ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Security analyst monitoring Windows Event ID 4625 failed logon events in a cybersecurity operations center
Event ID 4625InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les attaques par force brute, les problèmes d'identification et les tentatives d'accès non autorisées sur les comptes de domaine et locaux.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 202612 min de lecture 0
Event ID 4625Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4625 représente l'un des événements de sécurité les plus critiques dans l'infrastructure de journalisation de Windows. Généré par le fournisseur Microsoft-Windows-Security-Auditing, cet événement capture des détails complets sur chaque tentative d'authentification échouée sur le système. La structure de l'événement comprend plus de 20 champs fournissant des informations de qualité médico-légale sur la tentative de connexion échouée.

L'événement se déclenche pour plusieurs types de connexion : connexions interactives sur le bureau (Type 2), connexions réseau (Type 3), connexions par lot (Type 4), connexions de service (Type 5) et sessions de bureau à distance (Type 10). Chaque type de connexion fournit différents indices contextuels sur le vecteur d'attaque ou le problème d'authentification. Les connexions réseau indiquent souvent des tentatives de mouvement latéral, tandis que les connexions interactives suggèrent des tentatives d'accès physique ou à la console.

Les mises à jour de Windows 2026 ont amélioré les événements 4625 avec un meilleur suivi des IP sources et une meilleure intégration avec Windows Defender pour Endpoint. Les codes de raison d'échec ont été élargis pour fournir des détails plus granulaires sur les échecs d'authentification, en particulier pour les scénarios hybrides cloud et les échecs d'authentification basés sur des certificats.

Le champ Sub Status de l'événement contient des codes d'erreur spécifiques qui correspondent à des raisons d'échec exactes : 0xC0000064 (nom d'utilisateur inexistant), 0xC000006A (mot de passe incorrect), 0xC0000072 (compte désactivé) et 0xC0000193 (compte expiré). Ces codes permettent aux systèmes de réponse automatisés de différencier les attaques par identification et les problèmes de compte légitimes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Attaques par force brute sur les mots de passe - Outils automatisés tentant plusieurs combinaisons de mots de passe contre des comptes utilisateurs
  • Saisie incorrecte de mot de passe - Utilisateurs tapant des mots de passe incorrects lors de tentatives de connexion légitimes
  • Comptes utilisateurs désactivés ou verrouillés - Tentatives d'authentification contre des comptes qui ont été désactivés administrativement ou automatiquement verrouillés
  • Identifiants utilisateurs expirés - Tentatives de connexion avec des mots de passe ayant dépassé la politique d'âge maximal des mots de passe
  • Échecs d'authentification réseau - Problèmes d'authentification SMB, RDP ou d'autres services réseau dus à des problèmes de connectivité ou de configuration
  • Problèmes d'identifiants de compte de service - Échecs d'authentification des services Windows avec des mots de passe de compte de service obsolètes ou incorrects
  • Problèmes de relation de confiance de domaine - Échecs d'authentification lorsque les relations de confiance de domaine sont rompues ou mal configurées
  • Problèmes de synchronisation de l'heure - Échecs d'authentification Kerberos dus à un décalage d'horloge entre le client et le contrôleur de domaine
  • Échecs d'authentification basés sur des certificats - Tentatives de connexion par carte à puce ou certificat avec des certificats expirés, révoqués ou invalides
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'échec dans le Visualiseur d'événements pour comprendre le contexte de l'échec d'authentification.

  1. Ouvrez Visualiseur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4625 en utilisant Filtrer le journal actuelIDs d'événements : 4625
  3. Double-cliquez sur un événement 4625 pour voir les informations détaillées
  4. Vérifiez le champ Raison de l'échec pour la description spécifique de l'erreur
  5. Notez le code Sous-état pour identifier le type exact d'échec :
    • 0xC0000064 - L'utilisateur spécifié n'existe pas
    • 0xC000006A - La valeur fournie comme mot de passe actuel n'est pas correcte
    • 0xC0000072 - Le compte référencé est actuellement désactivé
    • 0xC0000193 - Le compte référencé a expiré
    • 0xC0000234 - Le compte référencé est actuellement verrouillé
  6. Examinez le Type de connexion pour comprendre la méthode d'authentification :
    • Type 2 - Interactive (connexion console)
    • Type 3 - Réseau (accès aux ressources partagées)
    • Type 10 - RemoteInteractive (RDP/Services Terminal)
  7. Vérifiez Adresse réseau source pour identifier l'origine des tentatives échouées
Astuce pro : Triez les événements par Adresse réseau source pour identifier rapidement les attaques potentielles par force brute à partir d'adresses IP spécifiques.
02

Utiliser PowerShell pour interroger et analyser les échecs de connexion

PowerShell offre des capacités puissantes de filtrage et d'analyse pour enquêter sur les événements 4625 sur plusieurs systèmes.

  1. Interroger les tentatives de connexion échouées récentes :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  2. Filtrer les connexions échouées par compte utilisateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} | Where-Object {$_.Message -like "*TargetUserName*"} | Select-Object TimeCreated, Message
  3. Identifier les attaques potentielles par force brute en comptant les échecs par IP source :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-24)}
$Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    [PSCustomObject]@{
        Time = $_.TimeCreated
        Account = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        SourceIP = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
        FailureReason = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubStatus'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object SourceIP | Sort-Object Count -Descending
  4. Exporter les événements de connexion échouée pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\FailedLogons.csv" -NoTypeInformation
  5. Vérifier les modèles de verrouillage de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} | Where-Object {$_.Message -like "*0xC0000234*"} | Select-Object TimeCreated, Message
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances de PowerShell. Utilisez des filtres temporels et le paramètre -MaxEvents pour limiter la portée de la requête.
03

Configurer des politiques d'audit avancées pour une meilleure détection

Assurez-vous de configurer correctement la politique d'audit pour capturer tous les événements de connexion échoués pertinents et améliorer la surveillance de la sécurité.

  1. Vérifiez les paramètres actuels de la politique d'audit :
    auditpol /get /category:"Logon/Logoff"
  2. Activez l'audit détaillé des échecs de connexion :
    auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
  3. Configurez la stratégie de groupe pour les paramètres d'audit à l'échelle du domaine :
    • Ouvrez Group Policy Management Console
    • Accédez à Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Policy Configuration
    • Développez Audit PoliciesLogon/Logoff
    • Configurez Audit Logon sur Success and Failure
    • Configurez Audit Account Lockout sur Success and Failure
  4. Vérifiez l'application de la politique d'audit :
    gpresult /h C:\Temp\GPResult.html
# Review Applied Group Policy Objects section
  5. Testez la politique d'audit en générant une connexion échouée contrôlée :
    # From command prompt (will fail intentionally)
runas /user:nonexistentuser cmd
  6. Configurez la taille du journal de sécurité pour gérer le volume accru d'événements :
    • Ouvrez Event ViewerWindows LogsSecurity
    • Cliquez avec le bouton droit sur SecurityProperties
    • Définissez Maximum log size sur au moins 100 Mo
    • Configurez When maximum log size is reached sur Archive the log automatically
Pro tip: Activez "Audit Special Logon" pour suivre les modèles d'utilisation des comptes administratifs et de service en plus des connexions échouées.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez des systèmes de détection automatisés pour identifier et répondre aux modèles de tentatives de connexion échouées suspectes en temps réel.

  1. Créez un script PowerShell pour une surveillance continue :
    # Enregistrer sous Monitor-FailedLogons.ps1
param(
    [int]$ThresholdCount = 5,
    [int]$TimeWindowMinutes = 10
)

$StartTime = (Get-Date).AddMinutes(-$TimeWindowMinutes)
$FailedLogons = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625
    StartTime=$StartTime
} -ErrorAction SilentlyContinue

if ($FailedLogons) {
    $GroupedByIP = $FailedLogons | ForEach-Object {
        $XML = [xml]$_.ToXml()
        [PSCustomObject]@{
            SourceIP = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'
            Account = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        }
    } | Group-Object SourceIP
    
    foreach ($Group in $GroupedByIP) {
        if ($Group.Count -ge $ThresholdCount) {
            Write-Warning "ALERTE : $($Group.Count) tentatives de connexion échouées depuis $($Group.Name) dans les dernières $TimeWindowMinutes minutes"
            # Ajouter une notification par email ou une intégration SIEM ici
        }
    }
}
  2. Planifiez le script de surveillance à l'aide du Planificateur de tâches :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-FailedLogons.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Monitor Failed Logons" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée :
    • Sur le serveur collecteur, activez WinRM :
      winrm quickconfig -y
wecutil qc
    • Créez un fichier de configuration d'abonnement :
      <?xml version="1.0" encoding="UTF-8"?>
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>FailedLogons</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer l'ID d'événement 4625 des ordinateurs du domaine</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query><![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[(EventID=4625)]]</Select></Query></QueryList>]]></Query>
</Subscription>
    • Créez l'abonnement :
      wecutil cs C:\Config\FailedLogons.xml
  4. Intégrez avec Microsoft Sentinel ou un SIEM tiers :
    • Installez l'agent Azure Monitor sur les contrôleurs de domaine
    • Configurez le connecteur de données des événements de sécurité dans Sentinel
    • Créez des règles d'analyse pour la détection des tentatives de connexion échouées
Avertissement : Les environnements à fort volume peuvent générer des milliers d'événements 4625. Mettez en œuvre des stratégies de rotation et d'archivage des journaux pour éviter les problèmes d'espace disque.
05

Analyse médico-légale avancée et réponse

Effectuer une analyse médico-légale approfondie des événements de connexion échoués pour identifier les schémas d'attaque et mettre en œuvre des contre-mesures ciblées.

  1. Extraire des données médico-légales détaillées en utilisant des techniques avancées de PowerShell:
    # Script d'analyse avancée 4625
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)}
$DetailedAnalysis = foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = @{}
    $XML.Event.EventData.Data | ForEach-Object {
        $EventData[$_.Name] = $_.'#text'
    }
    
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        TargetUserName = $EventData.TargetUserName
        TargetDomainName = $EventData.TargetDomainName
        WorkstationName = $EventData.WorkstationName
        IpAddress = $EventData.IpAddress
        IpPort = $EventData.IpPort
        LogonType = $EventData.LogonType
        LogonProcessName = $EventData.LogonProcessName
        AuthenticationPackageName = $EventData.AuthenticationPackageName
        FailureReason = $EventData.FailureReason
        Status = $EventData.Status
        SubStatus = $EventData.SubStatus
        ProcessName = $EventData.ProcessName
        KeyLength = $EventData.KeyLength
    }
}

# Analyser les schémas d'attaque
$DetailedAnalysis | Group-Object IpAddress | Sort-Object Count -Descending | Select-Object Name, Count, @{n='UniqueAccounts';e={($_.Group | Select-Object -Unique TargetUserName).Count}}
  2. Corréler avec d'autres événements de sécurité pour une analyse chronologique:
    # Corréler 4625 avec les connexions réussies (4624) et les verrouillages de compte (4740)
$TimeRange = @{StartTime=(Get-Date).AddHours(-2); EndTime=Get-Date}
$FailedLogons = Get-WinEvent -FilterHashtable (@{LogName='Security'; Id=4625} + $TimeRange)
$SuccessfulLogons = Get-WinEvent -FilterHashtable (@{LogName='Security'; Id=4624} + $TimeRange)
$AccountLockouts = Get-WinEvent -FilterHashtable (@{LogName='Security'; Id=4740} + $TimeRange)

# Créer une chronologie des événements
$AllEvents = @($FailedLogons + $SuccessfulLogons + $AccountLockouts) | Sort-Object TimeCreated
$AllEvents | Select-Object TimeCreated, Id, @{n='EventType';e={switch($_.Id){4625{'Failed Logon'};4624{'Successful Logon'};4740{'Account Lockout'}}}}, Message
  3. Mettre en œuvre la vérification de la réputation des adresses IP:
    # Vérifier les IP suspectes avec le renseignement sur les menaces
$SuspiciousIPs = $DetailedAnalysis | Group-Object IpAddress | Where-Object {$_.Count -gt 10} | Select-Object -ExpandProperty Name

foreach ($IP in $SuspiciousIPs) {
    if ($IP -and $IP -ne '-' -and $IP -ne '::1' -and $IP -ne '127.0.0.1') {
        try {
            $GeoLocation = Invoke-RestMethod -Uri "http://ip-api.com/json/$IP" -TimeoutSec 5
            Write-Host "IP: $IP - Country: $($GeoLocation.country) - ISP: $($GeoLocation.isp)" -ForegroundColor Yellow
        } catch {
            Write-Host "IP: $IP - Geolocation lookup failed" -ForegroundColor Red
        }
    }
}
  4. Générer un rapport de sécurité complet:
    # Générer un rapport de sécurité détaillé
$Report = @"
=== Rapport d'analyse des connexions échouées ===
Généré: $(Get-Date)
Plage de temps: Dernières 24 heures

Résumé:
- Total des connexions échouées: $($DetailedAnalysis.Count)
- IP sources uniques: $(($DetailedAnalysis | Select-Object -Unique IpAddress).Count)
- Comptes cibles uniques: $(($DetailedAnalysis | Select-Object -Unique TargetUserName).Count)

Top 10 des IP sources par tentatives échouées:
$($DetailedAnalysis | Group-Object IpAddress | Sort-Object Count -Descending | Select-Object -First 10 | Format-Table Name, Count -AutoSize | Out-String)

Top 10 des comptes ciblés:
$($DetailedAnalysis | Group-Object TargetUserName | Sort-Object Count -Descending | Select-Object -First 10 | Format-Table Name, Count -AutoSize | Out-String)

Répartition des raisons d'échec:
$($DetailedAnalysis | Group-Object SubStatus | Sort-Object Count -Descending | Format-Table Name, Count -AutoSize | Out-String)
"@

$Report | Out-File -FilePath "C:\Temp\FailedLogonReport_$(Get-Date -Format 'yyyyMMdd_HHmm').txt"
  5. Mettre en œuvre des actions de réponse automatisées:
    # Réponse automatisée pour les scénarios à haut risque
$HighRiskIPs = $DetailedAnalysis | Group-Object IpAddress | Where-Object {$_.Count -gt 20}

foreach ($RiskIP in $HighRiskIPs) {
    if ($RiskIP.Name -and $RiskIP.Name -notmatch '^(192\.168\.|10\.|172\.(1[6-9]|2[0-9]|3[01])\.)') {
        Write-Warning "IP à haut risque détectée: $($RiskIP.Name) avec $($RiskIP.Count) tentatives échouées"
        
        # Ajouter une règle de pare-feu Windows pour bloquer l'IP
        try {
            New-NetFirewallRule -DisplayName "Block Brute Force IP $($RiskIP.Name)" -Direction Inbound -RemoteAddress $RiskIP.Name -Action Block -Protocol TCP
            Write-Host "Règle de pare-feu créée pour bloquer $($RiskIP.Name)" -ForegroundColor Green
        } catch {
            Write-Error "Échec de la création de la règle de pare-feu pour $($RiskIP.Name): $($_.Exception.Message)"
        }
    }
}
Conseil pro : Combinez l'analyse 4625 avec l'analyse du trafic réseau et les outils de détection des points de terminaison pour une visibilité complète des attaques.

Aperçu

L'ID d'événement 4625 se déclenche chaque fois qu'une tentative de connexion échoue sur un système Windows. Cet événement d'audit de sécurité capture des informations détaillées sur les tentatives d'authentification infructueuses, y compris le nom du compte, le poste de travail source, le type de connexion et la raison de l'échec. L'événement apparaît dans le journal de sécurité et nécessite une configuration de la stratégie d'audit pour être généré.

Cet événement sert de mécanisme principal de détection pour les attaques basées sur les identifiants, les verrouillages de compte et les problèmes d'authentification. Windows génère des événements 4625 pour divers scénarios : mots de passe incorrects, comptes désactivés, identifiants expirés, échecs d'authentification réseau et problèmes de connexion interactive. Chaque événement contient des codes d'échec spécifiques qui identifient la raison exacte de l'échec de l'authentification.

Les équipes de sécurité s'appuient sur les événements 4625 pour identifier les attaques par force brute, en particulier lorsque plusieurs échecs se produisent à partir de la même adresse IP source ou contre le même compte. L'événement fournit des détails médico-légaux, y compris l'horodatage, l'adresse réseau source, le package d'authentification utilisé et le processus de connexion Windows spécifique impliqué. Les systèmes modernes de détection des menaces analysent ces événements pour construire des chronologies d'attaques et identifier les identifiants compromis.

Questions Fréquentes

Que signifie l'ID d'événement 4625 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4625 indique une tentative de connexion échouée sur votre système Windows. Vous devriez vous inquiéter lorsque vous voyez plusieurs événements 4625 provenant de la même adresse IP source dans un court laps de temps (typiquement 5+ échecs en 10 minutes), ce qui indique souvent une attaque par force brute. Surveillez également les échecs contre les comptes administratifs, les comptes de service ou les schémas ciblant plusieurs comptes utilisateur de manière séquentielle. Les événements 4625 isolés sont généralement des erreurs utilisateur normales, mais des grappes d'échecs nécessitent une enquête immédiate.
Comment puis-je différencier les erreurs utilisateur légitimes des attaques malveillantes dans les événements 4625 ?+
Les erreurs d'utilisateur légitime montrent généralement des événements 4625 sporadiques provenant d'adresses IP internes connues avec le sous-statut 0xC000006A (mot de passe incorrect) pendant les heures de bureau. Les attaques malveillantes présentent des schémas tels que : des échecs rapides et séquentiels à partir d'IP externes, ciblant des comptes inexistants (sous-statut 0xC0000064), des tentatives en dehors des heures de bureau, des échecs provenant de plusieurs IP sources contre le même compte, ou des tentatives systématiques contre des noms d'utilisateur courants comme 'admin' ou 'administrator'. Vérifiez le champ Type de connexion - les échecs de type 3 (réseau) provenant d'IP externes sont plus suspects que les échecs de type 2 (interactif) provenant de postes de travail internes.
Quels sont les codes de sous-état les plus importants dans l'ID d'événement 4625 et que signifient-ils ?+
Les codes de sous-état critiques sont : 0xC000006A (mot de passe incorrect) - le plus courant, indique une saisie de mot de passe incorrecte ; 0xC0000064 (l'utilisateur n'existe pas) - indique souvent des attaques de reconnaissance ou d'énumération de noms d'utilisateur ; 0xC0000072 (compte désactivé) - tentatives contre des comptes désactivés, pouvant indiquer une connaissance interne ; 0xC0000234 (compte verrouillé) - montre que la politique de verrouillage de compte a été déclenchée ; 0xC0000193 (compte expiré) - tentatives avec des identifiants expirés ; 0xC000006F (connexion en dehors des heures autorisées) - violations des restrictions de temps ; 0xC0000071 (mot de passe expiré) - utilisateurs légitimes avec des mots de passe expirés. Concentrez la surveillance sur les événements 0xC0000064 car ils indiquent souvent une reconnaissance malveillante.
Comment configurer Windows pour générer l'ID d'événement 4625 et quelles politiques d'audit sont requises ?+
L'ID d'événement 4625 nécessite que la politique 'Audit Logon' soit activée pour les échecs. Utilisez 'auditpol /set /subcategory:"Logon" /failure:enable' pour l'activer via la ligne de commande. Pour les environnements de domaine, configurez cela via la stratégie de groupe : Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Connexion/Déconnexion → Audit Logon (définir sur Échec ou Succès et Échec). Activez également 'Audit Account Lockout' pour capturer les événements de verrouillage. Vérifiez la politique avec 'auditpol /get /subcategory:"Logon"'. Notez que l'activation de l'audit de succès générera de nombreux événements 4624, donc considérez l'impact sur le volume des journaux.
Quels sont les commandes PowerShell les plus efficaces pour analyser les modèles d'Event ID 4625 et détecter les attaques ?+
Utilisez 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-24)}' pour récupérer les échecs récents. Pour la détection d'attaques, regroupez par IP source : '$Events | ForEach-Object {$XML = [xml]$_.ToXml(); $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'} | Group-Object | Sort-Object Count -Descending'. Pour identifier les comptes ciblés : '$Events | ForEach-Object {$XML = [xml]$_.ToXml(); $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'} | Group-Object | Sort-Object Count -Descending'. Pour la surveillance en temps réel, combinez avec 'Register-WmiEvent' ou utilisez 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 1 | Select-Object -Last 1' dans une boucle.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive documentation covering Windows security audit events including Event ID 4625 configuration and analysis.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial guide for configuring advanced audit policies to generate security events like 4625 in enterprise environments.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-4625#security-auditing#failed-logon

Événements Windows associés

Windows Security Event Viewer displaying Event ID 4647 user logoff events on a security monitoring dashboard
Event 4647
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

L'ID d'événement 4647 enregistre lorsqu'un utilisateur initie une déconnexion d'une session Windows. Cet événement d'audit de sécurité suit les déconnexions initiées par l'utilisateur à des fins de conformité et de surveillance de la sécurité.

18 mars9 min
Windows Event Viewer displaying security audit logs with Event ID 4634 logoff events on a SOC monitoring dashboard
Event 4634
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4634 – Microsoft-Windows-Security-Auditing : Un compte a été déconnecté

L'ID d'événement 4634 enregistre lorsqu'un compte utilisateur se déconnecte d'un système Windows. Cet événement d'audit de sécurité suit les activités de déconnexion à des fins de conformité et de surveillance de la sécurité.

18 mars12 min
Windows Event Viewer Security log displaying Event ID 4723 password change audit entries on a cybersecurity monitoring dashboard
Event 4723
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4723 – Microsoft-Windows-Security-Auditing : Tentative de changement de mot de passe du compte utilisateur

L'ID d'événement 4723 enregistre lorsqu'un utilisateur tente de changer le mot de passe d'un autre utilisateur. Cet événement d'audit de sécurité suit les opérations de réinitialisation de mot de passe administratives et aide à surveiller les modifications non autorisées de mots de passe dans les domaines Windows.

17 mars12 min
Windows Event Viewer displaying security audit logs with successful logon events on a cybersecurity monitoring dashboard
Event 4624
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4624 – Microsoft-Windows-Security-Auditing : Un compte s'est connecté avec succès

L'ID d'événement 4624 enregistre les tentatives d'authentification utilisateur réussies dans Windows. Cet événement d'audit de sécurité se déclenche chaque fois qu'un utilisateur, un service ou un compte d'ordinateur se connecte avec succès au système, fournissant des informations détaillées sur la session de connexion.

17 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...