaires car il fournit une piste d'audit de tous les changements de l'heure système. Les attaquants manipulent souvent l'heure système pour échapper à la détection, perturber l'authentification ou modifier les horodatages des fichiers. L'événement enregistre l'heure exacte précédente, la nouvelle heure et le processus responsable, aidant les enquêteurs à établir des chronologies précises et à détecter les tentatives de falsification. Corrélez ces événements avec d'autres journaux de sécurité, événements d'accès aux fichiers et échecs d'authentification pour construire une image complète des incidents de sécurité potentiels.
Comment puis-je empêcher les modifications de l'heure non autorisées tout en maintenant une synchronisation correcte ?+
Implémentez la stratégie de groupe pour restreindre le droit utilisateur 'Modifier l'heure du système' uniquement aux administrateurs et aux comptes de service. Configurez une hiérarchie NTP appropriée dans les environnements de domaine avec l'émulateur PDC comme source de temps autoritaire. Activez la journalisation détaillée de W32Time et surveillez l'ID d'événement 4097 pour les sources inattendues. Dans les environnements à haute sécurité, envisagez d'utiliser des horodatages signés par des autorités de temps de confiance et implémentez des alertes SIEM pour les changements de temps manuels. Une surveillance régulière de la santé de la synchronisation temporelle prévient à la fois les changements non autorisés et les problèmes de synchronisation légitimes.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for time synchronization in Windows environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Docs - Event Log ReferenceOfficial reference for Windows Event Logging APIs and system event documentation including kernel-level events.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-4097

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...