Annexe L : Événements à surveiller
Le tableau suivant répertorie les événements que vous devez surveiller dans votre environnement, conformément aux recommandations fournies dans Surveillance des signes de compromission d’Active Directory. Dans le tableau suivant, la colonne « ID d’événement Windows actuel » répertorie l’ID d’événement tel qu’il est implémenté dans les versions de Windows et de Windows Server qui se trouvent actuellement dans le support standard.
La colonne « ID d’événement Windows hérité » répertorie l’ID d’événement correspondant dans les versions héritées de Windows, telles que les ordinateurs clients exécutant Windows XP ou une version antérieure et les serveurs exécutant Windows Server 2003 ou une version antérieure. La colonne « Importance potentielle » indique si l’événement a une importance faible, moyenne ou élevée dans la détection des attaques et la colonne « Résumé de l’événement » fournit une brève description de l’événement.
Une importance potentielle élevée signifie qu’une occurrence de l’événement doit être examinée. Une importance potentielle moyenne ou faible signifie que ces événements doivent seulement être analysés s’ils se produisent de manière inattendue un nombre de fois qui dépasse considérablement le nombre de référence attendu dans un laps de temps mesuré. Toutes les organisations doivent tester ces recommandations dans leurs environnements avant de créer des alertes qui requièrent obligatoirement une investigation. Chaque environnement est différent. Certains événements classés avec une importance potentielle élevée peuvent se produire en raison d’autres événements inoffensifs.
| ID d’événement Windows actuel | ID d’événement Windows hérité | Importance potentielle | Résumé de l’événement |
|---|---|---|---|
| 4618 | N/A | Élevé | Un modèle d’événement de sécurité supervisé s’est produit. |
| 4649 | N/A | Élevé | Détection d’une attaque par relecture. Il peut s’agir d’un faux positif inoffensif en raison d’une mauvaise configuration. |
| 4719 | 612 | Élevé | La stratégie d’audit du système a été modifiée. |
| 4765 | N/A | Élevé | L’historique SID a été ajouté à un compte. |
| 4766 | N/A | Élevé | Échec d’une tentative d’ajout de l’historique SID à un compte. |
| 4794 | N/A | Élevé | Une tentative de définition du mode de restauration des services d’annuaire a été effectuée. |
| 4897 | 801 | Élevé | Séparation de rôle activée : |
| 4964 | N/A | Élevé | Des groupes spéciaux ont été attribués à une nouvelle session. |
| 5124 | N/A | Élevé | Un paramètre de sécurité a été mis à jour sur le service de répondeur OCSP |
| N/A | 550 | Moyen à élevé | Attaques par déni de service (DoS) possible |
| 1102 | 517 | Moyen à élevé | Le journal d’audit a été effacé |
| 4621 | N/A | Moyenne | L’administrateur a récupéré le système à partir de CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs sont désormais autorisés à se connecter. Certaines activités pouvant être auditées n’ont peut-être pas été enregistrées. |
| 4675 | N/A | Moyenne | Les SID ont été filtrés. |
| 4692 | N/A | Moyenne | Une tentative de sauvegarde de la clé principale de protection des données a été effectuée. |
| 4693 | N/A | Moyenne | Une tentative de récupération de la clé principale de protection des données a été effectuée. |
| 4706 | 610 | Moyenne | Une nouvelle approbation a été créée sur un domaine. |
| 4713 | 617 | Moyenne | La stratégie Kerberos a été modifiée. |
| 4714 | 618 | Moyenne | La stratégie de récupération de données chiffrée a été modifiée. |
| 4715 | N/A | Moyenne | La stratégie d'audit (SACL) sur un objet a été modifiée. |
| 4716 | 620 | Moyenne | Les informations de domaine approuvé ont été modifiées. |
| 4724 | 628 | Moyenne | Une tentative de réinitialisation du mot de passe d’un compte a été effectuée. |
| 4727 | 631 | Moyenne | Un groupe global sécurisé a été créé. |
| 4735 | 639 | Moyenne | Un groupe local sécurisé a été modifié. |
| 4737 | 641 | Moyenne | Un groupe global sécurisé a été modifié. |
| 4739 | 643 | Moyenne | La stratégie de domaine a été modifiée. |
| 4754 | 658 | Moyenne | Un groupe universel sécurisé a été créé. |
| 4755 | 659 | Moyenne | Un groupe universel sécurisé a été modifié. |
| 4764 | 667 | Moyenne | Un groupe non sécurisé a été supprimé |
| 4764 | 668 | Moyenne | Le type d’un groupe a été modifié. |
| 4780 | 684 | Moyenne | La liste de contrôle d’accès a été définie sur les comptes qui sont membres de groupes Administrateurs. |
| 4816 | N/A | Moyenne | RPC a détecté une violation d’intégrité lors du déchiffrement d’un message entrant. |
| 4865 | N/A | Moyenne | Une entrée d’informations de forêt approuvée a été ajoutée. |
| 4866 | N/A | Moyenne | Une entrée d’informations de forêt approuvée a été supprimée. |
| 4867 | N/A | Moyenne | Une entrée d’informations de forêt approuvée a été modifiée. |
| 4868 | 772 | Moyenne | Le gestionnaire de certificats a refusé une requête de certificat en cours. |
| 4870 | 774 | Moyenne | Les services de certificats ont révoqué un certificat. |
| 4882 | 786 | Moyenne | Les autorisations de sécurité des services de certificats ont changé. |
| 4885 | 789 | Moyenne | Le filtre d’audit des services de certificats a changé. |
| 4890 | 794 | Moyenne | Les paramètres du gestionnaire de certificats des services de certificats ont changé. |
| 4892 | 796 | Moyenne | La propriété des services de certificats a changé. |
| 4896 | 800 | Moyenne | Une ou plusieurs rangées ont été supprimées de la base de données de certificats. |
| 4906 | N/A | Moyenne | La valeur de CrashOnAuditFail a été modifiée. |
| 4907 | N/A | Moyenne | Les paramètres d’audit sur l’objet ont été modifiés. |
| 4908 | N/A | Moyenne | La table de connexion des groupes spéciaux a été modifiée. |
| 4912 | 807 | Moyenne | La stratégie d’audit par utilisateur a été modifiée. |
| 4960 | N/A | Moyenne | IPsec a annulé un paquet entrant ayant échoué une vérification d’intégrité. Si ce problème persiste, il peut indiquer un problème réseau ou que les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec. |
| 4961 | N/A | Moyenne | IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Si ce problème persiste, il peut indiquer une attaque de relecture contre cet ordinateur. |
| 4962 | N/A | Moyenne | IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Le paquet entrant avait un nombre de séquences trop faible pour s’assurer qu’il n’était pas une relecture. |
| 4963 | N/A | Moyenne | IPsec a annulé un paquet de texte clair entrant qui aurait dû être sécurisé. Cela est généralement dû au changement de stratégie IPsec de l’ordinateur distant sans informer cet ordinateur. Cela peut également être une tentative d’attaque d’usurpation. |
| 4965 | N/A | Moyenne | IPsec a reçu un paquet d’un ordinateur distant avec un index de paramètre de sécurité (SPI) incorrect. Cela est généralement dû à un mauvais fonctionnement du matériel qui endommage les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec. Dans ce cas, si la connectivité n’est pas empêchée, ces événements peuvent être ignorés. |
| 4976 | N/A | Moyenne | Pendant la négociation en mode principal, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4977 | N/A | Moyenne | Pendant la négociation en mode rapide, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4978 | N/A | Moyenne | Pendant la négociation en mode étendu, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4983 | N/A | Moyenne | Échec d'une négociation en mode étendu IPsec. L'association de sécurité en mode principal correspondante a été supprimée. |
| 4984 | N/A | Moyenne | Échec d'une négociation en mode étendu IPsec. L'association de sécurité en mode principal correspondante a été supprimée. |
| 5027 | N/A | Moyenne | Le service Pare-feu Windows n’a pas réussi à récupérer la stratégie de sécurité du stockage local. Il va continuer à appliquer la stratégie active. |
| 5028 | N/A | Moyenne | Le service Pare-feu Windows n’a pas réussi à analyser la nouvelle stratégie de sécurité. Il va continuer à appliquer la stratégie active. |
| 5029 | N/A | Moyenne | Le service Pare-feu Windows n’a pas pu initialiser le lecteur. Il va continuer à appliquer la stratégie active. |
| 5030 | N/A | Moyenne | Le démarrage du service Pare-feu Windows a échoué. |
| 5035 | N/A | Moyenne | Le démarrage du pilote du Pare-feu Windows a échoué. |
| 5037 | N/A | Moyenne | Le pilote du Pare-feu Windows a détecté une erreur d’exécution critique. Arrêt en cours. |
| 5038 | N/A | Moyenne | L’intégrité du code a déterminé que le hachage d’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée, ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle. |
| 5120 | N/A | Moyenne | Service de répondeur OCSP démarré |
| 5121 | N/A | Moyenne | Service de répondeur OCSP arrêté |
| 5122 | N/A | Moyenne | Une entrée de configuration a été modifiée dans le service de répondeur OCSP |
| 5123 | N/A | Moyenne | Une entrée de configuration a été modifiée dans le service de répondeur OCSP |
| 5376 | N/A | Moyenne | Les informations d’identification du gestionnaire d’informations d’identification ont été sauvegardées. |
| 5377 | N/A | Moyenne | Les informations d’identification du gestionnaire d’informations d’identification ont été restaurées à partir d’une sauvegarde. |
| 5453 | N/A | Moyenne | Une négociation IPsec avec un ordinateur distant a échoué, car le service des modules de génération de clés IKE et AuthIP (IKEEXT) n’est pas démarré. |
| 5480 | N/A | Moyenne | IPsec Services n’a pas pu obtenir la liste complète des interfaces réseau sur l’ordinateur. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème. |
| 5483 | N/A | Moyenne | IPsec Services n’a pas pu initialiser le serveur RPC. IPsec Services n’a pas pu être démarré. |
| 5484 | N/A | Moyenne | IPsec Services a rencontré une défaillance critique et a été arrêté. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels. |
| 5485 | N/A | Moyenne | IPsec Services n’a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème. |
| 5827 | N/A | Moyenne | Le service Netlogon a refusé une connexion du canal sécurisé Netlogon vulnérable à partir d’un compte d’ordinateur. |
| 5828 | N/A | Moyenne | Le service Netlogon a refusé une connexion du canal sécurisé Netlogon vulnérable à partir d’un compte d’approbation. |
| 6145 | N/A | Moyenne | Une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe. |
| 6273 | N/A | Moyenne | Le serveur de stratégie réseau a refusé l’accès à un utilisateur. |
| 6274 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a ignoré la requête d’un utilisateur. |
| 6275 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a ignoré la requête de gestion des comptes d’un utilisateur. |
| 6276 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a mis en quarantaine un utilisateur. |
| 6277 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a accordé l’accès à un utilisateur, mais l’a mis en probation, car l’hôte ne répondait pas à la stratégie de contrôle d’intégrité définie. |
| 6278 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a accordé un accès complet à un utilisateur, car l’hôte répondait à la stratégie de contrôle d'intégrité définie. |
| 6279 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a verrouillé le compte d’utilisateur en raison d’échecs répétés de tentatives d’authentification. |
| 6280 | N/A | Moyenne | Le serveur NPS (Network Policy Server) a déverrouillé le compte d’utilisateur. |
| - | 640 | Moyenne | La base de données de compte générale a été modifiée |
| - | 619 | Moyenne | La stratégie de qualité de service (QoS) a été modifiée |
| 24586 | N/A | Moyenne | Une erreur s’est produite lors de la conversion du volume |
| 24592 | N/A | Moyenne | Échec d’une tentative de redémarrage automatique de la conversion du volume %2. |
| 24593 | N/A | Moyenne | Écriture de métadonnées : volume %2 renvoyant des erreurs lors de la tentative de modification des métadonnées. Si les échecs se poursuivent, déchiffrez le volume |
| 24594 | N/A | Moyenne | Reconstruction des métadonnées : une tentative d’écriture d’une copie des métadonnées sur le volume %2 a échoué et peut apparaître comme une altération du disque. Si les échecs se poursuivent, déchiffrez le volume. |
| 4608 | 512 | Faible | Démarrage de Windows. |
| 4609 | 513 | Faible | Arrêt de Windows. |
| 4610 | 514 | Faible | Un package d’authentification a été chargé par l’autorité de sécurité locale. |
| 4611 | 515 | Faible | Un processus d’ouverture de session approuvé a été inscrit auprès de l’autorité de sécurité locale. |
| 4612 | 516 | Faible | Les ressources internes allouées à la file d’attente des messages d’audit sont épuisées. Certains audits ont été perdus. |
| 4614 | 518 | Faible | Un package de notification a été chargé par le gestionnaire de compte de sécurité. |
| 4615 | 519 | Faible | Utilisation non valide du port LPC. |
| 4616 | 520 | Faible | L’heure système a été modifiée. |
| 4622 | N/A | Faible | Un package de sécurité a été chargé par l’autorité de sécurité locale. |
| 4624 | 528,540 | Faible | L’ouverture de session d’un compte s’est correctement déroulée. |
| 4625 | 529-537,539 | Faible | Échec de connexion d’un compte. |
| 4634 | 538 | Faible | Fermeture de session d’un compte. |
| 4646 | N/A | Faible | Le mode de prévention IKE DoS a démarré. |
| 4647 | 551 | Faible | Déconnexion initiée par l’utilisateur. |
| 4648 | 552 | Faible | Une connexion a été tentée à l’aide d’informations d’identification explicites. |
| 4650 | N/A | Faible | Une association de sécurité en mode principal IPsec a été établie. Le mode étendu n’a pas été activé. L’authentification par certificat n’a pas été utilisée. |
| 4651 | N/A | Faible | Une association de sécurité en mode principal IPsec a été établie. Le mode étendu n’a pas été activé. Un certificat a été utilisé pour l’authentification. |
| 4652 | N/A | Faible | Échec d'une négociation en mode principal IPsec. |
| 4653 | N/A | Faible | Échec d'une négociation en mode principal IPsec. |
| 4654 | N/A | Faible | Échec d'une négociation en mode rapide IPsec. |
| 4655 | N/A | Faible | Une association de sécurité en mode principal IPsec s’est terminée. |
| 4656 | 560 | Faible | Un descripteur d’objet a été demandé. |
| 4657 | 567 | Faible | Une valeur de registre a été modifiée. |
| 4658 | 562 | Faible | Un descripteur d’objet a été fermé. |
| 4659 | N/A | Faible | Un descripteur d’objet a été demandé avec l’intention de supprimer. |
| 4660 | 564 | Faible | Un objet a été supprimé. |
| 4661 | 565 | Faible | Un descripteur d’objet a été demandé. |
| 4662 | 566 | Faible | Une opération a été effectuée sur un objet. |
| 4663 | 567 | Faible | Une tentative d’accès à un objet a été effectuée. |
| 4664 | N/A | Faible | Une tentative de création d’une liaison fixe a été effectuée. |
| 4665 | N/A | Faible | Une tentative de création d’un contexte client d’application a été effectuée. |
| 4666 | N/A | Faible | Une application a tenté une opération : |
| 4667 | N/A | Faible | Un contexte client d’application a été supprimé. |
| 4668 | N/A | Faible | Une application a été initialisée. |
| 4670 | N/A | Faible | Les autorisations sur un objet ont été modifiées. |
| 4671 | N/A | Faible | Une application a tenté d’accéder à un ordinal bloqué via le service TBS. |
| 4672 | 576 | Faible | Privilèges spéciaux assignés à la nouvelle session. |
| 4673 | 577 | Faible | Un service privilégié a été appelé. |
| 4674 | 578 | Faible | Une opération a été tentée sur un objet privilégié. |
| 4688 | 592 | Faible | Un processus a été créé. |
| 4689 | 593 | Faible | Un processus s'est arrêté. |
| 4690 | 594 | Faible | Un descripteur d’objet a fait l’objet d’une tentative de duplication. |
| 4691 | 595 | Faible | L’accès indirect à un objet a été demandé. |
| 4694 | N/A | Faible | Une tentative de protection des données protégées pouvant être auditées a été effectuée. |
| 4695 | N/A | Faible | Une tentative de déprotection des données protégées pouvant être auditées a été effectuée. |
| 4696 | 600 | Faible | Un jeton principal a été assigné au processus. |
| 4697 | 601 | Faible | Tentative d’installation d’un service |
| 4698 | 602 | Faible | Une tâche planifiée a été créée. |
| 4699 | 602 | Faible | Une tâche planifiée a été supprimée. |
| 4700 | 602 | Faible | Une tâche planifiée a été activée. |
| 4701 | 602 | Faible | Une tâche planifiée a été désactivée. |
| 4702 | 602 | Faible | Une tâche planifiée a été mise à jour. |
| 4704 | 608 | Faible | Un droit d’utilisateur a été attribué. |
| 4705 | 609 | Faible | Un droit d’utilisateur a été supprimé. |
| 4707 | 611 | Faible | Une approbation sur un domaine a été supprimée. |
| 4709 | N/A | Faible | Les services IPsec ont été démarrés. |
| 4710 | N/A | Faible | Les services IPsec ont été désactivés. |
| 4711 | N/A | Faible | Peut contenir l’un des éléments suivants : Le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore a appliqué la stratégie IPsec de stockage de registre local sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage de registre local sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer certaines règles de la stratégie IPsec active sur l’ordinateur. Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage de registre sur l’ordinateur. Le moteur PAStore a chargé la stratégie IPsec de stockage de registre sur l’ordinateur. Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage local sur l’ordinateur. Le moteur PAStore a chargé la stratégie IPsec de stockage local sur l’ordinateur. Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active et n’a détecté aucune modification. |
| 4712 | N/A | Faible | Les services IPsec ont rencontré un échec potentiellement grave. |
| 4717 | 621 | Faible | L’accès à la sécurité du système a été accordé à un compte. |
| 4718 | 622 | Faible | L’accès à la sécurité système a été supprimé d’un compte. |
| 4720 | 624 | Faible | Un compte d'utilisateur a été créé. |
| 4722 | 626 | Faible | Un compte d’utilisateur a été activé. |
| 4723 | 627 | Faible | Une tentative de modification du mot de passe d’un compte a été effectuée. |
| 4725 | 629 | Faible | Un compte utilisateur a été désactivé. |
| 4726 | 630 | Faible | Un compte utilisateur a été supprimé. |
| 4728 | 632 | Faible | Un membre a été ajouté à un groupe global sécurisé. |
| 4729 | 633 | Faible | Un membre a été supprimé d’un groupe global sécurisé. |
| 4730 | 634 | Faible | Un groupe global sécurisé a été supprimé. |
| 4731 | 635 | Faible | Un groupe local sécurisé a été créé. |
| 4732 | 636 | Faible | Un membre a été ajouté à un groupe local sécurisé. |
| 4733 | 637 | Faible | Un membre a été supprimé d’un groupe local sécurisé. |
| 4734 | 638 | Faible | Un groupe local sécurisé a été supprimé. |
| 4738 | 642 | Faible | Un compte d'utilisateur a été modifié. |
| 4740 | 644 | Faible | Un compte d’utilisateur a été verrouillé. |
| 4741 | 645 | Faible | Un compte d'utilisateur a été modifié. |
| 4742 | 646 | Faible | Un compte d'utilisateur a été modifié. |
| 4743 | 647 | Faible | Un compte d'utilisateur a été supprimé. |
| 4744 | 648 | Faible | Un groupe local non sécurisé a été créé. |
| 4745 | 649 | Faible | Un groupe local non sécurisé a été modifié. |
| 4746 | 650 | Faible | Un membre a été ajouté à un groupe local non sécurisé. |
| 4747 | 651 | Faible | Un membre a été supprimé d’un groupe local non sécurisé. |
| 4748 | 652 | Faible | Un groupe local non sécurisé a été supprimé. |
| 4749 | 653 | Faible | Un groupe global non sécurisé a été créé. |
| 4750 | 654 | Faible | Un groupe global non sécurisé a été modifié. |
| 4751 | 655 | Faible | Un membre a été ajouté à un groupe global non sécurisé. |
| 4752 | 656 | Faible | Un membre a été supprimé d’un groupe global non sécurisé. |
| 4753 | 657 | Faible | Un groupe global non sécurisé a été supprimé. |
| 4756 | 660 | Faible | Un membre a été ajouté à un groupe universel sécurisé. |
| 4757 | 661 | Faible | Un membre a été supprimé d’un groupe universel sécurisé. |
| 4758 | 662 | Faible | Un groupe universel sécurisé a été supprimé. |
| 4759 | 663 | Faible | Un groupe universel non sécurisé a été créé. |
| 4760 | 664 | Faible | Un groupe universel non sécurisé a été modifié. |
| 4761 | 665 | Faible | Un membre a été ajouté à un groupe universel non sécurisé. |
| 4762 | 666 | Faible | Un membre a été supprimé d’un groupe universel non sécurisé. |
| 4767 | 671 | Faible | Un compte d'utilisateur a été déverrouillé. |
| 4768 | 672,676 | Faible | Un ticket d’authentification Kerberos (TGT) a été demandé. |
| 4769 | 673 | Faible | Un ticket de service Kerberos a été demandé. |
| 4770 | 674 | Faible | Un ticket de service Kerberos a été renouvelé. |
| 4771 | 675 | Faible | Échec de la pré-authentification Kerberos. |
| 4772 | 672 | Faible | Échec d’une demande de ticket d’authentification Kerberos. |
| 4774 | 678 | Faible | Un compte a été mappé pour l’ouverture de session. |
| 4775 | 679 | Faible | Impossible de mapper un compte pour l’ouverture de session. |
| 4776 | 680,681 | Faible | Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte. |
| 4777 | N/A | Faible | Le contrôleur de domaine n’a pas pu valider les informations d’identification d’un compte. |
| 4778 | 682 | Faible | Une session a été reconnectée à une station Windows. |
| 4779 | 683 | Faible | Une session a été déconnectée d’une station Windows. |
| 4781 | 685 | Faible | Le nom d’un compte a été modifié : |
| 4782 | N/A | Faible | Un accès au hachage du mot de passe d’un compte a eu lieu. |
| 4783 | 667 | Faible | Un groupe d’applications de base a été créé. |
| 4784 | N/A | Faible | Un groupe d’applications de base a été modifié. |
| 4785 | 689 | Faible | Un membre a été ajouté à un groupe d’applications de base. |
| 4786 | 690 | Faible | Un membre a été supprimé d’un groupe d’applications de base. |
| 4787 | 691 | Faible | Un non membre a été ajouté à un groupe d’applications de base. |
| 4788 | 692 | Faible | Un non membre a été supprimé d’un groupe d’applications de base. |
| 4789 | 693 | Faible | Un groupe d’applications de base a été supprimé. |
| 4790 | 694 | Faible | Un groupe de requêtes LDAP a été créé. |
| 4793 | N/A | Faible | L’API de vérification de la stratégie de mot de passe a été appelée. |
| 4 800 | N/A | Faible | La station de travail a été déverrouillée. |
| 4801 | N/A | Faible | La station de travail a été déverrouillée. |
| 4802 | N/A | Faible | L’économiseur d’écran a été appelé. |
| 4803 | N/A | Faible | L’économiseur d’écran a été masqué. |
| 4864 | N/A | Faible | Une collision d’espace de noms a été détectée. |
| 4869 | 773 | Faible | Les services de certificats ont reçu une requête de certificat soumise à nouveau. |
| 4871 | 775 | Faible | Les services de certificats ont reçu une requête pour publier la liste de révocation des certificats (CRL). |
| 4872 | 776 | Faible | Les services de certificats ont publié la liste de révocation des certificats (CRL). |
| 4873 | 777 | Faible | Une extension de requête de certificats a changé. |
| 4874 | 778 | Faible | Un ou plusieurs attributs de requête de certificats ont changé. |
| 4875 | 779 | Faible | Les services de certificats ont reçu une requête d’arrêt. |
| 4876 | 780 | Faible | La sauvegarde des services de certificats a démarré. |
| 4877 | 781 | Faible | La sauvegarde des services de certificats est terminée. |
| 4878 | 782 | Faible | La restauration des services de certificats a démarré. |
| 4879 | 783 | Faible | La restauration des services de certificats est terminée. |
| 4880 | 784 | Faible | Les services de certificats ont démarré. |
| 4881 | 785 | Faible | Les services de certificats se sont arrêtés. |
| 4883 | 787 | Faible | Les services de certificats ont récupéré une clé archivée. |
| 4884 | 788 | Faible | Les services de certificats ont importé un certificat dans sa base de données. |
| 4886 | 790 | Faible | Les services de certificats ont reçu une requête de certificat. |
| 4887 | 791 | Faible | Les services de certificats ont approuvé une requête de certificat et émis un certificat. |
| 4888 | 792 | Faible | Les services de certificats ont refusé une requête de certificat. |
| 4889 | 793 | Faible | Les services de certificats ont défini le statut d’une requête de certificat comme étant en attente. |
| 4891 | 795 | Faible | Une entrée de configuration a changé dans les services de certificats. |
| 4893 | 797 | Faible | Les services de certificats ont archivé une clé. |
| 4894 | 798 | Faible | Les services de certificats ont importé et archivé une clé. |
| 4895 | 799 | Faible | Les services de certificats ont publié un certificat d’autorité de certification dans Active Directory Domain Services. |
| 4898 | 802 | Faible | Les services de certificats ont chargé une modèle. |
| 4902 | N/A | Faible | La table de stratégie d’audit par utilisateur a été créée. |
| 4904 | N/A | Faible | Tentative d’inscription d’une source d’événement de sécurité. |
| 4905 | N/A | Faible | Tentative de désinscription d’une source d’événement de sécurité. |
| 4909 | N/A | Faible | Les paramètres de stratégie locale pour le service TBS ont été modifiés. |
| 4910 | N/A | Faible | Les paramètres de stratégie de groupe pour le service TBS ont été modifiés. |
| 4928 | N/A | Faible | Un contexte de nommage source de réplica Active Directory a été établi. |
| 4929 | N/A | Faible | Un contexte de nommage source de réplica Active Directory a été supprimé. |
| 4930 | N/A | Faible | Un contexte de nommage source de réplica Active Directory a été modifié. |
| 4931 | N/A | Faible | Un contexte de nommage de destination de réplica Active Directory a été modifié. |
| 4932 | N/A | Faible | La synchronisation d’un réplica d’un contexte de nommage Active Directory a commencé. |
| 4933 | N/A | Faible | La synchronisation d’un réplica d’un contexte de nommage Active Directory s’est terminée. |
| 4934 | N/A | Faible | Les attributs d’un objet Active Directory ont été répliqués. |
| 4935 | N/A | Faible | L’échec de la réplication commence. |
| 4936 | N/A | Faible | L’échec de la réplication termine. |
| 4937 | N/A | Faible | Un objet en attente a été supprimé d’un réplica. |
| 4944 | N/A | Faible | La stratégie suivante était active lorsque le Pare-feu Windows a démarré. |
| 4945 | N/A | Faible | Une règle a été listée au démarrage du pare-feu Windows. |
| 4946 | N/A | Faible | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée. |
| 4947 | N/A | Faible | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée. |
| 4948 | N/A | Faible | Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée. |
| 4949 | N/A | Faible | Les paramètres du pare-feu Windows ont été rétablis aux valeurs par défaut. |
| 4950 | N/A | Faible | Un paramètre de pare-feu Windows a changé. |
| 4951 | N/A | Faible | Une règle a été ignorée, car son numéro de version principale n’a pas été reconnu par le pare-feu Windows. |
| 4952 | N/A | Faible | Des parties d’une règle ont été ignorées, car son numéro de version mineure n’a pas été reconnu par le Pare-feu Windows. Les autres parties de la règle seront appliquées. |
| 4953 | N/A | Faible | Une règle a été ignorée par le pare-feu Windows, car elle n’a pas pu analyser la règle. |
| 4954 | N/A | Faible | Les paramètres de stratégie de groupe du Pare-feu Windows ont été modifiés. Les nouveaux paramètres ont été appliqués. |
| 4956 | N/A | Faible | Le pare-feu Windows a modifié le profil actif. |
| 4957 | N/A | Faible | Le Pare-feu Windows n’a pas appliqué la règle suivante : |
| 4958 | N/A | Faible | Le Pare-feu Windows n’a pas appliqué la règle suivante car celle-ci se rapporte à des éléments qui ne sont pas configurés sur l’ordinateur : |
| 4979 | N/A | Faible | Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4980 | N/A | Faible | Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4981 | N/A | Faible | Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4982 | N/A | Faible | Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4985 | N/A | Faible | L’état d’une transaction a changé. |
| 5024 | N/A | Faible | Le démarrage du service Pare-feu Windows s’est correctement déroulé. |
| 5025 | N/A | Faible | Le service Pare-feu Windows a été arrêté. |
| 5031 | N/A | Faible | Le service Pare-feu Windows a empêché une application d’accepter des connexions entrantes sur le réseau. |
| 5032 | N/A | Faible | Le Pare-feu Windows n’a pas pu signaler à l’utilisateur qu’il a empêché une application d’accepter les connexions entrantes sur le réseau. |
| 5033 | N/A | Faible | Le pilote du Pare-feu Windows est correctement démarré. |
| 5034 | N/A | Faible | Le pilote du Pare-feu Windows a été arrêté. |
| 5039 | N/A | Faible | Une clé de registre a été virtualisée. |
| 5040 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été ajouté. |
| 5041 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été modifié. |
| 5042 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été supprimé. |
| 5043 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée. |
| 5044 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée. |
| 5045 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée. |
| 5046 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrements a été ajouté. |
| 5047 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été modifié. |
| 5048 | N/A | Faible | Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été supprimé. |
| 5050 | N/A | Faible | Tentative de désactivation par programmation du Pare-feu Windows à l’aide d’un appel à InetFwProfile.FirewallEnabled(False) |
| 5051 | N/A | Faible | Un fichier a été virtualisé. |
| 5056 | N/A | Faible | Un auto-test de chiffrement a été effectué. |
| 5057 | N/A | Faible | Une opération de primitive de chiffrement a échoué. |
| 5058 | N/A | Faible | Opération de fichier de clé. |
| 5059 | N/A | Faible | Opération de migration de clé. |
| 5060 | N/A | Faible | Échec de l’opération de vérification. |
| 5061 | N/A | Faible | Opération de chiffrement. |
| 5062 | N/A | Faible | Un auto-test de chiffrement en mode noyau a été effectué. |
| 5063 | N/A | Faible | Une opération de fournisseur de chiffrement a été tentée. |
| 5064 | N/A | Faible | Une opération de contexte de chiffrement a été tentée. |
| 5065 | N/A | Faible | Une modification de contexte de chiffrement a été tentée. |
| 5066 | N/A | Faible | Une opération de fonction de chiffrement a été tentée. |
| 5067 | N/A | Faible | Une modification d’opération de fonction de chiffrement a été tentée. |
| 5068 | N/A | Faible | Une opération de fournisseur de fonction de chiffrement a été tentée. |
| 5069 | N/A | Faible | Une opération de propriété de fonction de chiffrement a été tentée. |
| 5070 | N/A | Faible | Une modification de propriété de fonction de chiffrement a été tentée. |
| 5125 | N/A | Faible | Une requête a été envoyée au service de répondeur OCSP |
| 5126 | N/A | Faible | Le certificat de signature a été automatiquement mis à jour par le service de répondeur OCSP |
| 5127 | N/A | Faible | Le fournisseur de révocation OCSP a correctement mis à jour les informations de révocation |
| 5136 | 566 | Faible | Un objet du service d’annuaire a été déplacé. |
| 5137 | 566 | Faible | Un objet du service d’annuaire a été créé. |
| 5138 | N/A | Faible | La suppression d’un objet du service d’annuaire a été annulée. |
| 5139 | N/A | Faible | Un objet du service d’annuaire a été déplacé. |
| 5140 | N/A | Faible | Un objet du partage réseau a fait l’objet d’un accès. |
| 5141 | N/A | Faible | Un objet du service d’annuaire a été supprimé. |
| 5152 | N/A | Faible | La plateforme de filtrage Windows a bloqué un paquet. |
| 5153 | N/A | Faible | Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet. |
| 5154 | N/A | Faible | La plateforme de filtrage Windows a permis à une application ou à un service d’être à l’écoute de connexions entrantes sur un port. |
| 5155 | N/A | Faible | La plateforme de filtrage Windows a empêché une application ou un service d’être à l’écoute de connexions entrantes sur un port. |
| 5156 | N/A | Faible | La plateforme de filtrage Windows a autorisé une connexion. |
| 5157 | N/A | Faible | La plateforme de filtrage Windows a bloqué une connexion. |
| 5158 | N/A | Faible | La plateforme de filtrage Windows a autorisé une liaison à un port local. |
| 5159 | N/A | Faible | La plateforme de filtrage Windows a bloqué une liaison à un port local. |
| 5378 | N/A | Faible | La délégation des informations d’identification demandée n’a pas été autorisée par la stratégie. |
| 5440 | N/A | Faible | La légende suivante était présente lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows. |
| 5441 | N/A | Faible | Le filtre suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows. |
| 5442 | N/A | Faible | Le fournisseur suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows. |
| 5443 | N/A | Faible | Le contexte de fournisseur suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows. |
| 5444 | N/A | Faible | La sous-couche suivante était présente lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows. |
| 5446 | N/A | Faible | Une légende de la plateforme de filtrage Windows a été modifiée. |
| 5447 | N/A | Faible | Un filtre de la plateforme de filtrage Windows a été modifié. |
| 5448 | N/A | Faible | Un fournisseur de la plateforme de filtrage Windows a été modifié. |
| 5449 | N/A | Faible | Un contexte de fournisseur de la plateforme de filtrage Windows a été modifié. |
| 5450 | N/A | Faible | Une sous-couche de la plateforme de filtrage Windows a été modifiée. |
| 5451 | N/A | Faible | Une association de sécurité en mode rapide IPsec a été établie. |
| 5452 | N/A | Faible | Une association de sécurité en mode rapide IPsec s’est terminée. |
| 5456 | N/A | Faible | Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l’ordinateur. |
| 5457 | N/A | Faible | Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l’ordinateur. |
| 5458 | N/A | Faible | Le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. |
| 5459 | N/A | Faible | Le moteur PAStore n’a pas pu appliquer une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. |
| 5460 | N/A | Faible | Le moteur PAStore a appliqué la stratégie IPsec de stockage de registre local sur l’ordinateur. |
| 5461 | N/A | Faible | Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage de registre local sur l’ordinateur. |
| 5462 | N/A | Faible | Le moteur PAStore n’a pas pu appliquer certaines règles de la stratégie IPsec active sur l’ordinateur. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème. |
| 5463 | N/A | Faible | Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active et n’a détecté aucune modification. |
| 5464 | N/A | Faible | Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active, a détecté des modifications et les a appliquées aux services IPsec. |
| 5465 | N/A | Faible | Le moteur PAStore a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et a traité le contrôle avec succès. |
| 5466 | N/A | Faible | Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory n’est pas accessible et utilisera la copie mise en cache de la stratégie IPsec Active Directory à la place. Les modifications apportées à la stratégie IPsec Active Directory depuis la dernière interrogation n’ont pas pu être appliquées. |
| 5467 | N/A | Faible | Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory était accessible et n’a trouvé aucune modification apportée à la stratégie. La copie mise en cache de la stratégie IPsec Active Directory n’est plus utilisée. |
| 5468 | N/A | Faible | Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory était accessible, a trouvé des modifications apportées à la stratégie et a appliqué ces modifications. La copie mise en cache de la stratégie IPsec Active Directory n’est plus utilisée. |
| 5471 | N/A | Faible | Le moteur PAStore a chargé la stratégie IPsec de stockage local sur l’ordinateur. |
| 5472 | N/A | Faible | Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage local sur l’ordinateur. |
| 5473 | N/A | Faible | Le moteur PAStore a chargé la stratégie IPsec de stockage de registre sur l’ordinateur. |
| 5474 | N/A | Faible | Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage de registre sur l’ordinateur. |
| 5477 | N/A | Faible | Le moteur PAStore n’a pas pu ajouter de filtre en mode rapide. |
| 5479 | N/A | Faible | IPsec Services a été arrêté avec succès. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels. |
| 5632 | N/A | Faible | Une requête a été effectuée pour s’authentifier auprès d’un réseau sans fil. |
| 5633 | N/A | Faible | Une requête a été effectuée pour s’authentifier auprès d’un réseau filaire. |
| 5712 | N/A | Faible | Une tentative d’appel de procédure distante (RPC) a été effectuée. |
| 5888 | N/A | Faible | Un objet dans le catalogue COM+ a été modifié. |
| 5889 | N/A | Faible | Un objet a été supprimé du catalogue COM+. |
| 5890 | N/A | Faible | Un objet a été ajouté au catalogue COM+. |
| 6008 | N/A | Faible | L’arrêt du système précédent était inattendu |
| 6144 | N/A | Faible | La stratégie de sécurité des objets de stratégie de groupe a été correctement appliquée. |
| 6272 | N/A | Faible | Le serveur NPS (Network Policy Server) a accordé l’accès à un utilisateur. |
| N/A | 561 | Faible | Un descripteur d’objet a été demandé. |
| N/A | 563 | Faible | Objet ouvert pour suppression |
| N/A | 625 | Faible | Type de compte d’utilisateur modifié |
| N/A | 613 | Faible | Agent de stratégie IPsec démarré |
| N/A | 614 | Faible | Agent de stratégie IPsec désactivé |
| N/A | 615 | Faible | Agent de stratégie IPSec |
| N/A | 616 | Faible | L’agent de stratégie IPsec a rencontré un échec grave potentiel |
| 24577 | N/A | Faible | Chiffrement du volume démarré |
| 24578 | N/A | Faible | Chiffrement du volume arrêté |
| 24579 | N/A | Faible | Chiffrement du volume terminé |
| 24580 | N/A | Faible | Déchiffrement du volume démarré |
| 24581 | N/A | Faible | Déchiffrement du volume arrêté |
| 24582 | N/A | Faible | Déchiffrement du volume terminé |
| 24583 | N/A | Faible | Thread de travail de conversion pour le volume démarré |
| 24584 | N/A | Faible | Thread de travail de conversion pour le volume temporairement arrêté |
| 24588 | N/A | Faible | L’opération de conversion sur le volume %2 a rencontré une erreur de secteur incorrect. Validez les données sur ce volume |
| 24595 | N/A | Faible | Le volume %2 contient des clusters incorrects. Ces clusters seront ignorés pendant la conversion. |
| 24621 | N/A | Faible | Vérification de l’état initial : transaction de conversion de volume propagée sur %2. |
| 5049 | N/A | Faible | Une association de sécurité IPsec a été supprimée. |
| 5478 | N/A | Faible | IPsec Services a démarré avec succès. |
Remarque
Reportez-vous à Événements d’audit de sécurité Windows pour obtenir la liste des nombreux ID d’événements de sécurité et leur signification.
Exécutez wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true pour obtenir une liste très détaillée de l’ensemble des ID d’événement de sécurité
Pour plus d’informations sur les ID d’événement de sécurité Windows et leurs significations, consultez l’article Support Microsoft Paramètres de stratégie d’audit de sécurité de base. Vous pouvez également télécharger les événements d’audit de sécurité Windows, qui fournissent des informations détaillées sur les événements pour les systèmes d’exploitation référencés sous le format de feuille de calcul.