ID d'événement Windows 4705 – Microsoft-Windows-Security-Auditing : Compte utilisateur verrouillé

Naviguez vers Observateur d'événements → Journaux Windows → Sécurité pour examiner les détails de l'événement de verrouillage.

1. Ouvrez l'Observateur d'événements en appuyant sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
2. Naviguez vers Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4705 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4705 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'événement pour voir les détails, y compris :
• Nom du compte : Le compte utilisateur verrouillé
• Domaine du compte : Le nom du domaine ou de l'ordinateur
• Nom de l'ordinateur appelant : Système qui a déclenché le verrouillage
• Compte de l'ordinateur appelant : Compte utilisé pour les tentatives d'authentification
6. Notez l'horodatage pour le corréler avec d'autres événements de sécurité

Utilisez PowerShell pour interroger plusieurs événements de verrouillage :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4705} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Déverrouillez le compte utilisateur affecté et réinitialisez le compteur de verrouillage à l'aide des outils Active Directory ou des commandes PowerShell.

1. Pour les comptes de domaine, ouvrez Utilisateurs et ordinateurs Active Directory
2. Accédez au compte utilisateur et faites un clic droit pour sélectionner Propriétés
3. Allez à l'onglet Compte et cochez Déverrouiller le compte si disponible
4. Cliquez sur OK pour appliquer les modifications

Utilisez PowerShell pour déverrouiller les comptes de domaine :

# Déverrouiller un compte utilisateur spécifique
Unlock-ADAccount -Identity "username"

# Vérifier le statut de verrouillage du compte
Get-ADUser -Identity "username" -Properties LockedOut, AccountLockoutTime | Select-Object Name, LockedOut, AccountLockoutTime

# Trouver tous les comptes verrouillés dans le domaine
Search-ADAccount -LockedOut | Select-Object Name, DistinguishedName

Pour les comptes locaux, utilisez la console Utilisateurs et groupes locaux :

1. Ouvrez Gestion de l'ordinateur → Utilisateurs et groupes locaux → Utilisateurs
2. Faites un clic droit sur le compte verrouillé et sélectionnez Propriétés
3. Décochez Le compte est verrouillé dans l'onglet Général

Utilisez des requêtes PowerShell avancées pour identifier la source et le modèle des verrouillages de compte sur plusieurs contrôleurs de domaine.

# Interroger tous les contrôleurs de domaine pour les événements de verrouillage
$DCs = Get-ADDomainController -Filter *
$LockoutEvents = @()

foreach ($DC in $DCs) {
    $Events = Get-WinEvent -ComputerName $DC.HostName -FilterHashtable @{
        LogName = 'Security'
        Id = 4705
        StartTime = (Get-Date).AddHours(-24)
    } -ErrorAction SilentlyContinue
    
    $LockoutEvents += $Events | ForEach-Object {
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            DomainController = $DC.HostName
            AccountName = ($_.Message -split '\n' | Where-Object {$_ -match 'Account Name:'} | ForEach-Object {$_.Split(':')[1].Trim()})
            CallerComputer = ($_.Message -split '\n' | Where-Object {$_ -match 'Caller Computer Name:'} | ForEach-Object {$_.Split(':')[1].Trim()})
        }
    }
}

# Afficher les résultats triés par heure
$LockoutEvents | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

Identifier les modèles de verrouillage et les sources potentielles d'attaque :

# Regrouper les verrouillages par ordinateur appelant pour identifier les sources d'attaque
$LockoutEvents | Group-Object CallerComputer | Sort-Object Count -Descending | Select-Object Name, Count

# Trouver les comptes avec plusieurs verrouillages
$LockoutEvents | Group-Object AccountName | Where-Object {$_.Count -gt 1} | Select-Object Name, Count

Examinez et ajustez les paramètres de la stratégie de verrouillage de compte pour équilibrer la sécurité avec les exigences d'utilisabilité.

1. Ouvrez la Console de gestion des stratégies de groupe pour les stratégies de domaine
2. Accédez à Stratégie de domaine par défaut → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie de verrouillage de compte
3. Configurez les paramètres suivants :
• Seuil de verrouillage de compte : Nombre de tentatives échouées (recommandé : 5-10)
• Durée de verrouillage de compte : Durée pendant laquelle le compte reste verrouillé (recommandé : 15-30 minutes)
• Réinitialiser le compteur de verrouillage de compte après : Fenêtre de temps pour compter les échecs (recommandé : 15-30 minutes)

Utilisez PowerShell pour vérifier la politique de verrouillage actuelle :

# Vérifier la politique de verrouillage de compte de domaine
Get-ADDefaultDomainPasswordPolicy | Select-Object LockoutThreshold, LockoutDuration, LockoutObservationWindow

# Vérifier la politique de mot de passe à granularité fine si applicable
Get-ADFineGrainedPasswordPolicy -Filter * | Select-Object Name, LockoutThreshold, LockoutDuration

Pour la politique de l'ordinateur local, utilisez la Stratégie de sécurité locale :

1. Exécutez secpol.msc en tant qu'administrateur
2. Accédez à Stratégies de compte → Stratégie de verrouillage de compte
3. Configurez les paramètres de seuil de verrouillage, de durée et de réinitialisation du compteur

Configurez une surveillance complète et une alerte automatisée pour les événements de verrouillage de compte afin de permettre une réponse rapide aux incidents.

Créez un script PowerShell pour une surveillance continue :

# Script de surveillance des verrouillages de compte
param(
    [int]$ThresholdMinutes = 60,
    [int]$MaxLockouts = 5,
    [string]$EmailTo = "admin@company.com",
    [string]$SMTPServer = "mail.company.com"
)

$StartTime = (Get-Date).AddMinutes(-$ThresholdMinutes)
$LockoutEvents = Get-WinEvent -FilterHashtable @{
    LogName = 'Security'
    Id = 4705
    StartTime = $StartTime
} -ErrorAction SilentlyContinue

if ($LockoutEvents.Count -ge $MaxLockouts) {
    $AlertMessage = @"
Verrouillages de compte multiples détectés :
Plage horaire : $StartTime à $(Get-Date)
Verrouillages totaux : $($LockoutEvents.Count)

Événements récents :
$($LockoutEvents | Select-Object -First 10 | Format-Table TimeCreated, Message -AutoSize | Out-String)
"@
    
    Send-MailMessage -To $EmailTo -From "lockout-monitor@company.com" -Subject "Alerte de verrouillage de compte" -Body $AlertMessage -SmTPServer $SMTPServer
}

Configurez le transfert d'événements Windows pour une surveillance centralisée :

1. Sur le serveur collecteur, exécutez wecutil qc pour configurer le collecteur d'événements Windows
2. Créez un fichier de configuration d'abonnement :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AccountLockouts</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Événements de verrouillage de compte</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4705]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>

Importez l'abonnement :

wecutil cs AccountLockouts.xml