Windows Event Viewer displaying system time change events on a professional monitoring dashboard

Event ID 8301InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 8301 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 8301 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 8301Microsoft-Windows-Kernel-General 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 8301 représente un événement d'audit système fondamental qui suit toutes les modifications de l'horloge système. Le noyau Windows génère cet événement via le fournisseur Microsoft-Windows-Kernel-General chaque fois que l'API SetSystemTime est appelée ou lorsque le service de temps Windows ajuste l'horloge.

L'événement contient des informations détaillées, y compris l'heure système précédente, la nouvelle heure système et l'ID du processus responsable du changement. Cette journalisation granulaire aide les administrateurs à distinguer entre la synchronisation automatique légitime et les ajustements manuels potentiellement malveillants.

Dans les environnements Active Directory, cet événement apparaît fréquemment lors des cycles de synchronisation NTP normaux. Les contrôleurs de domaine et les serveurs membres ajustent régulièrement leurs horloges pour maintenir la précision temporelle au sein de la forêt. Cependant, des occurrences excessives peuvent indiquer des problèmes de connectivité réseau, des sources de temps mal configurées ou une dérive de l'horloge matérielle.

Les implications de sécurité de l'ID d'événement 8301 vont au-delà du simple suivi du temps. Les attaquants peuvent manipuler l'heure système pour échapper aux systèmes de détection qui reposent sur la corrélation des horodatages, contourner les jetons d'authentification basés sur le temps ou interférer avec les processus de validation des certificats. La surveillance de cet événement aide à détecter de telles tentatives de manipulation et assure l'intégrité des journaux d'audit.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Ajustement manuel de l'heure via les paramètres de Date et Heure ou timedate.cpl
Synchronisation automatique du service de temps Windows (W32Time) avec les serveurs NTP
Synchronisation de l'heure du contrôleur de domaine dans les environnements Active Directory
Logiciel de synchronisation de temps tiers effectuant des modifications de l'heure système
Correction de la dérive de l'horloge matérielle lors du démarrage du système ou de la reprise après veille
Changements de fuseau horaire affectant l'heure locale affichée
Ajustements de synchronisation de l'heure de la plateforme de virtualisation
Logiciel malveillant tentant de manipuler l'heure système pour l'évasion

Méthodes de résolution

Étapes de dépannage

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 8301 pour comprendre le contexte du changement d'heure.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Système
Filtrez pour l'ID d'événement 8301 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
Entrez 8301 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur les événements récents 8301 pour voir les détails, y compris l'heure ancienne, l'heure nouvelle et les informations sur le processus
Notez la fréquence et les modèles de synchronisation de ces événements

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=8301} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize

Vérifier la configuration du service de temps Windows

Vérifiez les paramètres du service de temps Windows pour déterminer si la synchronisation automatique provoque les changements d'heure.

Ouvrez l'invite de commande en tant qu'administrateur
Vérifiez la configuration actuelle du service de temps :

w32tm /query /configuration

Examinez la source de temps et les paramètres de synchronisation :

w32tm /query /source
w32tm /query /status

Vérifiez les journaux d'événements du service de temps :

Get-WinEvent -LogName 'System' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Time-Service']]]" -MaxEvents 20

Pour les ordinateurs joints à un domaine, vérifiez la synchronisation de l'heure du contrôleur de domaine :

w32tm /monitor /domain

Astuce pro : Utilisez w32tm /resync /rediscover pour forcer une synchronisation immédiate de l'heure et observez si l'ID d'événement 8301 apparaît.

Analyser le processus responsable des changements d'heure

Identifiez quels processus modifient l'heure du système pour distinguer entre une activité légitime et suspecte.

Utilisez PowerShell pour extraire des informations détaillées sur les événements :

$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8301} -MaxEvents 20
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $ProcessId = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    Write-Host "Time: $($Event.TimeCreated) - Process ID: $ProcessId"
}

Recoupez les identifiants de processus avec les processus en cours d'exécution :

Get-Process | Where-Object {$_.Id -in @(ProcessIdsFromEvents)} | Select-Object Id, ProcessName, Path

Vérifiez les processus suspects ou les manipulations de temps inattendues :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4616} -MaxEvents 10 | Format-Table TimeCreated, Id, Message -Wrap

Examinez les événements de démarrage du système pour les corréler avec les changements de temps :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(6005,6006,6009)} -MaxEvents 10

Avertissement : Des changements fréquents de temps par des processus inattendus peuvent indiquer un logiciel malveillant tentant d'échapper aux systèmes de détection.

Configurer l'audit et la surveillance des changements d'heure

Mettre en œuvre une surveillance complète pour suivre et alerter sur les changements d'heure suspects.

Activer l'audit avancé des changements d'heure via la stratégie de groupe ou le registre :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'AuditBaseObjects' -Value 1 -Type DWord

Créer un script PowerShell pour une surveillance continue :

# TimeChangeMonitor.ps1
$LastCheck = (Get-Date).AddHours(-1)
while ($true) {
    $NewEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8301; StartTime=$LastCheck}
    if ($NewEvents) {
        foreach ($Event in $NewEvents) {
            Write-Warning "Changement d'heure détecté à $($Event.TimeCreated)"
            # Ajouter la logique d'alerte ici
        }
    }
    $LastCheck = Get-Date
    Start-Sleep -Seconds 300
}

Configurer le transfert des événements Windows pour une surveillance centralisée :

wecutil qc /q
wecutil cs TimeChangeSubscription.xml

Configurer l'intégration SIEM en utilisant le transfert du journal des événements Windows ou des agents
Créer des vues de journal d'événements personnalisées pour l'analyse des changements d'heure :

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[EventID=8301]]</Select>
  </Query>
</QueryList>

Examiner les implications de sécurité et la remédiation

Effectuer une analyse de sécurité complète lorsque des changements d'heure suspects sont détectés.

Vérifiez la corrélation avec d'autres événements de sécurité :

# Rechercher des événements de connexion autour des changements d'heure
$TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8301} -MaxEvents 5
foreach ($Event in $TimeChangeEvents) {
    $StartTime = $Event.TimeCreated.AddMinutes(-10)
    $EndTime = $Event.TimeCreated.AddMinutes(10)
    $SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4624,4625,4648); StartTime=$StartTime; EndTime=$EndTime}
    Write-Host "Changement d'heure à $($Event.TimeCreated) - Événements de sécurité liés : $($SecurityEvents.Count)"
}

Analyser la validation des certificats et les problèmes de tickets Kerberos :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(40960,40961)} -MaxEvents 10

Examiner les horodatages du système de fichiers pour détecter des manipulations :

Get-ChildItem C:\Windows\System32 -File | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)} | Sort-Object LastWriteTime -Descending

Mettre en œuvre des restrictions de changement d'heure via la stratégie de groupe :
Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques locales → Attribution des droits utilisateur
Modifier la politique Changer l'heure du système pour restreindre l'accès
Activer Auditer les événements système dans Stratégie d'audit

Déployer le renforcement de la synchronisation de l'heure :

w32tm /config /manualpeerlist:"time.nist.gov,0x1" /syncfromflags:manual /reliable:yes /update

Avertissement : Les changements d'heure non autorisés peuvent indiquer des menaces persistantes avancées tentant d'échapper à la détection ou de manipuler les pistes d'audit.

Aperçu

L'ID d'événement 8301 de Microsoft-Windows-Kernel-General se connecte chaque fois que l'heure système change sur une machine Windows. Cet événement capture à la fois les ajustements manuels de l'heure et la synchronisation automatique de l'heure via le service de temps Windows (W32Time). L'événement enregistre l'ancienne heure, la nouvelle heure et le processus responsable du changement.

Cet événement apparaît dans le journal Système et fournit des informations d'audit cruciales pour les équipes de sécurité enquêtant sur des attaques potentielles de manipulation du temps ou dépannant des applications qui dépendent de timestamps précis. Dans les environnements de domaine, des événements 8301 fréquents peuvent indiquer des problèmes de synchronisation NTP ou des problèmes de connectivité du contrôleur de domaine.

L'événement devient particulièrement important dans les environnements nécessitant une précision temporelle stricte, tels que les systèmes financiers, les domaines Active Directory ou les réseaux réglementés par la conformité. Les équipes de sécurité surveillent cet événement pour détecter les changements d'heure non autorisés qui pourraient être utilisés pour échapper à la corrélation des journaux ou manipuler des mécanismes d'authentification sensibles au temps.

Questions Fréquentes

Que signifie l'ID d'événement Windows 8301 et pourquoi est-il important ?+

L'ID d'événement 8301 indique que l'heure système a été modifiée sur un ordinateur Windows. C'est important car cela fournit une piste d'audit de toutes les modifications de l'heure, qu'elles soient manuelles ou automatiques. Cet événement aide les équipes de sécurité à détecter les manipulations de l'heure non autorisées qui pourraient être utilisées pour échapper aux systèmes de détection, contourner l'authentification basée sur le temps ou interférer avec la corrélation des journaux. Dans les environnements d'entreprise, il aide également à résoudre les problèmes de synchronisation de l'heure qui peuvent affecter l'authentification Active Directory et les applications distribuées.

Comment puis-je distinguer entre une synchronisation automatique de l'heure légitime et des changements manuels de l'heure suspects ?+

Examinez les informations de processus dans les détails de l'ID d'événement 8301. La synchronisation automatique légitime montre généralement le service de temps Windows (w32time) ou les processus système comme source. Les modifications manuelles montrent souvent les processus explorer.exe ou timedate.cpl. Vérifiez l'ampleur des changements de temps - de petits ajustements (secondes ou minutes) indiquent généralement une synchronisation NTP normale, tandis que de grands changements (heures ou jours) peuvent être suspects. Examinez également la fréquence - la synchronisation automatique se produit à intervalles réguliers, tandis que les changements manuels sont sporadiques et souvent corrélés avec les sessions de connexion utilisateur.

Pourquoi vois-je fréquemment des entrées d'ID d'événement 8301 dans mon environnement de domaine ?+

Les entrées fréquentes de l'ID d'événement 8301 dans les environnements de domaine résultent généralement de la synchronisation temporelle normale d'Active Directory. Les contrôleurs de domaine et les serveurs membres synchronisent régulièrement l'heure pour maintenir les exigences d'authentification Kerberos (la tolérance par défaut est de 5 minutes). Cependant, des entrées excessives peuvent indiquer des problèmes de connectivité réseau avec les contrôleurs de domaine, des sources NTP mal configurées, une dérive de l'horloge matérielle ou des conflits de synchronisation temporelle de la plateforme de virtualisation. Vérifiez la hiérarchie de vos contrôleurs de domaine, la configuration NTP et la connectivité réseau aux contrôleurs de domaine.

L'ID d'événement 8301 peut-il aider à détecter des logiciels malveillants ou des menaces de sécurité ?+

Oui, l'ID d'événement 8301 peut être précieux pour la détection des menaces. Les logiciels malveillants manipulent parfois l'heure système pour échapper aux systèmes de détection qui reposent sur la corrélation des horodatages, contourner les jetons de sécurité basés sur le temps ou interférer avec la validation des certificats. Recherchez des modèles inhabituels tels que des changements d'heure par des processus inattendus, des ajustements de temps importants sans activité utilisateur correspondante, ou des changements d'heure qui coïncident avec d'autres événements suspects. Mettez en place une surveillance pour alerter sur les changements d'heure en dehors des heures de bureau normales ou par des processus non administratifs.

Comment devrais-je configurer la surveillance et les alertes pour l'ID d'événement 8301 dans un environnement de production ?+

Configurez la surveillance de l'ID d'événement 8301 en configurant le transfert d'événements Windows pour centraliser les journaux, en créant des filtres de journaux d'événements personnalisés pour l'analyse des changements de temps, et en mettant en œuvre l'intégration SIEM pour la corrélation avec d'autres événements de sécurité. Établissez des bases de référence pour les modèles de synchronisation temporelle normaux dans votre environnement, puis créez des alertes pour les écarts tels que les changements de temps manuels, les ajustements de temps importants ou les changements par des processus inattendus. Envisagez de mettre en œuvre des restrictions de stratégie de groupe sur le droit utilisateur 'Modifier l'heure du système' et activez la journalisation d'audit complète pour les événements système afin d'assurer une visibilité complète des activités liées au temps.

Documentation

Références (2)

Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/

Microsoft Security Compliance ToolkitSecurity baseline recommendations including time synchronization and audit policy configurations for Windows systems.https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 16388

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min

Windows Event Viewer showing system event logs on a monitoring dashboard

Event 16384

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min

Windows Event Viewer displaying system time change events on a monitoring dashboard

Event 11728

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min

Event 11724

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...