ID d'événement 4697

Outil d’audit Active Directory

Les informations sur Qui, Où et Quand sont très importantes pour un administrateur parce qu’elles lui donnent une connaissance complète de toutes les activités qui ont lieu sur son Active Directory. Cela leur permet d'identifier toute activité souhaitée ou indésirable. ADAudit Plus aide un administrateur à obtenir ces informations sous forme de rapports. Veillez, en temps réel, à ce que les ressources critiques dans le réseau telles que les contrôleurs de domaine soient auditées, surveillées et fassent l'objet de rapports contenant toutes les informations sur les objets AD — utilisateurs, groupes, objets de stratégie de groupe, ordinateurs, unités d'organisation, DNS, modifications du schéma et de la configuration AD — avec plus de 200 rapports détaillés sur l'interface utilisateur graphique spécifique aux événements et des alertes par e-mail.

System Event » ID d'événement 4697

ID d'événement : 4697 Un service a été installé dans le système.

DescriptionCet événement est enregistré chaque fois qu'un client effectue une liaison LDAP que ce serveur d'annuaire n'est pas configuré pour rejeter.
CatégorieSystème
Sous-catégorieExtension du système de sécurité

Cet événement enregistre les informations suivantes

Objet
  • ID de sécurité
  • Nom du compte
  • Domaine du compte
  • ID de connexion
Service
  • Nom du service
  • Nom du fichier de service
  • Type de service
  • Type de démarrage de service
  • Compte de service

Raisons de surveiller cet événement :

  • Nous recommandons de surveiller cet événement, en particulier pour les biens de grande valeur ou les ordinateurs, car l'installation d'un nouveau service doit être planifiée et attendue. L'installation inattendue d'un service doit déclencher une alerte.
  • Surveillez tous les événements où le « Nom du fichier de service » ne se trouve pas dans %windir% ou dans les dossiers « Program Files/Program Files (x86) ». En général, les nouveaux services se trouvent dans ces dossiers.
  • Déclarer tout « Type de service » égal à « 0x1 », « 0x2 » ou « 0x8 ». Ces types de services démarrent en premier et ont un accès presque illimité au système d'exploitation dès le début du démarrage de ce dernier. Ces types sont très rarement installés.
  • Signalez tous les cas où le « Type de début de service » est égal à « 0 » ou à « 1 ». Ces types de démarrage de service sont utilisés par les pilotes, qui ont un accès illimité au système d'exploitation.
  • Signaler tout « Type de début de service » égal à « 4 ». Il n'est pas courant d'installer un nouveau service dans l'état Désactivé.
  • Signalez chaque « Compte de service » qui n’est pas égal à « localSystem », « localService » ou « networkService » afin d'identifier les services qui fonctionnent sous un compte d'utilisateur.

Conseils professionnels :

  • ADAudit Plus propose des rapports de suivi des processus qui peuvent enregistrer toutes les tentatives d'installation d'un service.
  • Les rapports contiennent le type de service, le fichier dans lequel ce service a été lancé, ainsi que des détails sur la manière dont il a démarré.
  • Avec l'aide d'ADAudit Plus, vous pouvez savoir qui a installé un service sur n'importe quel serveur du domaine, avec des détails sur le contrôleur de domaine sur lequel cette personne l'a installé et quand elle l'a installé.

L'événement 4697 s'applique aux systèmes d'exploitation suivants :

  • Windows 2008 R2 et 7
  • Windows 2012 R2 et 8.1
  • Windows 2016 et 10

Explorer l'audit et la création de rapports Active Directory avec ADAudit Plus.

  • Enter your email id
    Please enter a valid email id
  • Enter your phone number
  • Select demo date
  • En cliquant sur 'Planifier une démonstration personnalisée', vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité. Vous pouvez vous désabonner de nos courriers à tout moment.
Account Management Auditing
Active Directory Auditing
Windows Server Auditing