ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security operations center showing Event Viewer with service installation monitoring and PowerShell security analysis
Event ID 7045InformationService Control ManagerWindows

ID d'événement Windows 7045 – Gestionnaire de contrôle des services : Nouvelle installation de service

L'ID d'événement 7045 se déclenche lorsqu'un nouveau service Windows est installé sur le système. Cet événement informatif enregistre les détails de création du service, y compris le nom, le chemin et le type de démarrage pour la surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 7045Service Control Manager 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 7045 représente l'un des événements informationnels les plus pertinents en matière de sécurité dans l'écosystème du journal des événements Windows. Généré par le Service Control Manager (SCM), cet événement crée un enregistrement immuable chaque fois qu'un nouveau service est enregistré dans la base de données des services Windows.

L'événement contient des données structurées, y compris le nom du service, le nom d'affichage, le chemin du fichier exécutable, le type de service, le mode de démarrage et le contexte de sécurité sous lequel le service fonctionnera. Ces informations s'avèrent inestimables pour les enquêtes judiciaires, les audits de conformité et la surveillance de la sécurité en temps réel.

Dans les environnements d'entreprise, l'ID d'événement 7045 permet aux administrateurs de suivre les déploiements de logiciels, de détecter les installations non autorisées et de maintenir un inventaire des services à travers leur infrastructure. L'événement se déclenche que l'installation du service réussisse ou échoue, offrant une visibilité complète sur les tentatives de création de services.

Les équipes de sécurité apprécient particulièrement cet événement car de nombreuses menaces persistantes avancées (APT) et familles de logiciels malveillants courants s'appuient sur l'installation de services pour maintenir la persistance sur les systèmes compromis. En surveillant les modèles de l'ID d'événement 7045, les analystes de sécurité peuvent identifier des installations de services suspectes qui dévient du comportement de base, telles que des services installés à partir de répertoires temporaires, des chemins de fichiers inhabituels ou avec des conventions de nommage suspectes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Installation de logiciels légitimes créant des services Windows
  • Mise à jour Windows installant des services système ou des pilotes
  • Déploiement administratif de services d'entreprise via la stratégie de groupe ou SCCM
  • Installation manuelle de services utilisant des commandes sc.exe ou PowerShell
  • Logiciel malveillant installant des mécanismes de persistance par la création de services
  • Logiciels de sécurité tiers enregistrant des services de surveillance
  • Installations de pilotes de périphériques incluant des composants de service
  • Mises à jour d'applications modifiant ou recréant des services existants
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 7045 pour comprendre quel service a été installé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 7045 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 7045 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 7045 pour examiner les détails
  6. Consultez l'onglet Général pour le nom du service, le chemin de l'exécutable et le type de démarrage
  7. Vérifiez l'onglet Détails pour des données structurées supplémentaires, y compris le SID de l'utilisateur qui a installé le service
Astuce pro : Faites particulièrement attention aux services installés à partir d'emplacements inhabituels comme %TEMP%, %APPDATA%, ou les répertoires system32, car ils indiquent souvent une activité malveillante.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les modèles d'ID d'événement 7045 et extraire des informations détaillées sur l'installation des services.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les installations de services récentes avec cette commande :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} -MaxEvents 50 | Select-Object TimeCreated, @{Name='ServiceName';Expression={$_.Properties[0].Value}}, @{Name='ImagePath';Expression={$_.Properties[1].Value}}, @{Name='ServiceType';Expression={$_.Properties[2].Value}}, @{Name='StartType';Expression={$_.Properties[3].Value}} | Format-Table -AutoSize
  1. Pour une analyse détaillée d'une période spécifique, utilisez :
$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=$StartTime}
$Events | ForEach-Object {
    [PSCustomObject]@{
        Time = $_.TimeCreated
        ServiceName = $_.Properties[0].Value
        ImagePath = $_.Properties[1].Value
        ServiceType = $_.Properties[2].Value
        StartType = $_.Properties[3].Value
        UserSID = $_.UserId
    }
} | Export-Csv -Path "C:\Temp\ServiceInstallations.csv" -NoTypeInformation
Avertissement : Enquêtez toujours sur les services avec des chemins d'exécution inhabituels ou ceux installés en dehors des fenêtres de déploiement de logiciels standard.
03

Corréler avec les événements de création de processus

Recoupez l'ID d'événement 7045 avec les événements de création de processus pour comprendre le contexte d'installation et identifier le processus parent responsable.

  1. Activez l'audit de création de processus si ce n'est pas déjà le cas :
auditpol /set /subcategory:"Process Creation" /success:enable
  1. Interrogez l'ID d'événement 4688 (Création de processus) autour du moment de l'installation du service :
$ServiceInstallTime = (Get-Date "2026-03-18 14:30:00")
$TimeWindow = 300 # 5 minutes
$StartTime = $ServiceInstallTime.AddSeconds(-$TimeWindow)
$EndTime = $ServiceInstallTime.AddSeconds($TimeWindow)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Properties[5].Value -like "*sc.exe*" -or $_.Properties[5].Value -like "*powershell*" -or $_.Properties[5].Value -like "*installutil*"} | Select-Object TimeCreated, @{Name='ProcessName';Expression={$_.Properties[5].Value}}, @{Name='CommandLine';Expression={$_.Properties[8].Value}}
  1. Vérifiez l'installation du service via .NET InstallUtil :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Properties[8].Value -like "*InstallUtil*"}
  1. Examinez le registre des services pour plus de détails :
Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services" | Where-Object {$_.PSChildName -eq "SuspiciousServiceName"} | Get-ItemProperty
04

Examiner l'exécutable de service et les signatures numériques

Analysez le fichier exécutable du service pour vérifier sa légitimité, ses signatures numériques et ses indicateurs potentiellement malveillants.

  1. Extrayez le chemin de l'exécutable du service à partir de l'ID d'événement 7045 et vérifiez sa signature numérique :
$ServicePath = "C:\Path\To\Service.exe"
$Signature = Get-AuthenticodeSignature -FilePath $ServicePath
Write-Host "Statut de la signature : $($Signature.Status)"
Write-Host "Signataire : $($Signature.SignerCertificate.Subject)"
Write-Host "Horodatage : $($Signature.TimeStamperCertificate.NotAfter)"
  1. Vérifiez les propriétés du fichier et les informations de version :
$FileInfo = Get-ItemProperty -Path $ServicePath
$VersionInfo = [System.Diagnostics.FileVersionInfo]::GetVersionInfo($ServicePath)
Write-Host "Version du fichier : $($VersionInfo.FileVersion)"
Write-Host "Nom du produit : $($VersionInfo.ProductName)"
Write-Host "Nom de l'entreprise : $($VersionInfo.CompanyName)"
Write-Host "Description du fichier : $($VersionInfo.FileDescription)"
  1. Calculez le hachage du fichier pour la recherche de renseignements sur les menaces :
$Hash = Get-FileHash -Path $ServicePath -Algorithm SHA256
Write-Host "Hachage SHA256 : $($Hash.Hash)"
  1. Vérifiez si l'exécutable se trouve dans un emplacement suspect :
$SuspiciousPaths = @("%TEMP%", "%APPDATA%", "C:\Users", "C:\ProgramData")
$IsSuspicious = $SuspiciousPaths | Where-Object {$ServicePath -like "*$_*"}
if ($IsSuspicious) {
    Write-Warning "L'exécutable du service se trouve dans un emplacement potentiellement suspect : $ServicePath"
}
Conseil pro : Les services légitimes résident généralement dans Program Files, Windows\System32 ou des répertoires spécifiques au fournisseur et doivent avoir des signatures numériques valides de la part d'éditeurs de confiance.
05

Chasse aux menaces avancée avec corrélation d'événements

Mettre en œuvre des techniques de corrélation avancées pour identifier les menaces sophistiquées qui utilisent l'installation de services dans le cadre d'une chaîne d'attaque plus large.

  1. Créer une chronologie complète des événements système autour de l'installation de services :
$TargetTime = (Get-Date "2026-03-18 14:30:00")
$TimeWindow = 1800 # 30 minutes
$StartTime = $TargetTime.AddSeconds(-$TimeWindow)
$EndTime = $TargetTime.AddSeconds($TimeWindow)

# Collecter plusieurs types d'événements
$Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventType';Expression={'ServiceInstall'}}, @{Name='Details';Expression={"Service: $($_.Properties[0].Value), Path: $($_.Properties[1].Value)"}}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventType';Expression={'ProcessCreation'}}, @{Name='Details';Expression={"Process: $($_.Properties[5].Value)"}}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventType';Expression={'Logon'}}, @{Name='Details';Expression={"User: $($_.Properties[5].Value), Type: $($_.Properties[8].Value)"}}

$Events | Sort-Object TimeCreated | Format-Table -AutoSize
  1. Analyser les modèles d'installation de services pour détecter des anomalies :
# Vérifier la présence de plusieurs services installés dans un court laps de temps
$RecentServices = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=(Get-Date).AddHours(-24)}
$ServicesByHour = $RecentServices | Group-Object {$_.TimeCreated.ToString("yyyy-MM-dd HH")} | Where-Object {$_.Count -gt 3}
if ($ServicesByHour) {
    Write-Warning "Activité d'installation de services inhabituelle détectée :"
    $ServicesByHour | ForEach-Object {
        Write-Host "$($_.Name): $($_.Count) services installés"
    }
}
  1. Vérifier les services présentant des caractéristiques suspectes :
$SuspiciousServices = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=(Get-Date).AddDays(-7)} | Where-Object {
    $ServiceName = $_.Properties[0].Value
    $ImagePath = $_.Properties[1].Value
    
    # Signaler les services avec des noms ou chemins suspects
    ($ServiceName -match "[0-9]{8,}" -or 
     $ServiceName -match "^[a-f0-9]{32}$" -or
     $ImagePath -like "*\temp\*" -or
     $ImagePath -like "*\appdata\*" -or
     $ImageName -like "*.tmp" -or
     $ServiceName.Length -lt 3)
}

if ($SuspiciousServices) {
    Write-Warning "Services potentiellement malveillants détectés :"
    $SuspiciousServices | ForEach-Object {
        Write-Host "Heure : $($_.TimeCreated), Service : $($_.Properties[0].Value), Chemin : $($_.Properties[1].Value)"
    }
}
  1. Exporter les résultats pour une analyse plus approfondie :
$Report = @()
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=(Get-Date).AddDays(-30)} | ForEach-Object {
    $Report += [PSCustomObject]@{
        Timestamp = $_.TimeCreated
        ServiceName = $_.Properties[0].Value
        ImagePath = $_.Properties[1].Value
        ServiceType = $_.Properties[2].Value
        StartType = $_.Properties[3].Value
        UserSID = $_.UserId
        Suspicious = ($_.Properties[1].Value -like "*\temp\*" -or $_.Properties[1].Value -like "*\appdata\*")
    }
}
$Report | Export-Csv -Path "C:\Temp\ServiceInstallationAnalysis.csv" -NoTypeInformation
Avertissement : Toujours corréler l'ID d'événement 7045 avec les connexions réseau, les modifications du système de fichiers et les modifications du registre pour obtenir une image complète des menaces potentielles.

Aperçu

L'ID d'événement 7045 du Gestionnaire de contrôle des services se déclenche chaque fois qu'un nouveau service Windows est installé sur votre système. Cet événement informatif capture des détails critiques sur la création de service, y compris le nom du service, le chemin de l'exécutable, le type de démarrage et le compte utilisateur qui a initié l'installation.

Cet événement apparaît dans le journal Système et sert de piste d'audit cruciale pour les équipes de sécurité surveillant les installations de services non autorisées. Les logiciels malveillants installent fréquemment des services pour la persistance, faisant de l'ID d'événement 7045 un indicateur clé pour la chasse aux menaces et les activités de réponse aux incidents.

L'événement se déclenche lors des installations logicielles légitimes, des mises à jour Windows et des déploiements de services administratifs. Cependant, il se déclenche également lorsque des logiciels malveillants tentent d'établir une persistance par la création de services. Les professionnels de la sécurité comptent sur cet événement pour détecter les installations de services suspectes, en particulier celles avec des chemins d'exécution inhabituels ou fonctionnant sous des comptes privilégiés.

Les systèmes modernes de détection des points de terminaison en 2026 surveillent fortement cet événement pour l'analyse comportementale, corrélant les installations de services avec les chaînes d'exécution de processus et l'activité réseau pour identifier les menaces potentielles.

Questions Fréquentes

Que signifie l'ID d'événement 7045 et pourquoi est-il important pour la sécurité ?+
L'ID d'événement 7045 indique qu'un nouveau service Windows a été installé sur le système. Cet événement est crucial pour la surveillance de la sécurité car les logiciels malveillants utilisent fréquemment l'installation de services comme mécanisme de persistance. L'événement enregistre le nom du service, le chemin de l'exécutable, le type de démarrage et le contexte d'installation, offrant aux équipes de sécurité une visibilité sur les déploiements de logiciels légitimes et les menaces potentielles. En 2026, cet événement reste l'un des indicateurs les plus surveillés pour la détection des menaces persistantes avancées et des logiciels malveillants courants.
Comment puis-je distinguer entre les installations de services légitimes et malveillantes dans l'ID d'événement 7045 ?+
Les services légitimes ont généralement plusieurs caractéristiques : ils sont installés à partir des répertoires Program Files ou Windows, ont des signatures numériques valides de la part d'éditeurs de confiance, utilisent des noms de service descriptifs et sont installés pendant les heures de bureau ou les fenêtres de maintenance. Les services malveillants présentent souvent des signaux d'alerte tels que l'installation à partir de répertoires temporaires (%TEMP%, %APPDATA%), l'absence de signatures numériques, des noms de service aléatoires ou cryptiques, une installation à des heures inhabituelles ou des chemins d'exécution dans les répertoires utilisateur. Toujours corréler l'installation avec les déploiements récents de logiciels ou les changements système.
L'ID d'événement 7045 peut-il m'aider à suivre les déploiements de logiciels dans mon entreprise ?+
Oui, l'ID d'événement 7045 sert de piste d'audit excellente pour les déploiements de logiciels d'entreprise. En centralisant ces événements via Windows Event Forwarding ou des solutions SIEM, vous pouvez suivre quels systèmes ont reçu de nouveaux services, quand les installations ont eu lieu, et identifier tout échec de déploiement ou installation non autorisée. Cela est particulièrement précieux pour les rapports de conformité, la gestion des changements, et pour assurer un déploiement logiciel cohérent à travers votre infrastructure. Les solutions de surveillance d'entreprise modernes en 2026 dépendent fortement de cet événement pour le suivi des déploiements et le maintien de la ligne de base de sécurité.
Quels sont les commandes PowerShell les plus efficaces pour analyser les modèles d'ID d'événement 7045 ?+
L'approche PowerShell la plus efficace combine Get-WinEvent avec un filtrage et une corrélation personnalisés. Utilisez 'Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045}' pour des requêtes de base, puis extrayez les détails du service en utilisant le tableau Properties. Pour l'analyse de motifs, regroupez les événements par périodes pour détecter des pics d'installation inhabituels, filtrez par chemins exécutables pour identifier des emplacements suspects, et corrélez avec l'ID d'événement 4688 (création de processus) pour comprendre le contexte d'installation. L'analyse avancée devrait inclure des calculs de hachage, la vérification de signatures numériques, et la corrélation de la chronologie avec d'autres événements de sécurité.
Comment dois-je configurer la surveillance et les alertes pour l'ID d'événement 7045 dans mon environnement ?+
Configurez la surveillance pour alerter sur des modèles spécifiques plutôt que sur chaque ID d'événement 7045, car les logiciels légitimes génèrent de nombreux de ces événements. Configurez des alertes pour les services installés à partir de chemins suspects (répertoires temporaires, dossiers utilisateurs), les services avec des noms aléatoires ou sans signatures numériques, les installations de services multiples en peu de temps, ou les installations en dehors des fenêtres de maintenance. Utilisez le transfert d'événements Windows pour centraliser les événements, implémentez des règles SIEM pour la détection de modèles, et établissez un comportement de référence pour identifier les anomalies. En 2026, intégrez avec des flux de renseignement sur les menaces pour signaler automatiquement les hachages ou chemins de services malveillants connus.
Documentation

Références (2)

1
Microsoft Learn - Windows Event Log ReferenceOfficial Microsoft documentation covering Windows Event Log architecture, event sources, and logging mechanisms including Service Control Manager events.https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
2
Microsoft Security - Advanced Threat HuntingMicrosoft's guidance on advanced threat hunting techniques including service installation monitoring and event correlation methodologies.https://learn.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-services#event-id-7045#security-monitoring

Événements Windows associés

Windows Services console showing running services on a monitoring dashboard
Event 2000
Service Control Manager
Windows EventInformation

ID d'événement Windows 2000 – Gestionnaire de contrôle des services : Service démarré avec succès

L'ID d'événement 2000 indique qu'un service Windows a démarré avec succès. Cet événement informatif aide les administrateurs à suivre les activités de démarrage des services et à résoudre les dépendances de service lors du démarrage du système ou des opérations manuelles de service.

18 mars9 min
Windows Services management console displaying service status and configuration on a monitoring dashboard
Event 63
Service Control Manager
Windows EventError

ID d'événement Windows 63 – Gestionnaire de contrôle des services : Délai d'attente de démarrage du service en attente

L'ID d'événement 63 indique qu'un service Windows n'a pas pu démarrer dans le délai de timeout configuré. Cet événement critique aide à identifier les problèmes de démarrage de service et les problèmes potentiels de performance du système.

18 mars12 min
Windows Services management console displaying service status on a professional monitoring dashboard
Event 31
Service Control Manager
Windows EventWarning

ID d'événement Windows 31 – Système : Délai d'attente du gestionnaire de contrôle des services

L'ID d'événement 31 indique qu'un service n'a pas répondu à une demande de démarrage ou de contrôle dans le délai imparti, généralement 30 secondes, ce qui amène le Gestionnaire de contrôle des services à enregistrer cet avertissement.

18 mars12 min
Windows Services management console and Event Viewer displaying service monitoring information on server room monitors
Event 7023
Service Control Manager
Windows EventError

ID d'événement Windows 7023 – Gestionnaire de contrôle des services : Service terminé avec erreur

L'ID d'événement 7023 indique qu'un service Windows s'est terminé de manière inattendue avec un code d'erreur. Cet événement critique nécessite une enquête immédiate pour identifier les services défaillants et prévenir l'instabilité du système.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...