ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying credential access events and audit logs
Event ID 5615InformationMicrosoft-Windows-Security-AuditingWindows Security

ID d'événement Windows 5615 – Sécurité : Accès au coffre-fort du gestionnaire d'informations d'identification

L'ID d'événement 5615 enregistre lorsqu'un utilisateur ou un processus accède au coffre du Gestionnaire d'informations d'identification Windows pour récupérer des informations d'identification, des mots de passe ou des certificats stockés à des fins d'authentification.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5615Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5615 est généré par le sous-système de sécurité Windows chaque fois qu'un processus accède avec succès au coffre-fort du Gestionnaire d'informations d'identification pour récupérer des données d'authentification stockées. Le Gestionnaire d'informations d'identification sert de système de stockage centralisé des informations d'identification de Windows, en maintenant des copies cryptées de mots de passe, de certificats et de jetons d'authentification utilisés par les applications et les services.

Lorsque cet événement se déclenche, Windows enregistre des détails complets, y compris le processus demandeur, le nom de l'information d'identification cible, le contexte utilisateur sous lequel l'accès a eu lieu, et le type d'information d'identification récupérée. Ces informations s'avèrent inestimables pour l'audit de sécurité, le reporting de conformité et l'enquête sur les incidents.

L'événement se produit généralement lors de scénarios d'authentification légitimes tels que les connexions automatiques au domaine, l'utilisation de mots de passe enregistrés dans le navigateur ou la récupération d'informations d'identification spécifiques à une application. Cependant, les professionnels de la sécurité surveillent cet événement de près car les logiciels malveillants de collecte d'informations d'identification ciblent souvent le coffre-fort du Gestionnaire d'informations d'identification comme source de données d'authentification précieuses.

Dans les environnements d'entreprise, l'ID d'événement 5615 aide les administrateurs à comprendre les modèles d'utilisation des informations d'identification, à identifier les applications qui accèdent fréquemment aux informations d'identification stockées et à détecter les tentatives d'accès anormales qui pourraient indiquer des systèmes compromis ou des menaces internes. La journalisation détaillée de l'événement le rend particulièrement utile pour l'analyse médico-légale lors de l'enquête sur des incidents de sécurité impliquant le vol d'informations d'identification ou un accès non autorisé.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur se connectant à un ordinateur joint au domaine en utilisant des identifiants mis en cache
  • Navigateur web récupérant les mots de passe de sites web enregistrés pour le remplissage automatique des formulaires
  • Client de messagerie accédant aux identifiants de serveur Exchange ou IMAP stockés
  • Applications réseau utilisant des identifiants de compte de service stockés pour l'authentification
  • Clients VPN récupérant des identifiants de connexion enregistrés
  • Connexions Bureau à distance utilisant des identifiants de serveur stockés
  • Applications tierces accédant à des clés API ou certificats stockés par Windows
  • Logiciels malveillants tentant de récolter des identifiants stockés dans le coffre
  • Scripts PowerShell ou outils administratifs interrogeant les informations d'identification
  • Services Windows accédant aux mots de passe de compte de service stockés lors du démarrage
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5615 pour comprendre quelle information d'identification a été accédée et par quel processus.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 5615 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 5615 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur une entrée récente de l'ID d'événement 5615 pour voir des informations détaillées
  6. Examinez les champs clés suivants dans les détails de l'événement:
    • Sujet: Montre le compte utilisateur qui a accédé à l'information d'identification
    • Informations sur le processus: Identifie l'exécutable qui a demandé l'information d'identification
    • Informations sur l'identification: Affiche le nom cible et le type d'information d'identification accédée
    • Informations supplémentaires: Contient le serveur ou la ressource cible de l'information d'identification

Utilisez ces informations pour déterminer si l'accès à l'information d'identification était légitime ou potentiellement suspect en fonction du processus demandeur et du contexte utilisateur.

02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser les modèles d'ID d'événement 5615 et identifier les activités fréquentes d'accès aux informations d'identification dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 5615 avec des informations détaillées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5615} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Process';Expression={$_.Properties[9].Value}}, @{Name='CredentialName';Expression={$_.Properties[2].Value}} | Format-Table -AutoSize
  3. Analysez la fréquence d'accès aux informations d'identification par processus :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5615} -MaxEvents 200 | ForEach-Object { $_.Properties[9].Value } | Group-Object | Sort-Object Count -Descending | Select-Object Name, Count
  4. Vérifiez l'accès aux informations d'identification en dehors des heures de bureau :
    $StartTime = (Get-Date).Date.AddHours(18)
$EndTime = (Get-Date).Date.AddDays(1).AddHours(8)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5615; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Process';Expression={$_.Properties[9].Value}}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5615} -MaxEvents 500 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Process';Expression={$_.Properties[9].Value}} | Export-Csv -Path "C:\Temp\Event5615_Analysis.csv" -NoTypeInformation
Astuce pro : Recherchez des processus inhabituels accédant aux informations d'identification ou des modèles d'accès à haute fréquence qui pourraient indiquer des tentatives automatisées de collecte d'informations d'identification.
03

Surveiller le contenu du coffre-fort du Gestionnaire d'informations d'identification

Examinez le contenu actuel du coffre-fort du Gestionnaire d'informations d'identification pour comprendre quelles informations d'identification sont stockées et potentiellement accessibles.

  1. Ouvrez Gestionnaire d'informations d'identification en tapant gestionnaire d'informations d'identification dans la recherche du menu Démarrer
  2. Examinez les sections Informations d'identification Web et Informations d'identification Windows
  3. Notez toute information d'identification stockée suspecte ou inattendue
  4. Utilisez PowerShell pour énumérer les informations d'identification stockées de manière programmatique :
    cmdkey /list
  5. Pour des informations d'identification plus détaillées, utilisez l'API de gestion des informations d'identification Windows via PowerShell :
    Add-Type -AssemblyName System.Security
$creds = [System.Security.Cryptography.ProtectedData]::Unprotect
# Remarque : L'énumération directe des informations d'identification nécessite des privilèges élevés
  6. Vérifiez les entrées d'informations d'identification récemment modifiées en examinant les horodatages des fichiers dans l'emplacement de stockage des informations d'identification :
    Get-ChildItem "$env:LOCALAPPDATA\Microsoft\Credentials" -Force | Sort-Object LastWriteTime -Descending | Select-Object Name, LastWriteTime, Length
  7. Examinez les paramètres de la politique du coffre-fort dans la stratégie de groupe :
    • Accédez à Configuration de l'ordinateurModèles d'administrationSystèmeDélégation des informations d'identification
    • Vérifiez les politiques telles que "Autoriser la délégation des informations d'identification par défaut" et "Autoriser la délégation des informations d'identification par défaut avec authentification serveur NTLM uniquement"
Avertissement : Soyez prudent lors de l'examen des magasins d'informations d'identification car cela peut déclencher des événements de sécurité supplémentaires et pourrait exposer des informations sensibles.
04

Configurer l'audit avancé pour l'accès aux informations d'identification

Améliorez la surveillance de l'accès aux informations d'identification en configurant des politiques d'audit détaillées et en mettant en œuvre des mesures de sécurité supplémentaires.

  1. Activez l'audit avancé des informations d'identification via la stratégie de groupe:
    • Ouvrez Group Policy Management Console (gpmc.msc)
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Développez Accès aux objets et configurez Audit de la validation des informations d'identification pour les succès et les échecs
  2. Configurez la stratégie d'audit local via la ligne de commande:
    auditpol /set /subcategory:"Credential Validation" /success:enable /failure:enable
  3. Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 5615:
    wecutil cs subscription.xml
  4. Créez un fichier d'abonnement XML personnalisé pour les événements d'identification:
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>CredentialAccess</SubscriptionId>
  <Query>
    <![CDATA[
      <QueryList>
        <Query Id="0">
          <Select Path="Security">*[System[EventID=5615]]</Select>
        </Query>
      </QueryList>
    ]]>
  </Query>
</Subscription>
  5. Mettez en œuvre la protection des informations d'identification sur les systèmes pris en charge:
    Enable-WindowsOptionalFeature -Online -FeatureName IsolatedUserMode
Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform
  6. Configurez les paramètres du registre pour améliorer la protection des informations d'identification:
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LsaCfgFlags" -Value 1 -Type DWord
Astuce pro : Combinez la surveillance de l'ID d'événement 5615 avec l'ID d'événement 4648 (utilisation explicite des informations d'identification) pour un suivi complet de l'accès aux informations d'identification.
05

Mettre en œuvre l'automatisation de la surveillance et de la réponse en matière de sécurité

Déployez des capacités de surveillance et de réponse automatisées pour détecter et répondre aux modèles d'accès aux identifiants suspects.

  1. Créez un script PowerShell pour la surveillance en temps réel de l'ID d'événement 5615 :
    Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=5615" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $ProcessName = $Event.InsertionStrings[9]
    $User = $Event.InsertionStrings[1]
    
    # Vérifiez les processus suspects
    $SuspiciousProcesses = @('mimikatz.exe', 'procdump.exe', 'pwdump.exe')
    if ($SuspiciousProcesses -contains $ProcessName) {
        Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1001 -EntryType Warning -Message "Accès aux identifiants suspect détecté : $ProcessName par $User"
    }
}
  2. Configurez Windows Performance Toolkit (WPT) pour une traçabilité avancée de l'accès aux identifiants :
    wpr -start GeneralProfile -filemode
# Reproduisez le scénario d'accès aux identifiants
wpr -stop C:\Temp\credential_trace.etl
  3. Configurez Sysmon pour une surveillance améliorée des processus liés à l'accès aux identifiants :
    <Sysmon schemaversion="4.82">
  <EventFiltering>
    <ProcessCreate onmatch="include">
      <Image condition="contains">lsass.exe</Image>
      <Image condition="contains">winlogon.exe</Image>
    </ProcessCreate>
  </EventFiltering>
</Sysmon>
  4. Mettez en œuvre des requêtes de chasse aux menaces en utilisant KQL pour Microsoft Sentinel :
    SecurityEvent
| where EventID == 5615
| extend ProcessName = tostring(EventData.ProcessName)
| extend TargetUserName = tostring(EventData.TargetUserName)
| summarize count() by ProcessName, TargetUserName, bin(TimeGenerated, 1h)
| where count_ > 10
  5. Créez des canaux personnalisés de journal des événements Windows pour la surveillance des identifiants :
    wevtutil im credential-monitoring.xml
  6. Déployez Microsoft Defender for Identity pour corréler l'accès aux identifiants avec d'autres événements de sécurité
  7. Configurez des règles d'alerte dans votre solution SIEM pour déclencher sur :
    • Accès aux identifiants à haute fréquence à partir de processus uniques
    • Accès aux identifiants à partir de processus ou de lieux inhabituels
    • Modèles d'accès aux identifiants en dehors des heures de travail
    • Accès aux identifiants après d'autres activités suspectes
Avertissement : Les actions de réponse automatisées doivent être soigneusement testées dans un environnement de laboratoire avant le déploiement pour éviter toute perturbation des processus commerciaux légitimes.

Aperçu

L'ID d'événement 5615 se déclenche chaque fois que le coffre-fort du Gestionnaire d'informations d'identification de Windows est accédé pour récupérer des informations d'identification stockées. Cet événement d'audit de sécurité suit lorsque des applications, des services ou des utilisateurs demandent l'accès à des mots de passe, des certificats ou des jetons d'authentification enregistrés dans le coffre-fort Windows. L'événement apparaît dans le journal de sécurité et fournit des informations détaillées sur quelle information d'identification a été accédée, par qui et depuis quel processus.

Cet événement est particulièrement précieux pour la surveillance de la sécurité car il révèle quand des informations d'identification stockées sont utilisées pour l'authentification. Les environnements Windows modernes dépendent fortement du Gestionnaire d'informations d'identification pour stocker les mots de passe de domaine, les informations d'identification web et les données d'authentification basées sur des certificats. Comprendre quand ces informations d'identification sont accédées aide les administrateurs à suivre les modèles d'authentification et à détecter un éventuel vol ou abus d'informations d'identification.

L'événement se déclenche lors des opérations normales lorsque des applications comme les navigateurs, les clients de messagerie ou les services réseau récupèrent des informations d'identification stockées pour une authentification automatique. Cependant, il se déclenche également lorsque des logiciels malveillants tentent de récolter des informations d'identification stockées, ce qui en fait un événement critique pour la réponse aux incidents de sécurité et l'analyse judiciaire.

Questions Fréquentes

Que signifie l'ID d'événement 5615 et devrais-je m'en inquiéter ?+
L'ID d'événement 5615 indique qu'un processus a accédé au coffre-fort du Gestionnaire d'informations d'identification de Windows pour récupérer des informations d'identification stockées. Cela est souvent un comportement normal lorsque des applications utilisent des mots de passe ou des certificats enregistrés pour l'authentification. Cependant, vous devriez enquêter si vous voyez des processus inhabituels accédant aux informations d'identification, des schémas d'accès à haute fréquence, ou des accès se produisant en dehors des heures de bureau normales, car cela pourrait indiquer des tentatives de collecte d'informations d'identification par des logiciels malveillants.
Comment puis-je savoir si l'ID d'événement 5615 représente une activité légitime ou malveillante ?+
Examinez le nom du processus, le contexte utilisateur et le moment de l'accès aux identifiants. Un accès légitime provient généralement d'applications connues comme les navigateurs (chrome.exe, msedge.exe), les clients de messagerie (outlook.exe) ou les services Windows pendant les heures de bureau normales. Les indicateurs suspects incluent des exécutables inconnus, un accès à partir de comptes système lorsque les utilisateurs ne sont pas connectés, des schémas d'accès automatisés à haute fréquence, ou des processus avec des noms similaires à des outils de vol d'identifiants comme mimikatz ou des variantes similaires.
Puis-je empêcher la génération de l'ID d'événement 5615 tout en maintenant la sécurité ?+
Vous ne devriez pas désactiver complètement la journalisation de l'ID d'événement 5615 car elle offre des capacités précieuses de surveillance de la sécurité. Cependant, vous pouvez réduire le volume en implémentant Credential Guard sur les systèmes pris en charge, en utilisant Windows Hello for Business pour réduire l'authentification basée sur les mots de passe, et en configurant des politiques d'audit pour se concentrer sur des types d'identifiants spécifiques. Envisagez de filtrer les processus légitimes connus dans vos outils de surveillance plutôt que de désactiver complètement l'événement.
Quelle information l'ID d'événement 5615 fournit-il pour l'analyse judiciaire ?+
L'ID d'événement 5615 fournit des données médico-légales complètes, y compris l'horodatage exact de l'accès aux informations d'identification, le nom et le chemin du processus demandeur, le contexte du compte utilisateur, le nom et le type de l'information d'identification cible, ainsi que l'utilisation prévue de l'information d'identification. Ces informations aident les enquêteurs à reconstituer les chronologies des attaques, à identifier les informations d'identification compromises, à déterminer l'étendue de l'exposition potentielle des données et à corréler l'accès aux informations d'identification avec d'autres activités suspectes lors de la réponse aux incidents.
À quelle fréquence devrais-je m'attendre à voir l'ID d'événement 5615 dans un environnement Windows normal ?+
La fréquence varie considérablement en fonction de la configuration de votre environnement et du comportement des utilisateurs. Dans les environnements d'entreprise typiques, vous pourriez voir des dizaines à des centaines de ces événements quotidiennement par poste de travail, principalement à partir de navigateurs accédant à des mots de passe enregistrés, de clients de messagerie récupérant des identifiants de serveur et de processus d'authentification de domaine. Les serveurs peuvent générer moins d'événements à moins qu'ils n'exécutent des applications qui accèdent fréquemment aux identifiants de compte de service stockés. Établissez une base de référence pour votre environnement afin d'identifier les schémas anormaux.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security auditing including credential access eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Credential Manager OverviewOfficial documentation on Windows credential storage and protection mechanismshttps://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-5615#credential-manager

Événements Windows associés

Windows domain controller monitoring dashboard showing Active Directory authentication events and security logs
Event 4776
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4776 – Microsoft-Windows-Security-Auditing : Authentification du compte d'ordinateur

L'ID d'événement 4776 enregistre les tentatives d'authentification des comptes d'ordinateur dans les environnements Active Directory, suivant la validation par le contrôleur de domaine des informations d'identification de l'ordinateur lors des processus de connexion.

18 mars9 min
Windows Security Event Viewer displaying Event ID 4625 authentication failure logs on a security monitoring dashboard
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les tentatives d'accès non autorisées, les attaques par force brute et résoudre les problèmes d'authentification sur les comptes de domaine et locaux.

18 mars12 min
ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos
Event 4771
Microsoft-Windows-Security-Auditing
Windows EventWarning

ID d'événement Windows 4771 – Microsoft-Windows-Security-Auditing : Échec de la pré-authentification Kerberos

L'ID d'événement 4771 indique un échec de pré-authentification Kerberos, généralement causé par des mots de passe incorrects, des comptes expirés ou des problèmes de synchronisation temporelle entre le client et le contrôleur de domaine.

18 mars12 min
Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...