ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event ID 4648InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4648Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4648 représente l'un des événements d'audit de sécurité les plus critiques dans les environnements Windows, fournissant une journalisation détaillée de l'utilisation explicite des identifiants à travers l'entreprise. Lorsque Windows traite des demandes d'authentification en utilisant des identifiants différents de la session utilisateur actuelle, cet événement capture des détails complets, y compris les comptes source et cible, les packages d'authentification et les informations réseau.

La structure de l'événement comprend plusieurs champs que les analystes de sécurité utilisent pour l'enquête : les champs Sujet identifient la session utilisateur actuelle, les champs Serveur Cible montrent où l'authentification a été tentée, et les Informations sur le Processus révèlent quelle application a initié l'utilisation des identifiants. Ce détail granulaire permet un suivi précis des flux d'identifiants à travers le réseau.

Dans les environnements d'entreprise, les événements 4648 sont essentiels pour les cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent des pistes d'audit détaillées des accès privilégiés. L'événement se déclenche lors des tentatives d'authentification réussies et échouées, bien que les tentatives réussies soient plus couramment enregistrées. Les systèmes de gestion des informations et des événements de sécurité (SIEM) corrèlent généralement les événements 4648 avec d'autres événements d'authentification pour construire des images complètes de l'activité des utilisateurs et détecter des schémas de comportement anormaux.

La détection moderne des menaces repose fortement sur l'analyse des 4648 pour identifier les techniques de mouvement latéral utilisées par les menaces persistantes avancées. Les attaquants utilisent souvent des identifiants volés pour accéder aux ressources à travers le réseau, et ces événements fournissent les preuves médico-légales nécessaires pour retracer leurs activités et évaluer l'étendue de la compromission.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Exécution de commande RunAs avec des identifiants alternatifs
  • Accès aux ressources réseau avec des identifiants différents (net use, lecteurs mappés)
  • Authentification et délégation de compte de service
  • PowerShell Invoke-Command avec le paramètre -Credential
  • Connexions Bureau à distance avec des identifiants explicites
  • Changements d'identité de pool d'applications IIS
  • Exécution de tâches planifiées avec des comptes utilisateur spécifiés
  • Opérations à distance de l'Instrumentation de gestion Windows (WMI)
  • Authentification intégrée SQL Server avec des identifiants alternatifs
  • Scénarios d'usurpation et de délégation sur le serveur Exchange
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre le contexte d'utilisation des identifiants.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4648 en utilisant Filtrer le journal actuel
  3. Double-cliquez sur l'événement pour voir les informations détaillées
  4. Concentrez-vous sur ces champs clés:
    • Sujet: Détails de la session utilisateur actuelle
    • Compte dont les identifiants ont été utilisés: Informations sur le compte cible
    • Serveur cible: Système ou service de destination
    • Informations sur le processus: Application qui a initié la demande
  5. Notez le champ Type de connexion pour comprendre la méthode d'authentification
  6. Vérifiez Informations réseau pour les adresses IP source dans les scénarios réseau
Astuce pro : Le Type de connexion 3 indique une authentification réseau, tandis que le Type 9 suggère une connexion NewCredentials utilisée par RunAs.
02

Analyse et filtrage PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements 4648 sur plusieurs systèmes.

  1. Interroger les événements récents 4648 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  2. Filtrer par compte utilisateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648} | Where-Object {$_.Message -like "*username*"} | Format-Table TimeCreated, Message -Wrap
  3. Extraire des données structurées des événements :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648} -MaxEvents 100
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $SubjectUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $TargetUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    Write-Output "$($Event.TimeCreated): $SubjectUserName used credentials for $TargetUserName"
}
  4. Exporter les événements pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648} | Export-Csv -Path "C:\Temp\Event4648_Analysis.csv" -NoTypeInformation
03

Enquête à l'échelle du réseau utilisant WinRM

Enquêter sur les événements 4648 à travers plusieurs systèmes pour suivre les modèles d'utilisation des identifiants.

  1. Créer une liste d'ordinateurs cibles:
    $Computers = @('Server01', 'Server02', 'Workstation01')
  2. Interroger les événements de plusieurs systèmes:
    $Results = Invoke-Command -ComputerName $Computers -ScriptBlock {
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
} | Select-Object PSComputerName, TimeCreated, Id, Message
  3. Analyser les modèles d'utilisation des identifiants:
    $Results | Group-Object PSComputerName | Select-Object Name, Count | Sort-Object Count -Descending
  4. Rechercher une utilisation spécifique des identifiants:
    $SuspiciousAccount = "admin_account"
$Results | Where-Object {$_.Message -like "*$SuspiciousAccount*"} | Format-Table PSComputerName, TimeCreated, Message -Wrap
  5. Générer un rapport de synthèse:
    $Results | Export-Csv -Path "C:\Reports\Network_4648_Analysis_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
Avertissement : Assurez-vous que WinRM est correctement configuré et que vous avez les autorisations appropriées avant d'exécuter des requêtes à l'échelle du réseau.
04

Corrélation avancée avec d'autres événements de sécurité

Corréler les événements 4648 avec les événements d'authentification associés pour une analyse complète.

  1. Interroger les événements d'authentification corrélés :
    $StartTime = (Get-Date).AddHours(-1)
$EndTime = Get-Date
$AuthEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4625,4648,4672
    StartTime=$StartTime
    EndTime=$EndTime
} | Sort-Object TimeCreated
  2. Créer une analyse de corrélation :
    $CorrelatedEvents = @()
foreach ($Event in $AuthEvents) {
    $XML = [xml]$Event.ToXml()
    $EventData = @{
        TimeCreated = $Event.TimeCreated
        EventId = $Event.Id
        Computer = $Event.MachineName
    }
    
    switch ($Event.Id) {
        4648 {
            $EventData.SubjectUser = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
            $EventData.TargetUser = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
            $EventData.EventType = "Identifiants Explicites"
        }
        4624 {
            $EventData.TargetUser = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
            $EventData.LogonType = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'LogonType'}).'#text'
            $EventData.EventType = "Connexion Réussie"
        }
    }
    $CorrelatedEvents += New-Object PSObject -Property $EventData
}
  3. Analyser les modèles d'escalade de privilèges :
    $PrivilegeEvents = $CorrelatedEvents | Where-Object {$_.EventId -eq 4672 -or ($_.EventId -eq 4648 -and $_.TargetUser -like "*admin*")}
  4. Générer une analyse chronologique :
    $CorrelatedEvents | Sort-Object TimeCreated | Format-Table TimeCreated, EventId, EventType, SubjectUser, TargetUser -AutoSize
05

Enquête sur le Registre et la Stratégie de Groupe

Examinez la configuration du système qui affecte la génération d'événements 4648 et les politiques d'audit.

  1. Vérifiez les paramètres de la politique d'audit :
    auditpol /get /subcategory:"Logon"
  2. Vérifiez les paramètres du registre d'audit de sécurité :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" | Select-Object MaxSize, Retention
  3. Vérifiez les paramètres d'audit de la stratégie de groupe :
    gpresult /h C:\Temp\GPResult.html
# Examinez Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la politique d'audit
  4. Examinez les paramètres d'audit LSA :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" | Select-Object auditbaseobjects, fullprivilegeauditing
  5. Examinez la configuration du journal des événements :
    wevtutil gl Security
  6. Configurez l'audit amélioré si nécessaire :
    # Activer l'audit détaillé des connexions
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
# Activer l'audit de validation des informations d'identification
auditpol /set /subcategory:"Credential Validation" /success:enable /failure:enable
Astuce pro : Utilisez auditpol /backup /file:C:\audit_backup.csv avant de faire des modifications pour préserver les paramètres actuels.

Aperçu

L'ID d'événement 4648 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un utilisateur ou un processus tente de s'authentifier en utilisant des identifiants explicites différents de leur session de connexion actuelle. Cet événement est fondamental pour la surveillance de la sécurité Windows et apparaît dans le journal de sécurité lorsque des opérations comme les commandes RunAs, l'accès à des ressources réseau avec des identifiants alternatifs ou l'authentification de comptes de service se produisent.

Contrairement aux événements d'authentification standard, 4648 suit spécifiquement les scénarios de délégation d'identifiants où les utilisateurs fournissent des identifiants différents de leur session actuelle. Cela le rend inestimable pour détecter les mouvements latéraux, les tentatives d'escalade de privilèges et les activités administratives légitimes. L'événement capture à la fois le compte source (session actuelle) et le compte cible (identifiants explicites), fournissant des pistes d'audit complètes pour l'utilisation des identifiants.

Windows génère cet événement à la fois sur les contrôleurs de domaine et les systèmes membres, en faisant un pilier de la surveillance de la sécurité d'entreprise. Les équipes de sécurité s'appuient sur les événements 4648 pour suivre les activités administratives, détecter l'utilisation non autorisée d'identifiants et enquêter sur les incidents de sécurité potentiels impliquant le vol ou l'utilisation abusive d'identifiants.

Questions Fréquentes

Que signifie l'ID d'événement 4648 et quand se produit-il ?+
L'ID d'événement 4648 indique qu'une tentative de connexion a été effectuée en utilisant des identifiants explicites différents de la session utilisateur actuelle. Cela se produit lorsque les utilisateurs exécutent des commandes avec RunAs, accèdent à des ressources réseau avec des identifiants alternatifs, ou lorsque des services s'authentifient en utilisant des comptes spécifiés. L'événement capture à la fois le contexte utilisateur actuel et les identifiants utilisés, ce qui est essentiel pour suivre la délégation d'identifiants et les activités potentielles d'escalade de privilèges.
Comment puis-je distinguer entre les événements 4648 légitimes et suspects ?+
Les événements 4648 légitimes montrent généralement des schémas cohérents : des utilisateurs administratifs utilisant RunAs pour des tâches élevées, des comptes de service s'authentifiant lors d'opérations programmées, ou des utilisateurs accédant à des ressources réseau avec des identifiants appropriés. Les indicateurs suspects incluent : un timing inhabituel (activité hors heures), des systèmes sources inconnus, des comptes de service utilisés de manière interactive, ou des comptes à privilèges élevés accédés depuis des emplacements inattendus. Corrélez avec les événements 4624/4625 et examinez le champ d'information du processus pour comprendre le contexte.
Pourquoi est-ce que je vois plusieurs événements 4648 pour la même opération ?+
Plusieurs événements 4648 pour une seule opération sont normaux et se produisent parce que Windows enregistre chaque étape d'authentification séparément. Par exemple, accéder à un partage réseau peut générer des événements pour : la validation initiale des identifiants, les demandes de tickets Kerberos et l'accès aux ressources. Chaque service ou fournisseur d'authentification peut enregistrer séparément. De plus, certaines applications effectuent plusieurs tentatives d'authentification ou utilisent différentes méthodes d'authentification, chacune générant son propre événement 4648.
L'ID d'événement 4648 peut-il aider à détecter les attaques de mouvement latéral ?+
Oui, les événements 4648 sont cruciaux pour détecter les mouvements latéraux. Les attaquants utilisant des identifiants volés pour accéder à plusieurs systèmes généreront des événements 4648 montrant le compte compromis accédant à diverses ressources. Recherchez des modèles tels que : le même compte accédant à plusieurs systèmes dans des délais courts, des comptes de service utilisés pour des connexions interactives, ou des comptes administratifs accédant à des systèmes qu'ils ne gèrent normalement pas. Corrélez avec le trafic réseau et d'autres événements d'authentification pour construire une chronologie complète de l'attaque.
Comment devrais-je configurer les politiques d'audit pour optimiser la collecte des événements 4648 ?+
Activez les stratégies 'Audit Logon' et 'Audit Account Logon' pour capturer efficacement les événements 4648. Utilisez la stratégie de groupe pour configurer 'Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Connexion au compte > Validation des informations d'identification d'audit' et 'Connexion/Déconnexion > Audit Logon' pour les succès et les échecs. Envisagez d'activer 'Audit Special Logon' pour suivre l'utilisation des informations d'identification administratives. Équilibrez les besoins de surveillance de la sécurité avec le volume des journaux - dans les environnements à forte activité, vous pourriez avoir besoin de tailles de journaux de sécurité plus grandes ou d'une rotation plus rapide des journaux pour éviter la perte d'événements.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including detailed explanations of Event ID 4648 and related authentication events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/auditing-security-events
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies to optimize security event collection and monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4648#authentication-events

Événements Windows associés

Windows domain controller monitoring dashboard showing Active Directory authentication events and security logs
Event 4776
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4776 – Microsoft-Windows-Security-Auditing : Authentification du compte d'ordinateur

L'ID d'événement 4776 enregistre les tentatives d'authentification des comptes d'ordinateur dans les environnements Active Directory, suivant la validation par le contrôleur de domaine des informations d'identification de l'ordinateur lors des processus de connexion.

18 mars9 min
Windows Security Event Viewer displaying Event ID 4625 authentication failure logs on a security monitoring dashboard
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les tentatives d'accès non autorisées, les attaques par force brute et résoudre les problèmes d'authentification sur les comptes de domaine et locaux.

18 mars12 min
ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos
Event 4771
Microsoft-Windows-Security-Auditing
Windows EventWarning

ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos

L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, généralement causé par des mots de passe incorrects, des comptes expirés ou des problèmes de synchronisation temporelle entre le client et le contrôleur de domaine.

18 mars12 min
Windows Security Event Viewer displaying Event ID 4647 user logoff events on a security monitoring dashboard
Event 4647
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

L'ID d'événement 4647 enregistre lorsqu'un utilisateur initie une déconnexion d'une session Windows. Cet événement d'audit de sécurité suit les déconnexions initiées par l'utilisateur à des fins de conformité et de surveillance de la sécurité.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...