ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event ID 4113InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 4113 – Microsoft-Windows-Kernel-General : Heure du système modifiée

L'ID d'événement 4113 se déclenche lorsque l'heure système de Windows est modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4113Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4113 est généré par le sous-système de gestion du temps au niveau du noyau chaque fois que l'horloge système est ajustée. L'événement capture des détails complets, y compris l'ancien horodatage, le nouvel horodatage et l'ID du processus responsable de l'initiation du changement. Cette journalisation granulaire assure une visibilité complète sur toutes les modifications de temps sur le système.

L'événement se produit généralement lors des opérations normales lorsque le service de temps Windows se synchronise avec les serveurs NTP configurés, mais il se déclenche également lorsque les utilisateurs ajustent manuellement l'horloge via le Panneau de configuration ou l'application Paramètres. Dans les environnements de domaine, la synchronisation du temps est essentielle pour la validation des tickets Kerberos, qui nécessite que tous les systèmes maintiennent le temps dans une fenêtre de tolérance de 5 minutes par défaut.

Les équipes de sécurité s'appuient sur l'ID d'événement 4113 pour détecter toute tentative de falsification des horloges système, qui pourrait être utilisée pour échapper à la corrélation des journaux ou prolonger la validité des jetons d'authentification volés. L'événement aide également à identifier les systèmes avec des batteries CMOS défaillantes ou des sources de temps mal configurées qui pourraient affecter l'authentification de domaine et la validation des certificats.

Les systèmes Windows modernes en 2026 incluent des fonctionnalités de synchronisation du temps améliorées avec une précision et une sécurité accrues, rendant cet événement encore plus précieux pour surveiller les contrôles de sécurité liés au temps et les exigences de conformité dans les industries réglementées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les Paramètres Windows ou le Panneau de configuration
  • Synchronisation automatique de l'heure via le service de temps Windows (W32Time)
  • Synchronisation du client NTP avec des serveurs de temps externes
  • Synchronisation de l'heure du contrôleur de domaine dans les environnements Active Directory
  • Correction de la dérive de l'horloge matérielle par le système d'exploitation
  • Changements de fuseau horaire qui affectent l'heure locale affichée
  • Transitions de l'heure d'été (avancer au printemps/retarder à l'automne)
  • Logiciel de synchronisation de l'heure tiers effectuant des appels système
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Mise à jour du firmware BIOS/UEFI de l'horloge matérielle lors du démarrage
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4113 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4113 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 4113 pour voir des informations détaillées
  6. Notez les valeurs Ancienne heure et Nouvelle heure dans la description de l'événement
  7. Vérifiez l'ID de processus pour identifier quel processus a initié le changement

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=4113} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Le message de l'événement inclut à la fois les valeurs UTC et heure locale, vous aidant à distinguer entre les changements de fuseau horaire et les ajustements réels de l'horloge.
02

Identifier le processus responsable des changements d'heure

Déterminez quel processus ou service a initié le changement d'heure pour comprendre s'il était légitime ou potentiellement malveillant.

  1. À partir des détails de l'ID d'événement 4113, notez l'ID de processus (PID) mentionné dans l'événement
  2. Recoupez cela avec d'autres événements système autour de la même heure
  3. Utilisez PowerShell pour corréler les informations du processus :
# Obtenez les événements récents de changement d'heure avec les détails du processus
Get-WinEvent -FilterHashtable @{LogName='System'; Id=4113} -MaxEvents 10 | ForEach-Object {
    $timeChanged = $_.TimeCreated
    $message = $_.Message
    Write-Output "Time: $timeChanged"
    Write-Output "Details: $message"
    Write-Output "---"
}
  1. Vérifiez si le changement a été effectué par svchost.exe (service de temps Windows) ou explorer.exe (action utilisateur)
  2. Examinez le journal de sécurité pour l'ID d'événement 4616 (L'heure système a été modifiée) pour un contexte supplémentaire
  3. Vérifiez le compte utilisateur associé aux changements d'heure manuels
Avertissement : Des changements d'heure inattendus par des processus inconnus pourraient indiquer un logiciel malveillant tentant d'échapper à la détection ou de manipuler les journaux d'audit.
03

Analyser la configuration du service de temps Windows

Examinez la configuration du service de temps Windows pour assurer une synchronisation correcte de l'heure et identifier les problèmes potentiels.

  1. Vérifiez la configuration actuelle du service de temps :
# Afficher la configuration actuelle de W32Time
w32tm /query /configuration

# Afficher le statut du service de temps
w32tm /query /status

# Afficher les sources de temps configurées
w32tm /query /peers
  1. Examinez les paramètres du registre du service de temps à HKLM\SYSTEM\CurrentControlSet\Services\W32Time
  2. Vérifiez le Visualiseur d'événements pour les événements du service W32Time :
# Interroger les événements du service W32Time
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 50
  1. Vérifiez la connectivité et les temps de réponse du serveur NTP :
# Tester la connectivité du serveur de temps
w32tm /stripchart /computer:time.windows.com /samples:5

# Forcer la synchronisation immédiate de l'heure
w32tm /resync /force
  1. Pour les ordinateurs joints à un domaine, assurez-vous de la hiérarchie correcte de l'heure avec les contrôleurs de domaine
Astuce pro : En 2026, Windows inclut une synchronisation de temps améliorée avec le support des secondes intercalaires et une précision accrue pour les exigences de synchronisation de précision.
04

Surveiller les changements d'heure avec l'automatisation PowerShell

Configurez une surveillance automatisée pour suivre et alerter sur les changements de temps inattendus à des fins de sécurité et de conformité.

  1. Créez un script PowerShell pour surveiller l'ID d'événement 4113 en temps réel :
# Surveiller les événements de changement de temps
$action = {
    $event = $Event.SourceEventArgs.NewEvent
    $timeChanged = $event.TimeCreated
    $message = $event.Message
    
    # Enregistrer dans un fichier personnalisé
    "$timeChanged - Changement de temps détecté : $message" | Out-File -Append C:\Logs\TimeChanges.log
    
    # Envoyer une alerte si le changement est significatif (plus d'une minute)
    if ($message -match "Old Time: (.+?) New Time: (.+?)") {
        $oldTime = [DateTime]::Parse($matches[1])
        $newTime = [DateTime]::Parse($matches[2])
        $diff = [Math]::Abs(($newTime - $oldTime).TotalMinutes)
        
        if ($diff -gt 1) {
            Write-EventLog -LogName Application -Source "TimeMonitor" -EventId 1001 -Message "Changement de temps significatif détecté : $diff minutes"
        }
    }
}

# Enregistrer le surveillant d'événements
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='System' AND EventCode=4113" -Action $action
  1. Créez une tâche planifiée pour exécuter le script de surveillance au démarrage
  2. Configurez le transfert d'événements Windows pour centraliser les événements de changement de temps de plusieurs systèmes
  3. Configurez l'intégration SIEM pour corréler les changements de temps avec d'autres événements de sécurité
Astuce pro : Utilisez le Windows Event Collector (WEC) pour agréger l'ID d'événement 4113 de tous les systèmes du domaine pour une surveillance centralisée des changements de temps.
05

Mettre en œuvre des contrôles de stratégie de groupe pour la gestion du temps

Utilisez la stratégie de groupe pour appliquer des politiques de synchronisation de l'heure et restreindre les modifications non autorisées de l'heure dans les environnements d'entreprise.

  1. Ouvrez la Console de gestion des stratégies de groupe et modifiez le GPO approprié
  2. Accédez à Configuration de l'ordinateurModèles d'administrationSystèmeService de temps Windows
  3. Configurez les politiques suivantes :
    • Paramètres de configuration globale - Définir les sources de temps autoritaires
    • Fournisseurs de temps - Configurer les paramètres du client NTP
    • Configurer le client NTP Windows - Spécifier les serveurs de temps et les intervalles de mise à jour
  4. Restreindre la capacité des utilisateurs à modifier l'heure système :
# Vérifier les privilèges actuels de modification de l'heure
secedit /export /cfg C:\temp\security.inf
Select-String "SeSystemtimePrivilege" C:\temp\security.inf
  1. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéPolitiques localesAttribution des droits utilisateur
  2. Modifiez la politique Modifier l'heure du système pour restreindre l'accès aux comptes autorisés uniquement
  3. Activez la politique d'audit pour les modifications de l'heure :
# Activer l'audit des modifications de l'heure via la ligne de commande
auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable
  1. Déployez le GPO et vérifiez les paramètres avec gpresult /r sur les systèmes cibles
Avertissement : Des politiques de temps trop restrictives peuvent casser l'authentification de domaine. Testez soigneusement dans un environnement de laboratoire avant le déploiement en production.

Aperçu

L'ID d'événement 4113 de la source Microsoft-Windows-Kernel-General se déclenche chaque fois que l'heure du système Windows est modifiée. Cet événement capture à la fois les changements d'heure manuels effectués par les utilisateurs via les paramètres de Date et Heure et les ajustements automatiques effectués par le service de temps Windows (W32Time) lors de la synchronisation NTP.

L'événement enregistre l'heure précédente, la nouvelle heure et le processus responsable du changement. Cela le rend inestimable pour l'audit de sécurité, la surveillance de la conformité et le dépannage des problèmes liés au temps dans les environnements de domaine. L'événement apparaît dans le journal Système et inclut des informations détaillées sur la source du changement d'heure.

Dans les environnements d'entreprise, des changements d'heure inattendus peuvent indiquer des violations de sécurité, des services de temps mal configurés ou une dérive de l'horloge matérielle. L'événement aide les administrateurs à suivre quand et pourquoi les modifications de l'heure du système se produisent, ce qui est crucial pour maintenir des pistes d'audit précises et assurer une authentification Kerberos correcte dans les domaines Active Directory.

Questions Fréquentes

Que signifie l'ID d'événement Windows 4113 et quand se produit-il ?+
L'ID d'événement 4113 indique que l'heure du système Windows a été modifiée. Cela se produit chaque fois que l'horloge système est modifiée, soit manuellement par un utilisateur via les paramètres de Date et Heure, automatiquement par le service de temps Windows lors de la synchronisation NTP, ou par des applications tierces. L'événement enregistre à la fois les anciennes et nouvelles valeurs de temps, ainsi que le processus responsable du changement, ce qui est essentiel pour l'audit de sécurité et le suivi de la conformité.
Comment puis-je distinguer entre les changements d'heure légitimes et suspects dans l'ID d'événement 4113 ?+
Les changements de temps légitimes montrent généralement de petits ajustements (secondes ou minutes) effectués par svchost.exe représentant le service de temps Windows, ou se produisent pendant les fenêtres de maintenance programmées. Les changements suspects incluent de grands sauts de temps (heures ou jours), des changements effectués par des processus inconnus, des modifications en dehors des heures de bureau, ou des ajustements manuels fréquents. Vérifiez l'ID de processus dans les détails de l'événement et corrélez avec les événements de connexion utilisateur pour déterminer si le changement était autorisé.
Pourquoi l'ID d'événement 4113 est-il important pour la sécurité du domaine Active Directory ?+
Dans les environnements Active Directory, une synchronisation temporelle précise est essentielle pour l'authentification Kerberos, qui nécessite que tous les systèmes maintiennent l'heure dans une fenêtre de tolérance de 5 minutes. L'ID d'événement 4113 aide les administrateurs à surveiller les changements de temps qui pourraient affecter l'authentification de domaine, la validation des certificats et l'intégrité des journaux d'audit. Les attaquants manipulent parfois l'heure du système pour prolonger les tickets Kerberos volés ou échapper aux contrôles de sécurité basés sur le temps, rendant cet événement crucial pour détecter les potentielles violations de sécurité.
Comment configurer la surveillance et l'alerte automatisées pour l'ID d'événement 4113 ?+
Configurez la surveillance automatisée à l'aide de scripts PowerShell avec Register-WmiEvent ou Windows Event Forwarding pour centraliser les événements. Créez des entrées de journal d'événements personnalisées pour les changements d'heure significatifs et intégrez-les aux solutions SIEM pour l'analyse de corrélation. Utilisez des tâches planifiées pour exécuter des scripts de surveillance et configurez des alertes par e-mail pour les modifications d'heure inhabituelles. Dans les environnements d'entreprise, déployez la stratégie de groupe pour auditer les changements d'heure et utilisez Windows Event Collector pour agréger les événements de plusieurs systèmes.
Que dois-je faire si je vois des occurrences fréquentes et inattendues de l'ID d'événement 4113 ?+
Tout d'abord, identifiez la source en examinant l'ID de processus et en corrélant avec d'autres événements système. Vérifiez si le service Windows Time est mal configuré ou rencontre des problèmes de connectivité avec les serveurs NTP. Vérifiez la stabilité de l'horloge matérielle, surtout dans les machines virtuelles où la dérive temporelle est courante. Passez en revue les comptes utilisateurs ayant des privilèges de modification de l'heure et enquêtez sur tout accès non autorisé. Envisagez de mettre en œuvre des contrôles de stratégie de groupe plus stricts pour limiter les permissions de changement d'heure et activez un audit complet pour suivre toutes les modifications liées au temps.
Documentation

Références (2)

1
Microsoft Learn - Windows Time ServiceOfficial documentation for configuring and managing Windows Time service, including troubleshooting time synchronization issues.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-top
2
Microsoft Docs - Event Logging and AuditingSecurity auditing documentation covering time change events and related security monitoring practices.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4616
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#windows-time-service#event-id-4113

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...