ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs and privilege assignment analysis
Event ID 4704InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4704 – Microsoft-Windows-Security-Auditing : Droit utilisateur attribué

L'ID d'événement 4704 enregistre lorsqu'un droit utilisateur est attribué à un principal de sécurité via des modifications de la stratégie de groupe ou de la stratégie de sécurité locale. Critique pour l'audit de sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4704Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4704 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour suivre les attributions de droits utilisateur dans les environnements Windows. Lorsque Windows traite les politiques de sécurité—que ce soit par le biais de l'actualisation des stratégies de groupe, des modifications de la politique locale ou des modifications administratives—cet événement offre une visibilité granulaire sur la distribution des privilèges.

La structure de l'événement comprend des champs critiques tels que le principal de sécurité cible (Sujet), le droit utilisateur spécifique attribué (Nom du privilège) et le processus responsable de l'attribution. Windows génère cet événement lors de divers scénarios : traitement des stratégies de groupe au démarrage, cycles d'actualisation des politiques programmés, modifications manuelles de la politique de sécurité locale et réplication des politiques du contrôleur de domaine.

D'un point de vue de la sécurité, l'ID d'événement 4704 sert à plusieurs fins. Les cadres de conformité comme SOX, PCI-DSS et HIPAA exigent que les organisations maintiennent des pistes d'audit des attributions de privilèges. Les centres d'opérations de sécurité surveillent ces événements pour détecter les tentatives d'escalade de privilèges, les attributions d'accès administratifs non autorisées et les scénarios de dérive de politique où les systèmes s'écartent des bases de sécurité prévues.

La corrélation temporelle de l'événement avec d'autres événements de sécurité révèle souvent des schémas d'attaque. Par exemple, l'ID d'événement 4704 suivi d'événements de connexion (4624) et d'utilisation de privilèges (4672) peut indiquer des chaînes d'escalade de privilèges réussies. Les groupes de menaces persistantes avancées manipulent fréquemment les attributions de droits utilisateur dans le cadre de leurs stratégies de persistance et de mouvement latéral.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Cycles de rafraîchissement de la stratégie de groupe traitant les paramètres de la stratégie de sécurité
  • Modifications manuelles de la stratégie de sécurité locale via secpol.msc
  • Réplication des modifications de la stratégie de sécurité par le contrôleur de domaine
  • Outils d'administration comme secedit.exe appliquant des modèles de sécurité
  • Commandes PowerShell utilisant les cmdlets Set-LocalUser ou Grant-UserRight
  • Outils de gestion de la sécurité tiers modifiant les droits des utilisateurs
  • Traitement au démarrage du système des objets de stratégie de groupe mis en cache
  • Modifications du schéma Active Directory affectant les droits des utilisateurs par défaut
  • Installations de Windows Update qui modifient les paramètres par défaut de la stratégie de sécurité
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4704 pour comprendre quel droit utilisateur a été attribué et à qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4704 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Dans la boîte de dialogue de filtrage, entrez 4704 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4704 pour voir les détails. Champs clés à examiner :
    • Sujet : Le compte qui a initié l'attribution
    • Nom du privilège : Le droit utilisateur spécifique attribué (par exemple, SeServiceLogonRight)
    • Compte cible : Le principal de sécurité recevant le droit
    • Informations sur le processus : Le processus qui a effectué l'attribution
Astuce pro : Recoupez l'horodatage avec les événements de traitement des stratégies de groupe (1502-1503) pour déterminer si l'attribution était pilotée par une stratégie.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4704 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4704 avec des informations détaillées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 50 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    }
}
  3. Filtrez pour des attributions de droits utilisateur spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} | Where-Object {
    $_.Message -like '*SeServiceLogonRight*'
} | Select-Object TimeCreated, Message
  4. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 100 | 
Export-Csv -Path "C:\Temp\UserRightAssignments.csv" -NoTypeInformation
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats.
03

Corréler avec le traitement des stratégies de groupe

Déterminez si les attributions de droits utilisateur sont des opérations légitimes de stratégie de groupe ou des préoccupations potentielles en matière de sécurité.

  1. Vérifiez les événements de traitement de la stratégie de groupe dans le journal Système :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 20 | 
Select-Object TimeCreated, Id, LevelDisplayName, Message
  2. Comparez les horodatages entre les événements de stratégie de groupe et les événements 4704 :
    $gpEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502} -MaxEvents 10
$userRightEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 10

foreach ($gpEvent in $gpEvents) {
    $correlatedEvents = $userRightEvents | Where-Object {
        [Math]::Abs(($_.TimeCreated - $gpEvent.TimeCreated).TotalMinutes) -lt 5
    }
    if ($correlatedEvents) {
        Write-Host "Événement GP : $($gpEvent.TimeCreated) - Événements 4704 corrélés : $($correlatedEvents.Count)"
    }
}
  3. Examinez les paramètres de sécurité actuels de la stratégie de groupe :
    secedit /export /cfg C:\Temp\current_security_policy.inf
Get-Content C:\Temp\current_security_policy.inf | Select-String "Se.*Right"
  4. Vérifiez les attributions de droits utilisateur inattendues en les comparant à la ligne de base :
    $baseline = @('SeServiceLogonRight', 'SeInteractiveLogonRight', 'SeNetworkLogonRight')
$recent4704 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 50
$recent4704 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $privilege = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    if ($privilege -notin $baseline) {
        Write-Warning "Attribution de privilège inhabituelle : $privilege à $($_.TimeCreated)"
    }
}
04

Enquêter sur les modifications de la politique de sécurité

Effectuer une analyse approfondie des modifications de la politique de sécurité qui ont déclenché les attributions de droits utilisateur.

  1. Vérifier l'état actuel de la politique de sécurité locale :
    Get-LocalUser | Select-Object Name, Enabled, LastLogon
Get-LocalGroup | Select-Object Name, Description
  2. Examiner les paramètres de la politique d'audit de sécurité :
    auditpol /get /category:"Privilege Use" /r
auditpol /get /category:"Policy Change" /r
  3. Examiner les emplacements du registre pour les attributions de droits utilisateur :
    $userRightsPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"
Get-ItemProperty -Path $userRightsPath -Name "*" | 
Select-Object PSChildName, PSPath | Where-Object {$_.PSChildName -like "*Right*"}
  4. Vérifier les applications récentes de modèles de sécurité :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1704,1705} -MaxEvents 20 | 
Select-Object TimeCreated, Id, Message
  5. Analyser les informations de processus à partir des événements 4704 pour identifier la source :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $processName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $processId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    Write-Host "Process: $processName (PID: $processId) at $($_.TimeCreated)"
}
Astuce pro : Documentez les attributions de droits utilisateur de référence pendant les opérations normales pour identifier rapidement les anomalies.
05

Analyse et surveillance de sécurité avancées

Mettre en œuvre une surveillance et une analyse complètes pour la gestion continue de la posture de sécurité.

  1. Créer un script de surveillance PowerShell pour une analyse continue:
    # Enregistrer sous Monitor-UserRights.ps1
param(
    [int]$Hours = 24,
    [string]$OutputPath = "C:\Temp\UserRightAnalysis.csv"
)

$startTime = (Get-Date).AddHours(-$Hours)
$events = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4704
    StartTime=$startTime
}

$analysis = $events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUser = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        PrivilegeName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
        TargetUser = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        ProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    }
}

$analysis | Export-Csv -Path $OutputPath -NoTypeInformation
Write-Host "Analysis exported to $OutputPath"
  2. Configurer le transfert d'événements Windows pour une surveillance centralisée:
    # Configurer l'abonnement WEF (exécuter sur le collecteur)
wecutil cs UserRightAssignments.xml

# Contenu XML d'abonnement exemple:
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>UserRightAssignments</SubscriptionId>
#   <Query><![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[EventID=4704]]</Select></Query></QueryList>]]></Query>
# </Subscription>
  3. Mettre en œuvre des alertes automatisées pour les affectations suspectes:
    # Vérifier les affectations à haut privilège
$dangerousRights = @(
    'SeTcbPrivilege',
    'SeDebugPrivilege', 
    'SeLoadDriverPrivilege',
    'SeTakeOwnershipPrivilege'
)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4704} -MaxEvents 100 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $privilege = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeName'} | Select-Object -ExpandProperty '#text'
    if ($privilege -in $dangerousRights) {
        $target = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        Write-Warning "ALERT: Dangerous privilege $privilege assigned to $target at $($_.TimeCreated)"
        # Ajouter l'intégration email/SIEM ici
    }
}
  4. Créer une documentation de référence:
    # Générer la référence actuelle des droits utilisateurs
$baseline = @{}
secedit /export /cfg C:\Temp\baseline.inf
$content = Get-Content C:\Temp\baseline.inf
$content | Where-Object {$_ -match "^Se.*Right"} | ForEach-Object {
    $parts = $_ -split " = "
    $baseline[$parts[0]] = $parts[1]
}
$baseline | ConvertTo-Json | Out-File C:\Temp\UserRightsBaseline.json
Avertissement : Surveiller de près les affectations à haut privilège car elles indiquent souvent un compromis ou une mauvaise configuration de la politique.

Aperçu

L'ID d'événement 4704 se déclenche chaque fois que Windows attribue un droit utilisateur à un principal de sécurité (utilisateur, groupe ou compte d'ordinateur) via le traitement des stratégies de groupe ou des modifications de la stratégie de sécurité locale. Cet événement apparaît dans le journal de sécurité et sert de piste d'audit critique pour la surveillance de l'escalade des privilèges et les exigences de conformité.

L'événement capture des informations détaillées sur le droit utilisateur attribué, à qui il a été attribué, et le contexte de l'attribution. Les scénarios courants incluent les cycles de rafraîchissement des stratégies de groupe, les modifications manuelles des politiques de sécurité et les événements de réplication des contrôleurs de domaine. Les équipes de sécurité s'appuient sur cet événement pour suivre les changements de privilèges dans leur infrastructure Windows.

Contrairement aux événements d'utilisation des privilèges, l'ID d'événement 4704 documente spécifiquement l'attribution des droits plutôt que leur exercice. Cela le rend essentiel pour comprendre l'évolution de la posture de sécurité des systèmes Windows et détecter les attributions de privilèges non autorisées qui pourraient indiquer une compromission ou une dérive de politique.

Questions Fréquentes

Que signifie l'ID d'événement 4704 et pourquoi est-il important ?+
L'ID d'événement 4704 indique qu'un droit utilisateur a été attribué à un principal de sécurité (utilisateur, groupe ou compte d'ordinateur) sur le système. Cet événement est crucial pour l'audit de sécurité car il suit les attributions de privilèges, qui sont fondamentales pour l'architecture de sécurité de Windows. Les organisations utilisent cet événement pour surveiller l'escalade des privilèges, assurer la conformité avec les politiques de sécurité et détecter les concessions d'accès non autorisées. L'événement se déclenche lors du traitement des stratégies de groupe, des modifications manuelles des politiques de sécurité et des modifications administratives, ce qui le rend essentiel pour comprendre comment les privilèges sont distribués dans votre infrastructure Windows.
Comment puis-je distinguer entre les affectations légitimes de stratégie de groupe et les menaces de sécurité potentielles dans l'ID d'événement 4704 ?+
Les attributions légitimes de stratégie de groupe se produisent généralement pendant des périodes prévisibles : au démarrage du système, lors des cycles de rafraîchissement programmés de la stratégie de groupe (toutes les 90-120 minutes pour les ordinateurs, 90 minutes pour les utilisateurs), ou après des modifications administratives de la politique. Corrélez l'ID d'événement 4704 avec les événements de traitement de la stratégie de groupe (1502-1503) dans le journal Système - ils devraient se produire à quelques minutes d'intervalle. Les indicateurs suspects incluent : des attributions en dehors des heures ouvrables normales, des droits d'utilisateur inhabituels comme SeDebugPrivilege ou SeTcbPrivilege accordés à des comptes non administratifs, des attributions non corrélées avec des événements de stratégie de groupe, ou des attributions initiées par des processus inattendus. Vérifiez toujours le champ Sujet pour vous assurer que l'attribution a été initiée par des comptes administratifs autorisés.
Quelles attributions de droits utilisateur devraient déclencher des alertes de sécurité immédiates ?+
Plusieurs attributions de droits utilisateur nécessitent une enquête immédiate : SeTcbPrivilege (Agir en tant que partie du système d'exploitation), SeDebugPrivilege (Déboguer des programmes), SeLoadDriverPrivilege (Charger et décharger des pilotes de périphériques), SeTakeOwnershipPrivilege (Prendre possession de fichiers), SeRestorePrivilege (Restaurer des fichiers et des répertoires), et SeBackupPrivilege (Sauvegarder des fichiers et des répertoires). Ces droits offrent un accès système étendu et sont couramment exploités par les attaquants pour l'escalade de privilèges et la persistance. De plus, surveillez les attributions de SeServiceLogonRight aux comptes utilisateur (plutôt qu'aux comptes de service), SeInteractiveLogonRight aux comptes de service, et toute attribution à des comptes récemment créés ou à des comptes avec des schémas de nommage suspects.
Comment enquêter sur l'ID d'événement 4704 lorsqu'il apparaît fréquemment dans mon environnement ?+
Les occurrences fréquentes de l'ID d'événement 4704 sont souvent normales dans les environnements Active Directory en raison du traitement des stratégies de groupe, mais une enquête est justifiée si la fréquence augmente soudainement. Commencez par filtrer les événements par plage de temps et analyser les modèles—recherchez des droits d'utilisateur spécifiques, des comptes cibles et des processus initiateurs. Utilisez PowerShell pour regrouper les événements par PrivilegeName et TargetUserName afin d'identifier les attributions les plus courantes. Vérifiez si la fréquence est corrélée avec des modifications de stratégie de groupe, de nouvelles installations logicielles ou des activités administratives. Créez une base de référence des modèles d'attribution normaux pendant une période stable, puis comparez l'activité actuelle à cette base de référence. Si les attributions sont dictées par des politiques, vérifiez que les paramètres de stratégie de groupe sont conformes aux exigences de sécurité de votre organisation.
L'ID d'événement 4704 peut-il aider à détecter les menaces persistantes avancées (APT) et les menaces internes ?+
Oui, l'ID d'événement 4704 est précieux pour détecter à la fois les APT et les menaces internes, bien qu'il nécessite une corrélation avec d'autres événements de sécurité pour une analyse complète. Les APT manipulent souvent les droits des utilisateurs dans le cadre de leur stratégie de persistance—recherchez des attributions de privilèges inhabituelles suivies d'événements de connexion (4624) et d'événements d'utilisation de privilèges (4672, 4673). Les menaces internes peuvent se manifester par une accumulation progressive de privilèges ou des attributions en dehors des processus administratifs normaux. Les stratégies de détection clés incluent : la surveillance des attributions de privilèges à des comptes qui ne les reçoivent généralement pas, la corrélation des attributions avec des activités suspectes ultérieures, le suivi des attributions effectuées en dehors des heures de bureau ou par des comptes non administratifs, et l'identification de schémas où plusieurs privilèges de grande valeur sont attribués au même compte au fil du temps. Combinez cette analyse avec l'analyse du comportement des utilisateurs et la surveillance du réseau pour une détection optimale des menaces.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4704 and related privilege assignment monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows User Rights Assignment DocumentationOfficial documentation covering all Windows user rights, their purposes, and security implications for proper Event ID 4704 analysis.https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#user-rights#event-id-4704

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...