ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with successful logon events on a cybersecurity monitoring dashboard
Event ID 4624InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4624 – Microsoft-Windows-Security-Auditing : Un compte s'est connecté avec succès

L'ID d'événement 4624 enregistre les tentatives d'authentification utilisateur réussies dans Windows. Cet événement d'audit de sécurité se déclenche chaque fois qu'un utilisateur, un service ou un compte d'ordinateur se connecte avec succès au système, fournissant des informations détaillées sur la session de connexion.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 202612 min de lecture 1
Event ID 4624Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4624 représente un événement d'authentification réussi dans l'audit de sécurité Windows. Lorsque Windows valide les identifiants et accorde l'accès à un utilisateur, un service ou un compte d'ordinateur, l'Autorité de sécurité locale génère cet événement pour documenter la création réussie de la session de connexion. L'événement contient des informations détaillées sur le processus d'authentification, y compris le sujet (le compte demandant l'authentification), le compte cible étant authentifié, la classification du type de connexion et les informations réseau lorsque cela est applicable.

La structure de l'événement comprend plusieurs champs qui fournissent un contexte sur l'authentification. La section Sujet identifie le compte qui a demandé la connexion (souvent SYSTEM pour les connexions de service), tandis que la section Nouvelle Connexion détaille le compte qui a été effectivement authentifié. Le champ Type de Connexion catégorise la méthode d'authentification, allant des connexions interactives sur le bureau (Type 2) aux connexions réseau (Type 3) et aux connexions de service (Type 5). Les informations de processus identifient l'exécutable qui a initié la demande de connexion, et les informations réseau capturent les adresses IP source et les noms de stations de travail pour les authentifications à distance.

Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit complète de l'accès réussi aux systèmes Windows. Les équipes de sécurité utilisent les événements 4624 pour établir des bases de référence des modèles d'authentification normaux, détecter les comportements de connexion anormaux et enquêter sur les incidents de sécurité. Les métadonnées complètes de l'événement permettent une corrélation avec d'autres événements de sécurité pour construire des images complètes de l'activité des utilisateurs et des systèmes à travers les environnements d'entreprise.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ouverture de session utilisateur interactive à la console ou via le protocole Remote Desktop Protocol (RDP)
  • Authentification réseau lors de l'accès à des ressources partagées, des partages de fichiers ou des services réseau
  • Authentification de compte de service lors du démarrage du service ou de l'exécution de tâches planifiées
  • Exécution de tâches par lots en utilisant RunAs ou les identifiants de tâches planifiées
  • Événements de déverrouillage de la station de travail après l'activation de l'économiseur d'écran ou de l'écran de verrouillage
  • Changement rapide d'utilisateur entre différents comptes sur le même système
  • Processus d'authentification par carte à puce ou certificat
  • Authentification biométrique Windows Hello (empreinte digitale, reconnaissance faciale, code PIN)
  • Authentification Single Sign-On (SSO) via Active Directory ou Azure AD
  • Authentification spécifique à l'application utilisant des identifiants stockés ou des principaux de service
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez Observateur d'événements et naviguez vers Journaux WindowsSécurité pour examiner les détails de l'ID d'événement 4624.

  1. Appuyez sur Win + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Développez Journaux Windows et cliquez sur Sécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4624 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quel événement 4624 pour voir des informations détaillées

Champs clés à examiner :

  • Sujet : Compte qui a demandé la connexion
  • Nouvelle connexion : Compte qui a été authentifié
  • Type de connexion : Méthode d'authentification (2=Interactif, 3=Réseau, 5=Service, etc.)
  • Processus de connexion : Package d'authentification utilisé
  • Adresse réseau source : Adresse IP du système source
  • Nom de la station de travail : Nom de l'ordinateur initiant la connexion
Astuce pro : Utilisez l'onglet vue XML pour voir toutes les données de l'événement dans un format structuré pour une analyse plus facile.
02

Filtrer et analyser les événements de connexion avec PowerShell

Utilisez PowerShell pour interroger et analyser les événements d'ID 4624 avec des capacités de filtrage avancées.

# Obtenez les événements de connexion réussis récents
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50 | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message

Filtrer par types de connexion spécifiques :

# Filtrer uniquement pour les connexions interactives (Type 2)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624}
$Events | Where-Object {
    ([xml]$_.ToXml()).Event.EventData.Data | 
    Where-Object {$_.Name -eq 'LogonType' -and $_.'#text' -eq '2'}
} | Select-Object TimeCreated, Message

Extraire des champs de données d'événement spécifiques :

# Analyser les données d'événement en objets personnalisés
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 100
$LogonEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        TargetUserName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        IpAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
        WorkstationName = ($eventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
    }
} | Format-Table -AutoSize
Astuce pro : Enregistrez les résultats filtrés au format CSV pour une analyse plus approfondie : | Export-Csv -Path "C:\Temp\Logon_Events.csv" -NoTypeInformation
03

Configurer les politiques d'audit avancées pour une journalisation améliorée

Optimisez les paramètres de la stratégie d'audit pour capturer les événements de connexion les plus pertinents tout en gérant le volume des journaux.

Vérifiez les paramètres actuels de la stratégie d'audit :

# Afficher les paramètres actuels d'audit de connexion
auditpol /get /subcategory:"Logon"

Configurez les stratégies d'audit via la stratégie de groupe :

  1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc)
  2. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  3. Développez Stratégies d'auditConnexion/Déconnexion
  4. Configurez Audit de connexion sur Succès (et éventuellement Échec)

Définissez les stratégies d'audit via la ligne de commande :

# Activer l'audit de succès et d'échec pour les événements de connexion
auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Configurez la taille et la rétention du journal de sécurité :

  1. Ouvrez le Observateur d'événementsJournaux WindowsSécurité
  2. Cliquez avec le bouton droit sur Sécurité et sélectionnez Propriétés
  3. Définissez la Taille maximale du journal à une valeur appropriée (par exemple, 1 Go)
  4. Choisissez la méthode de rétention : Archiver le journal lorsqu'il est plein ou Écraser les événements si nécessaire
Avertissement : Activer l'audit des échecs peut générer un volume de journaux important dans les environnements avec des problèmes d'authentification.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Créez des solutions de surveillance automatisées pour suivre les modèles de connexion suspects et générer des alertes pour les incidents de sécurité.

Créez un script PowerShell pour une surveillance continue :

# Surveiller les modèles de connexion inhabituels
$StartTime = (Get-Date).AddHours(-1)
$SuspiciousLogons = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624
    StartTime=$StartTime
} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    $logonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
    $ipAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
    $userName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
    
    # Signaler les modèles suspects
    if ($logonType -eq '3' -and $ipAddress -notmatch '^(10\.|192\.168\.|172\.(1[6-9]|2[0-9]|3[01])\.)') {
        [PSCustomObject]@{
            Time = $_.TimeCreated
            User = $userName
            Type = $logonType
            SourceIP = $ipAddress
            Suspicious = 'Connexion Réseau Externe'
        }
    }
} | Where-Object {$_.Suspicious}

if ($SuspiciousLogons) {
    $SuspiciousLogons | Format-Table
    # Envoyer un email d'alerte ou écrire dans le système de surveillance
}

Configurer le Planificateur de tâches Windows pour une exécution automatisée :

  1. Ouvrez Planificateur de tâches (taskschd.msc)
  2. Cliquez sur Créer une tâche de base dans le volet Actions
  3. Nommer la tâche "Moniteur d'événements de connexion" et définir le déclencheur approprié (par exemple, toutes les 15 minutes)
  4. Définir l'action pour démarrer PowerShell avec votre script de surveillance
  5. Configurer la tâche pour s'exécuter avec les autorisations appropriées

Utilisez le Transfert d'événements Windows pour une collecte centralisée :

# Configurer l'abonnement de transfert d'événements
wecutil cs subscription.xml

# Exemple de contenu XML d'abonnement :
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>LogonEvents</SubscriptionId>
#   <Query><![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[EventID=4624]]</Select></Query></QueryList>]]></Query>
# </Subscription>
Astuce pro : Intégrez avec des solutions SIEM comme Microsoft Sentinel ou Splunk pour une surveillance et une corrélation à l'échelle de l'entreprise.
05

Analyse Forensique Avancée et Corrélation

Effectuez une analyse médico-légale complète en corrélant l'ID d'événement 4624 avec les événements de sécurité associés pour l'enquête sur les incidents.

Corrélez avec les événements de déconnexion (4634) pour suivre la durée de la session :

# Trouver les paires de connexion/déconnexion correspondantes
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 100
$LogoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} -MaxEvents 100

$SessionAnalysis = foreach ($logon in $LogonEvents) {
    $logonXml = [xml]$logon.ToXml()
    $logonData = $logonXml.Event.EventData.Data
    $logonId = ($logonData | Where-Object {$_.Name -eq 'TargetLogonId'}).'#text'
    $userName = ($logonData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
    
    $matchingLogoff = $LogoffEvents | Where-Object {
        $logoffXml = [xml]$_.ToXml()
        $logoffData = $logoffXml.Event.EventData.Data
        $logoffId = ($logoffData | Where-Object {$_.Name -eq 'TargetLogonId'}).'#text'
        $logoffId -eq $logonId
    } | Select-Object -First 1
    
    [PSCustomObject]@{
        User = $userName
        LogonTime = $logon.TimeCreated
        LogoffTime = if ($matchingLogoff) { $matchingLogoff.TimeCreated } else { 'Still Active' }
        SessionDuration = if ($matchingLogoff) { 
            New-TimeSpan -Start $logon.TimeCreated -End $matchingLogoff.TimeCreated 
        } else { 'Ongoing' }
        LogonId = $logonId
    }
}

$SessionAnalysis | Format-Table -AutoSize

Analysez les modèles d'authentification et détectez les anomalies :

# Détecter les heures ou fréquences de connexion inhabituelles
$TimeWindow = (Get-Date).AddDays(-7)
$RecentLogons = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624
    StartTime=$TimeWindow
}

# Grouper par utilisateur et analyser les modèles
$UserPatterns = $RecentLogons | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        User = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        Time = $_.TimeCreated
        Hour = $_.TimeCreated.Hour
        DayOfWeek = $_.TimeCreated.DayOfWeek
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        SourceIP = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
    }
} | Group-Object User

# Identifier les utilisateurs avec des modèles inhabituels
foreach ($userGroup in $UserPatterns) {
    $user = $userGroup.Name
    $logons = $userGroup.Group
    
    # Vérifier l'activité hors heures (avant 6h ou après 22h)
    $offHoursLogons = $logons | Where-Object {$_.Hour -lt 6 -or $_.Hour -gt 22}
    
    if ($offHoursLogons) {
        Write-Host "ALERTE : L'utilisateur $user a des connexions hors heures :" -ForegroundColor Red
        $offHoursLogons | Format-Table Time, LogonType, SourceIP
    }
}

Exporter un rapport médico-légal complet :

# Générer un rapport médico-légal détaillé
$ForensicReport = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 1000 | 
ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        EventTime = $_.TimeCreated
        EventID = $_.Id
        SubjectUserName = ($eventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        TargetUserName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        LogonType = ($eventData | Where-Object {$_.Name -eq 'LogonType'}).'#text'
        LogonProcessName = ($eventData | Where-Object {$_.Name -eq 'LogonProcessName'}).'#text'
        AuthenticationPackageName = ($eventData | Where-Object {$_.Name -eq 'AuthenticationPackageName'}).'#text'
        WorkstationName = ($eventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
        SourceNetworkAddress = ($eventData | Where-Object {$_.Name -eq 'IpAddress'}).'#text'
        SourcePort = ($eventData | Where-Object {$_.Name -eq 'IpPort'}).'#text'
    }
}

$ForensicReport | Export-Csv -Path "C:\Forensics\Logon_Analysis_$(Get-Date -Format 'yyyyMMdd_HHmmss').csv" -NoTypeInformation
Avertissement : Une analyse médico-légale à grande échelle peut consommer des ressources système importantes. Exécutez pendant les fenêtres de maintenance lorsque cela est possible.

Aperçu

L'ID d'événement 4624 est l'un des événements d'audit de sécurité les plus fréquemment générés dans les environnements Windows. Cet événement se déclenche chaque fois qu'une authentification réussie se produit sur le système, qu'il s'agisse d'une connexion interactive au bureau, d'une authentification réseau, du démarrage d'un service ou de l'exécution d'une tâche planifiée. L'événement capture des détails complets sur le processus d'authentification, y compris le nom du compte, le type de connexion, le poste de travail source et le package d'authentification utilisé.

Cet événement apparaît dans le journal de sécurité et est généré par le sous-système de l'Autorité de sécurité locale (LSA). Chaque événement 4624 correspond à une nouvelle session de connexion établie sur le système. L'événement fournit aux enquêteurs judiciaires et aux administrateurs système des informations cruciales pour suivre l'activité des utilisateurs, identifier les tentatives d'accès non autorisées qui ont réussi et comprendre les modèles d'authentification sur le réseau.

Comprendre l'ID d'événement 4624 est essentiel pour la surveillance de la sécurité, l'audit de conformité et la réponse aux incidents. Les métadonnées riches de l'événement permettent aux administrateurs de distinguer entre différents types de connexions, de suivre l'activité des comptes de service et de corréler les événements d'authentification avec d'autres activités système pour une analyse de sécurité complète.

Questions Fréquentes

Que signifie l'ID d'événement 4624 et pourquoi est-il important pour la surveillance de la sécurité ?+
L'ID d'événement 4624 indique une authentification utilisateur réussie sur un système Windows. Il est généré chaque fois que des identifiants sont validés et qu'une nouvelle session de connexion est créée. Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit complète de qui a accédé au système, quand ils se sont connectés, comment ils se sont authentifiés (interactif, réseau, service), et d'où ils se sont connectés. Les équipes de sécurité utilisent ces événements pour établir des modèles d'authentification de référence, détecter les accès non autorisés, enquêter sur les incidents de sécurité et garantir la conformité aux exigences d'audit. L'événement contient des métadonnées riches, y compris le type de connexion, l'adresse IP source, la méthode d'authentification et les détails de la session qui permettent une analyse de sécurité complète.
Comment distinguer les différents types de connexions dans l'ID d'événement 4624 ?+
Le champ Type de connexion dans l'ID d'événement 4624 catégorise différentes méthodes d'authentification. Les principaux types de connexion incluent : Type 2 (Interactif) pour les connexions console ou RDP, Type 3 (Réseau) pour l'accès aux ressources partagées, Type 4 (Batch) pour les tâches planifiées, Type 5 (Service) pour l'authentification des comptes de service, Type 7 (Déverrouillage) pour les événements de déverrouillage de poste de travail, Type 8 (NetworkCleartext) pour l'authentification IIS, Type 9 (NewCredentials) pour les opérations RunAs, Type 10 (RemoteInteractive) pour les services de terminal, et Type 11 (CachedInteractive) pour les connexions avec des identifiants mis en cache. Comprendre ces types aide les administrateurs à identifier le contexte des événements d'authentification et à se concentrer sur les scénarios de sécurité pertinents. Par exemple, les connexions de Type 3 à partir d'adresses IP externes pourraient indiquer un mouvement latéral potentiel, tandis que des connexions de Type 2 inattendues pourraient suggérer un accès physique ou à distance non autorisé.
Pourquoi vois-je autant d'entrées d'ID d'événement 4624 et comment puis-je gérer le volume ?+
Des volumes élevés d'événements ID 4624 sont normaux dans les environnements Windows actifs car l'événement se déclenche pour chaque authentification réussie, y compris les connexions utilisateur, les démarrages de service, les tâches planifiées et l'accès aux ressources réseau. Pour gérer efficacement le volume, configurez les stratégies d'audit pour vous concentrer sur les types de connexion pertinents, augmentez la taille du journal de sécurité pour éviter la perte d'événements, mettez en œuvre des stratégies de rotation ou d'archivage des journaux, et utilisez le filtrage pour vous concentrer sur les modèles suspects. Envisagez d'exclure les connexions de comptes de service de routine des alertes tout en maintenant une journalisation complète pour la conformité. Utilisez le filtrage PowerShell pour analyser des périodes spécifiques, des utilisateurs ou des types de connexion plutôt que de passer en revue tous les événements. Pour les environnements d'entreprise, mettez en œuvre une journalisation centralisée avec des solutions SIEM qui peuvent corréler les événements et réduire le bruit grâce à un filtrage intelligent et une analyse de base.
Comment puis-je utiliser l'ID d'événement 4624 pour détecter des menaces de sécurité potentielles ?+
L'ID d'événement 4624 peut révéler plusieurs menaces de sécurité lorsqu'il est analysé correctement. Recherchez des connexions depuis des emplacements inhabituels (adresses IP externes), des authentifications en dehors des heures ouvrables (en dehors des heures de bureau normales), des connexions rapides multiples depuis différents emplacements (voyage impossible), des connexions interactives de comptes de service (Type 2), des connexions réseau de comptes privilégiés depuis des sources inattendues, et des authentifications utilisant des processus ou des packages inhabituels. Corrélez les événements 4624 avec les tentatives de connexion échouées (4625) pour identifier les attaques réussies après des tentatives de force brute. Surveillez les connexions immédiatement après des événements d'escalade de privilèges ou des changements système. Utilisez l'analyse de base pour identifier les écarts par rapport aux modèles d'authentification normaux pour chaque utilisateur. Mettez en place des alertes automatisées pour les scénarios à haut risque comme les connexions de comptes administrateur depuis de nouveaux emplacements ou les comptes de service utilisés pour des sessions interactives.
Quelles informations dois-je recueillir à partir de l'ID d'événement 4624 pour la réponse aux incidents et la criminalistique ?+
Pour une réponse aux incidents complète, collectez les données d'événements complètes, y compris l'horodatage, le nom d'utilisateur cible, le nom d'utilisateur du sujet (compte demandant la connexion), le type de connexion, l'adresse réseau source, le nom de la station de travail, le nom du processus de connexion, le package d'authentification, le GUID de connexion et les informations sur le processus. Corrélez avec des événements connexes comme 4625 (échecs de connexion), 4634 (déconnexions), 4648 (utilisation explicite des identifiants) et 4672 (privilèges spéciaux attribués). Documentez la durée de la session en associant les paires de connexion/déconnexion, identifiez les sessions simultanées pour le même utilisateur, suivez les événements d'escalade de privilèges et analysez les modèles d'authentification au fil du temps. Exportez les données d'événements filtrées en CSV ou JSON pour les outils d'analyse, conservez les journaux d'événements originaux pour les exigences légales et créez une analyse chronologique montrant la progression de l'activité utilisateur. Incluez le contexte réseau comme la résolution DNS des IP sources et les données de géolocalisation pour construire des récits d'attaque complets.
Documentation

Références (2)

1
Microsoft Security Auditing Events - Event 4624Official Microsoft documentation detailing Event ID 4624 structure, fields, and security implicationshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
2
Advanced Security Audit Policy SettingsComprehensive guide to configuring Windows audit policies for optimal security monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-4624#security-auditing#authentication-monitoring

Événements Windows associés

Windows Security Event Viewer displaying Event ID 4647 user logoff events on a security monitoring dashboard
Event 4647
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

L'ID d'événement 4647 enregistre lorsqu'un utilisateur initie une déconnexion d'une session Windows. Cet événement d'audit de sécurité suit les déconnexions initiées par l'utilisateur à des fins de conformité et de surveillance de la sécurité.

18 mars9 min
Windows Event Viewer displaying security audit logs with Event ID 4634 logoff events on a SOC monitoring dashboard
Event 4634
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4634 – Microsoft-Windows-Security-Auditing : Un compte a été déconnecté

L'ID d'événement 4634 enregistre lorsqu'un compte utilisateur se déconnecte d'un système Windows. Cet événement d'audit de sécurité suit les activités de déconnexion à des fins de conformité et de surveillance de la sécurité.

18 mars12 min
Windows Event Viewer Security log displaying Event ID 4723 password change audit entries on a cybersecurity monitoring dashboard
Event 4723
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4723 – Microsoft-Windows-Security-Auditing : Tentative de changement de mot de passe du compte utilisateur

L'ID d'événement 4723 enregistre lorsqu'un utilisateur tente de changer le mot de passe d'un autre utilisateur. Cet événement d'audit de sécurité suit les opérations de réinitialisation de mot de passe administratives et aide à surveiller les modifications non autorisées de mots de passe dans les domaines Windows.

17 mars12 min
Security analyst monitoring Windows Event ID 4625 failed logon events in a cybersecurity operations center
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les attaques par force brute, les problèmes d'identification et les tentatives d'accès non autorisées sur les comptes de domaine et locaux.

17 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...