ID d'événement Windows 903 – Microsoft-Windows-Kernel-General : Heure du système modifiée

Commencez par examiner les détails spécifiques de l'ID d'événement 903 pour comprendre ce qui a déclenché le changement d'heure.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 903 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
4. Entrez 903 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 903 pour voir les informations détaillées
6. Notez les valeurs Ancienne heure et Nouvelle heure dans les données de l'événement
7. Vérifiez l'ID de processus et le Nom du processus pour identifier ce qui a causé le changement

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=903} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Enquêtez sur la configuration du service de temps Windows pour déterminer si la synchronisation automatique provoque des changements d'heure fréquents.

1. Ouvrez une session de commande ou PowerShell avec élévation de privilèges
2. Vérifiez la configuration actuelle du service de temps :

w32tm /query /configuration

3. Examinez l'état de la synchronisation du temps :

w32tm /query /status

4. Vérifiez les pairs de synchronisation du temps :

w32tm /query /peers

5. Pour les ordinateurs joints à un domaine, vérifiez la synchronisation de la hiérarchie du domaine :

w32tm /query /source

6. Examinez les paramètres de stratégie de groupe affectant la synchronisation du temps dans Configuration de l'ordinateur\Modèles d'administration\Système\Service de temps Windows
7. Vérifiez le registre pour la configuration du service de temps à HKLM\SYSTEM\CurrentControlSet\Services\W32Time

Créer une analyse complète des modèles de changement de temps pour identifier les tendances et les problèmes potentiels.

1. Utilisez PowerShell pour extraire des informations détaillées sur les changements de temps :

# Obtenez les entrées d'ID d'événement 903 des 30 derniers jours
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=903; StartTime=(Get-Date).AddDays(-30)}

# Analyser les données d'événement pour l'analyse
$TimeChanges = foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $OldTime = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'OldTime'} | Select-Object -ExpandProperty '#text'
    $NewTime = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'NewTime'} | Select-Object -ExpandProperty '#text'
    
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        OldTime = [DateTime]::FromFileTime($OldTime)
        NewTime = [DateTime]::FromFileTime($NewTime)
        TimeDifference = ([DateTime]::FromFileTime($NewTime) - [DateTime]::FromFileTime($OldTime)).TotalSeconds
    }
}

# Afficher les résultats
$TimeChanges | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

2. Analysez la fréquence et l'ampleur des changements de temps :

# Regrouper par jour pour identifier les modèles
$TimeChanges | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count | Sort-Object Name -Descending

3. Exporter les résultats pour une analyse plus approfondie :

$TimeChanges | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation

Configurez une surveillance complète pour suivre et alerter sur les changements d'heure suspects à des fins de sécurité.

1. Activez la stratégie d'audit avancée pour les changements d'heure en utilisant la stratégie de groupe ou la stratégie de sécurité locale :
2. Ouvrez Stratégie de sécurité locale (secpol.msc) ou Gestion des stratégies de groupe
3. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée
4. Activez Audit de l'intégrité du système sous la catégorie Système
5. Créez un script PowerShell pour la surveillance en temps réel :

# Surveillance en temps réel de l'ID d'événement 903
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='System' AND EventCode=903" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $Message = "Changement d'heure détecté à {0}: {1}" -f $Event.TimeGenerated, $Event.Message
    Write-Host $Message -ForegroundColor Yellow
    
    # Optionnel : Envoyer une alerte par email ou enregistrer à un emplacement personnalisé
    Add-Content -Path "C:\Logs\TimeChangeAlerts.log" -Value "$(Get-Date): $Message"
}

6. Configurez le transfert d'événements Windows (WEF) pour centraliser les événements de changement d'heure :

# Configurer l'abonnement au transfert d'événements
wecutil cs TimeChangeSubscription.xml

7. Configurez le Planificateur de tâches pour déclencher des actions sur l'ID d'événement 903 :
8. Ouvrez Planificateur de tâches et créez une nouvelle tâche
9. Définissez le déclencheur sur Sur un événement avec Journal : Système, Source : Microsoft-Windows-Kernel-General, ID d'événement : 903
10. Configurez les actions appropriées telles que l'exécution de scripts ou l'envoi de notifications

Effectuer une analyse avancée pour déterminer si les changements d'heure représentent des menaces de sécurité ou des violations de conformité.

1. Corréler l'ID d'événement 903 avec les événements de sécurité en utilisant PowerShell :

# Corréler les changements d'heure avec les événements de connexion
$TimeChanges = Get-WinEvent -FilterHashtable @{LogName='System'; Id=903; StartTime=(Get-Date).AddDays(-7)}
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=(Get-Date).AddDays(-7)}

# Trouver les événements de connexion dans les 5 minutes suivant les changements d'heure
foreach ($TimeChange in $TimeChanges) {
    $StartWindow = $TimeChange.TimeCreated.AddMinutes(-5)
    $EndWindow = $TimeChange.TimeCreated.AddMinutes(5)
    
    $RelatedLogons = $LogonEvents | Where-Object {
        $_.TimeCreated -ge $StartWindow -and $_.TimeCreated -le $EndWindow
    }
    
    if ($RelatedLogons) {
        Write-Host "Changement d'heure à $($TimeChange.TimeCreated) corrèle avec $($RelatedLogons.Count) événements de connexion" -ForegroundColor Red
    }
}

2. Vérifier les tentatives d'escalade de privilèges autour des changements d'heure :

# Rechercher les événements d'utilisation de privilèges (4672, 4673, 4674)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674; StartTime=(Get-Date).AddDays(-7)} | Where-Object {
    $TimeChange = $TimeChanges | Where-Object {[Math]::Abs(($_.TimeCreated - $Event.TimeCreated).TotalMinutes) -lt 10}
    return $TimeChange -ne $null
}

3. Analyser le contexte d'exécution des processus pour les changements d'heure :

# Extraire les informations de processus de l'ID d'événement 903
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=903} -MaxEvents 50
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $ProcessId = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    $ProcessName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    
    Write-Host "Heure changée par le processus : $ProcessName (PID : $ProcessId) à $($Event.TimeCreated)"
}

4. Examiner les modifications du registre liées aux paramètres de temps :
5. Vérifier HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation pour les changements non autorisés
6. Surveiller HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters pour les manipulations de configuration
7. Utiliser Process Monitor (ProcMon) pour suivre en temps réel l'accès au registre aux clés liées au temps