ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer Security log displaying Event ID 4700 user account creation events on a cybersecurity monitoring dashboard
Event ID 4700InformationSecurityWindows

ID d'événement Windows 4700 – Sécurité : Un compte utilisateur a été créé

L'ID d'événement 4700 enregistre la création d'un nouveau compte utilisateur sur un système Windows. Cet événement d'audit de sécurité fournit des informations détaillées sur qui a créé le compte, quand il a été créé, et les propriétés du compte configurées lors de la création.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4700Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4700 représente un événement d'audit de sécurité fondamental que Windows génère chaque fois qu'un compte utilisateur est créé avec succès sur le système. Cet événement sert de registre permanent dans le journal des événements de sécurité, fournissant des informations de qualité médico-légale sur les activités de création de compte que les équipes de sécurité et les auditeurs examinent fréquemment.

La structure de l'événement comprend des champs détaillés tels que le Sujet (qui a créé le compte), le Compte Cible (les détails du nouveau compte) et les sections Informations Supplémentaires. La section Sujet identifie l'utilisateur ou le processus qui a initié la création du compte, y compris leur SID, nom de compte, domaine et ID de connexion. La section Compte Cible fournit des détails complets sur le compte nouvellement créé, y compris son SID, nom, domaine et divers attributs de compte.

Windows génère cet événement quel que soit le moyen utilisé pour créer le compte - que ce soit via la Gestion de l'ordinateur, Utilisateurs et ordinateurs Active Directory, cmdlets PowerShell comme New-LocalUser ou New-ADUser, ou des outils en ligne de commande tels que net user. Le moment de l'événement se produit immédiatement après la création réussie du compte mais avant que des modifications de configuration supplémentaires ne soient appliquées.

Dans les environnements de domaine, cet événement apparaît sur les contrôleurs de domaine lorsque des comptes de domaine sont créés, tandis que la création de comptes locaux génère l'événement sur la machine spécifique où le compte a été créé. La présence de l'événement indique que la politique d'audit du système pour la Gestion des Comptes Utilisateurs est correctement configurée et fonctionnelle, en faisant un indicateur fiable pour les systèmes de surveillance de la sécurité et les solutions SIEM.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur ou utilisateur autorisé créant un nouveau compte utilisateur local via la console de gestion de l'ordinateur
  • Commandes PowerShell telles que New-LocalUser ou New-ADUser exécutées
  • Création de compte en ligne de commande utilisant la commande net user avec le paramètre /add
  • Scripts automatisés ou applications créant des comptes utilisateur de manière programmatique
  • Administrateur de domaine créant de nouveaux comptes utilisateur de domaine dans Active Directory
  • Processus système créant des comptes de service ou des comptes intégrés lors de l'installation de logiciels
  • Création de compte pilotée par stratégie de groupe dans les environnements d'entreprise
  • Systèmes de gestion d'identité tiers provisionnant de nouveaux comptes utilisateur
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Ouvrez le Visualiseur d'événements et accédez au journal de sécurité pour examiner les détails de l'événement :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal par ID d'événement 4700 en utilisant l'option Filtrer le journal actuel
  4. Double-cliquez sur l'entrée ID d'événement 4700 pour voir les informations détaillées
  5. Examinez la section Sujet pour identifier qui a créé le compte
  6. Examinez la section Compte cible pour les détails du nouveau compte
  7. Vérifiez la section Informations supplémentaires pour les attributs et indicateurs du compte
  8. Notez l'horodatage pour le corréler avec d'autres événements de sécurité si nécessaire

Les détails de l'événement montreront l'ID de sécurité, le nom du compte, le domaine du compte et l'ID de connexion du créateur et du compte nouvellement créé.

02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour récupérer et analyser de manière programmatique les occurrences de l'ID d'événement 4700 :

# Obtenez les événements récents de création de compte
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4700} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

# Filtrer les événements par plage de temps spécifique
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4700; StartTime=$StartTime; EndTime=$EndTime}

# Extraire des informations spécifiques des données d'événement
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4700} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $EventData = $Event.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        TargetUserName = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        TargetDomain = ($EventData | Where-Object {$_.Name -eq 'TargetDomainName'}).'#text'
    }
}

Cette approche permet une surveillance et un rapport automatisés des activités de création de compte sur plusieurs systèmes.

03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer de manière cohérente l'ID d'événement 4700 :

  1. Ouvrez la Console de gestion des stratégies de groupe ou exécutez gpedit.msc pour la politique locale
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Gestion des comptes et localisez Audit de la gestion des comptes utilisateur
  4. Configurez la politique pour les événements de Succès et Échec
  5. Appliquez la politique et exécutez gpupdate /force pour actualiser les paramètres

Vérifiez les paramètres d'audit actuels en utilisant la ligne de commande :

# Vérifiez les paramètres actuels de la politique d'audit
auditpol /get /category:"Account Management"

# Définissez la politique d'audit pour la gestion des comptes utilisateur
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable

# Vérifiez la configuration
auditpol /get /subcategory:"User Account Management"

Astuce pro : Activez l'audit des succès et des échecs pour capturer les tentatives de création de compte non autorisées.

04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance automatisée pour l'ID d'événement 4700 afin de détecter la création non autorisée de comptes :

  1. Créez un script PowerShell pour une surveillance continue :
# Créer un script de surveillance
$ScriptBlock = {
    Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4700" -Action {
        $Event = $Event.SourceEventArgs.NewEvent
        $Message = "Nouveau compte utilisateur créé : $($Event.InsertionStrings[5]) par $($Event.InsertionStrings[1])"
        Write-EventLog -LogName Application -Source "AccountMonitor" -EventId 1001 -Message $Message -EntryType Information
        # Envoyer un email ou déclencher le système d'alerte ici
    }
}

# Enregistrer l'abonnement à l'événement
Invoke-Command -ScriptBlock $ScriptBlock
  1. Configurez le Planificateur de tâches Windows pour exécuter les scripts de surveillance
  2. Configurez les notifications par e-mail ou l'intégration SIEM
  3. Créez une source de journal d'événements personnalisée pour les alertes de surveillance :
# Créer une source d'événements personnalisée (exécuter en tant qu'administrateur)
New-EventLog -LogName Application -Source "AccountMonitor"

# Tester la journalisation personnalisée
Write-EventLog -LogName Application -Source "AccountMonitor" -EventId 1001 -Message "Surveillance des comptes initialisée" -EntryType Information

Avertissement : Assurez-vous que les scripts de surveillance ont les autorisations appropriées et une gestion des erreurs pour éviter toute interruption de service.

05

Analyse médico-légale et corrélation

Effectuer une analyse médico-légale complète de l'ID d'événement 4700 en conjonction avec les événements de sécurité connexes :

  1. Corréler avec les événements connexes pour une chronologie complète :
# Obtenir des événements de gestion de compte complets
$AccountEvents = @(4720, 4722, 4724, 4725, 4726, 4738, 4740, 4767, 4781)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$AccountEvents; StartTime=(Get-Date).AddDays(-1)} | 
    Sort-Object TimeCreated | 
    Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventDescription';Expression={
        switch($_.Id) {
            4720 {'Un compte utilisateur a été créé'}
            4722 {'Un compte utilisateur a été activé'}
            4724 {'Une tentative a été faite pour réinitialiser un mot de passe de compte'}
            4725 {'Un compte utilisateur a été désactivé'}
            4726 {'Un compte utilisateur a été supprimé'}
            4738 {'Un compte utilisateur a été modifié'}
            4740 {'Un compte utilisateur a été verrouillé'}
            4767 {'Un compte utilisateur a été déverrouillé'}
            4781 {'Le nom d'un compte a été modifié'}
        }
    }}

# Extraire et analyser les modèles de création de compte
$CreationEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4700; StartTime=(Get-Date).AddDays(-30)}
$CreationEvents | ForEach-Object {
    $EventXml = [xml]$_.ToXml()
    $EventData = $EventXml.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Creator = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        CreatedAccount = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        Domain = ($EventData | Where-Object {$_.Name -eq 'TargetDomainName'}).'#text'
        WorkstationName = ($EventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
    }
} | Group-Object Creator | Sort-Object Count -Descending
  1. Exporter les résultats pour le rapport de conformité :
# Générer un rapport de conformité
$Report = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4700; StartTime=(Get-Date).AddDays(-90)} | 
    ForEach-Object {
        $EventXml = [xml]$_.ToXml()
        $EventData = $EventXml.Event.EventData.Data
        [PSCustomObject]@{
            Timestamp = $_.TimeCreated
            CreatedBy = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
            AccountName = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
            AccountSID = ($EventData | Where-Object {$_.Name -eq 'TargetSid'}).'#text'
            Domain = ($EventData | Where-Object {$_.Name -eq 'TargetDomainName'}).'#text'
        }
    }

$Report | Export-Csv -Path "C:\Reports\AccountCreation_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

Cette analyse complète aide à identifier les modèles, les activités non autorisées et assure la conformité avec les politiques de sécurité.

Aperçu

L'ID d'événement 4700 se déclenche chaque fois qu'un nouveau compte utilisateur est créé sur un système Windows, que ce soit via l'interface graphique, PowerShell ou des outils en ligne de commande. Cet événement d'audit de sécurité apparaît dans le journal de sécurité et fournit des détails complets sur le processus de création de compte, y compris qui a effectué l'action, le nom du compte cible et divers attributs de compte définis lors de la création.

Cet événement fait partie de l'audit de gestion des comptes utilisateurs de Windows et nécessite que la politique 'Audit de la gestion des comptes utilisateurs' soit activée. L'événement capture à la fois la création de comptes locaux et la création de comptes de domaine lorsqu'il est enregistré sur les contrôleurs de domaine. Les administrateurs système s'appuient sur cet événement pour la surveillance de la sécurité, le reporting de conformité et l'investigation des activités de création de comptes non autorisées.

L'événement inclut des informations critiques telles que l'ID de sécurité (SID) du créateur et du nouveau compte, le nom du compte, les informations de domaine et les indicateurs de compte qui indiquent la configuration initiale du compte. Comprendre cet événement est essentiel pour maintenir une surveillance de sécurité appropriée dans les environnements Windows, en particulier dans les environnements d'entreprise où la création de comptes doit suivre des procédures établies.

Questions Fréquentes

Que signifie l'ID d'événement 4700 et pourquoi est-il important pour la surveillance de la sécurité ?+
L'ID d'événement 4700 indique qu'un nouveau compte utilisateur a été créé avec succès sur le système Windows. Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit complète des activités de création de compte, y compris qui a créé le compte, quand il a été créé et les propriétés initiales du compte. Les équipes de sécurité utilisent cet événement pour détecter la création non autorisée de comptes, assurer la conformité avec les politiques de provisionnement des comptes et enquêter sur les potentielles violations de sécurité. L'événement capture à la fois les informations du sujet (créateur) et du compte cible, ce qui le rend inestimable pour l'analyse judiciaire et le maintien d'une surveillance adéquate du contrôle d'accès.
Comment puis-je distinguer entre les événements de création de compte légitimes et suspects dans l'ID d'événement 4700 ?+
Pour distinguer entre les événements de création de compte légitimes et suspects, analysez plusieurs facteurs clés : Premièrement, vérifiez l'identité du créateur dans la section Sujet - les créations légitimes proviennent généralement d'administrateurs autorisés ou de comptes de service. Deuxièmement, examinez le moment - la création de compte en dehors des heures de bureau ou en succession rapide peut indiquer une activité suspecte. Troisièmement, vérifiez les modèles de nommage des comptes - les comptes légitimes suivent généralement les conventions de nommage organisationnelles, tandis que les comptes suspects peuvent avoir des noms aléatoires ou génériques. Quatrièmement, corrélez avec d'autres événements comme les activités de connexion (ID d'événement 4624) pour vous assurer que le créateur a été authentifié légitimement. Enfin, examinez les attributs de compte et les appartenances à des groupes attribués lors de la création - les comptes suspects peuvent se voir accorder des privilèges excessifs immédiatement après la création.
Pourquoi est-ce que je ne vois pas l'ID d'événement 4700 dans mon journal de sécurité alors que des comptes sont créés ?+
Si l'ID d'événement 4700 n'apparaît pas dans votre journal de sécurité, la cause la plus probable est que la stratégie d'audit pour la gestion des comptes d'utilisateur n'est pas activée. Pour résoudre ce problème, accédez à la gestion des stratégies de groupe et activez 'Audit de la gestion des comptes d'utilisateur' sous Configuration avancée de la stratégie d'audit > Gestion des comptes. Vous pouvez également utiliser la commande 'auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable' pour activer l'audit. De plus, assurez-vous que le journal de sécurité dispose de suffisamment d'espace et n'est pas écrasé trop rapidement. Dans les environnements de domaine, vérifiez que la stratégie d'audit est correctement appliquée aux systèmes cibles et que la stratégie de groupe a été actualisée avec 'gpupdate /force'.
L'ID d'événement 4700 peut-il m'aider à suivre la création de comptes de service et l'approvisionnement automatisé des comptes ?+
Oui, l'ID d'événement 4700 suit efficacement la création de comptes de service et l'approvisionnement automatisé de comptes. Lorsque des comptes de service sont créés, l'événement affichera le processus ou le service de création dans la section Sujet, montrant souvent des noms de comptes système ou des identités de service. Pour les systèmes d'approvisionnement automatisés, vous verrez le compte de service ou l'identité de l'application qui a effectué la création. Pour surveiller spécifiquement la création automatisée de comptes, filtrez les événements où le Nom d'utilisateur du sujet contient des modèles de comptes de service ou des identités système, et recherchez des modèles de création rapide de comptes indiquant un approvisionnement en masse. Vous pouvez également corréler ces événements avec les journaux d'applications des systèmes de gestion des identités pour créer une piste d'audit complète de la gestion du cycle de vie des comptes automatisés.
Comment devrais-je configurer la rétention et la surveillance pour l'ID d'événement 4700 dans les environnements d'entreprise ?+
Dans les environnements d'entreprise, configurez la rétention et la surveillance de l'ID d'événement 4700 en fonction des exigences de conformité et des politiques de sécurité. Réglez la taille du journal de sécurité à au moins 100 Mo ou plus, selon la fréquence de création de comptes, et configurez la rétention des journaux pour un minimum de 90 jours afin de répondre à la plupart des normes de conformité. Mettez en œuvre le transfert de journaux vers un SIEM central ou un système de gestion des journaux pour éviter les écrasements de journaux locaux et permettre une analyse à long terme. Configurez des alertes en temps réel pour les occurrences de l'ID d'événement 4700, surtout en dehors des heures de travail ou lorsqu'elles sont créées par des comptes non administratifs. Créez des rapports automatisés qui résument les activités de création de comptes de manière hebdomadaire et mensuelle pour les examens de sécurité. Envisagez de mettre en œuvre l'archivage des journaux pour répondre à des exigences de rétention plus longues, et assurez-vous que les systèmes de sauvegarde incluent les journaux d'événements de sécurité pour les scénarios de reprise après sinistre.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4700 and related account management eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including User Account Management auditinghttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4700

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...