ID d'événement Windows 4608 – Sécurité : Initialisation du démarrage du système Windows

Vérifiez le journal de sécurité pour confirmer que l'ID d'événement 4608 est correctement enregistré lors du démarrage du système.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Cherchez l'ID d'événement 4608 avec la source Microsoft-Windows-Security-Auditing
4. Vérifiez que l'horodatage correspond à votre dernier temps de démarrage du système
5. Vérifiez les détails de l'événement pour vous assurer que l'initialisation de LSASS s'est terminée avec succès

Utilisez PowerShell pour interroger les événements de démarrage récents :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4608} -MaxEvents 5 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Examinez la séquence de démarrage en corrélant l'ID d'événement 4608 avec d'autres événements de démarrage du système.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez plusieurs événements liés au démarrage pour construire une chronologie :

# Obtenez les événements de démarrage à partir de plusieurs journaux
$StartupEvents = @()
$StartupEvents += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4608} -MaxEvents 3
$StartupEvents += Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005,6006,6009} -MaxEvents 10
$StartupEvents += Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074} -MaxEvents 5

# Trier par heure et afficher
$StartupEvents | Sort-Object TimeCreated -Descending | Format-Table TimeCreated, LogName, Id, LevelDisplayName, Message -Wrap

3. Cherchez l'ID d'événement 6005 (service de journalisation des événements démarré) qui devrait apparaître près de 4608
4. Vérifiez l'ID d'événement 6009 (informations de démarrage du système) pour un contexte supplémentaire
5. Vérifiez qu'il n'y a pas de lacunes inattendues dans la chronologie qui pourraient indiquer des problèmes

Vérifiez que l'audit de sécurité est correctement configuré pour garantir que l'ID d'événement 4608 continue de se connecter.

1. Vérifiez les paramètres actuels de la stratégie d'audit :

# Vérifiez la stratégie d'audit pour les événements système
auditpol /get /category:"System" /r | ConvertFrom-Csv | Format-Table

2. Vérifiez que l'audit du changement d'état de sécurité est activé :

# Vérifiez spécifiquement la sous-catégorie Changement d'état de sécurité
auditpol /get /subcategory:"Security State Change"

3. Si l'audit est désactivé, activez-le :

# Activez l'audit du changement d'état de sécurité
auditpol /set /subcategory:"Security State Change" /success:enable /failure:enable

4. Vérifiez les paramètres de stratégie de groupe qui pourraient affecter l'audit :
5. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
6. Vérifiez que Système → Audit du changement d'état de sécurité est configuré

Dépanner les scénarios où l'ID d'événement 4608 est manquant ou apparaît à des moments inattendus.

1. Vérifiez si le journal de sécurité est plein ou a des limitations de taille :

# Vérifier la configuration du journal de sécurité
Get-WinEvent -ListLog Security | Select-Object LogName, FileSize, MaximumSizeInBytes, RecordCount, IsEnabled

2. Vérifiez l'état du service LSASS et le type de démarrage :

# Vérifier le service LSASS (il ne devrait pas apparaître comme un service, mais vérifier les services associés)
Get-Service | Where-Object {$_.Name -like "*lsa*" -or $_.DisplayName -like "*Local Security*"}

# Vérifier le service Event Log qui est critique pour la journalisation
Get-Service EventLog | Format-List *

3. Examinez le journal système pour les erreurs liées à LSASS :

# Rechercher des erreurs liées à LSASS ou à la sécurité lors du démarrage
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3} -MaxEvents 50 | Where-Object {$_.Message -like "*lsass*" -or $_.Message -like "*security*"} | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

4. Vérifiez les problèmes d'horloge système qui pourraient affecter les horodatages des événements :

# Comparer l'heure système avec le contrôleur de domaine (si joint au domaine)
w32tm /query /status
w32tm /query /peers

Effectuez une analyse médico-légale détaillée en utilisant l'ID d'événement 4608 comme référence pour les enquêtes de sécurité.

1. Créez un script de corrélation d'événements de démarrage complet :

# Script avancé d'analyse de démarrage
$LastBoot = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
$BootWindow = $LastBoot.AddMinutes(-5)..($LastBoot.AddMinutes(10))

# Collectez tous les événements pertinents autour de l'heure de démarrage
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$LastBoot.AddMinutes(-2); EndTime=$LastBoot.AddMinutes(5)} -ErrorAction SilentlyContinue
$SystemEvents = Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$LastBoot.AddMinutes(-2); EndTime=$LastBoot.AddMinutes(5)} -ErrorAction SilentlyContinue

# Trouvez l'ID d'événement 4608 et analysez les événements environnants
$Event4608 = $SecurityEvents | Where-Object {$_.Id -eq 4608} | Select-Object -First 1

if ($Event4608) {
    Write-Host "ID d'événement 4608 trouvé à : $($Event4608.TimeCreated)" -ForegroundColor Green
    Write-Host "Heure de démarrage du système : $LastBoot" -ForegroundColor Yellow
    Write-Host "Différence de temps : $(($Event4608.TimeCreated - $LastBoot).TotalSeconds) secondes" -ForegroundColor Cyan
} else {
    Write-Host "ID d'événement 4608 NON TROUVÉ - Problème potentiel !" -ForegroundColor Red
}

2. Exportez les événements de démarrage pour une analyse détaillée :

# Exportez les événements de démarrage vers un fichier CSV pour analyse
$AllStartupEvents = @()
$AllStartupEvents += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4608,4609} -MaxEvents 10 -ErrorAction SilentlyContinue
$AllStartupEvents += Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005,6006,6009,1074} -MaxEvents 20 -ErrorAction SilentlyContinue

$AllStartupEvents | Sort-Object TimeCreated -Descending | Export-Csv -Path "C:\temp\startup_analysis.csv" -NoTypeInformation

3. Vérifiez les anomalies de sécurité potentielles :

# Recherchez les événements de sécurité antérieurs à l'ID d'événement 4608 (manipulation potentielle de l'horloge)
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'} -MaxEvents 1000 | Where-Object {
    $_.TimeCreated -lt $Event4608.TimeCreated -and
    $_.TimeCreated -gt $LastBoot.AddMinutes(-30)
}

if ($SuspiciousEvents) {
    Write-Host "ATTENTION : Trouvé $($SuspiciousEvents.Count) événements de sécurité antérieurs à l'ID d'événement 4608 !" -ForegroundColor Red
    $SuspiciousEvents | Format-Table TimeCreated, Id, Message
}