ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Server monitoring dashboard displaying Active Directory domain trust relationships and security audit logs
Event ID 4716InformationSecurityWindows

ID d'événement Windows 4716 – Sécurité : Les informations d'un domaine de confiance ont été modifiées

L'ID d'événement 4716 enregistre lorsque les informations de domaine de confiance sont modifiées dans Active Directory, indiquant des changements dans les relations de confiance de domaine qui affectent l'authentification et l'autorisation entre les domaines.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4716Security 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4716 représente un événement d'audit de sécurité qui se produit lorsque des informations de domaine de confiance sont modifiées dans Active Directory. Cet événement est généré par les contrôleurs de domaine lorsque des modifications sont apportées aux relations de confiance de domaine, qui sont fondamentales pour les environnements Active Directory multi-domaines.

Les relations de confiance permettent aux utilisateurs d'un domaine d'accéder aux ressources d'un autre domaine sans nécessiter d'identifiants distincts. Lorsque ces relations sont modifiées, l'ID d'événement 4716 capture le changement à des fins d'audit de sécurité. L'événement inclut des détails complets sur la modification, y compris le compte utilisateur qui a initié le changement, la confiance spécifique qui a été modifiée et la nature des changements effectués.

L'événement est particulièrement important dans les environnements d'entreprise où plusieurs domaines existent au sein d'une forêt ou où des confiances externes sont établies avec d'autres organisations. Toute modification des relations de confiance peut avoir des implications de sécurité significatives, car ces changements affectent les flux d'authentification, les autorisations d'accès aux ressources et les frontières de sécurité entre les domaines.

Les versions modernes de Windows Server en 2026 ont amélioré la granularité de cet événement, fournissant des informations plus détaillées sur les modifications de confiance et une meilleure intégration avec les systèmes avancés de protection contre les menaces. L'événement aide les équipes de sécurité à maintenir une visibilité sur les changements d'infrastructure critiques qui pourraient être exploités par des attaquants tentant d'escalader les privilèges ou de se déplacer latéralement à travers les frontières de domaine.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Administrateur modifiant les paramètres d'authentification de confiance ou les types de chiffrement
  • Modifications de la direction de la confiance (unidirectionnelle à bidirectionnelle ou vice versa)
  • Modification des paramètres de validation de la confiance ou de l'authentification sélective
  • Mises à jour des mots de passe de confiance ou des secrets partagés
  • Modifications du filtrage de la confiance ou des paramètres de quarantaine
  • Modification des attributs de confiance via PowerShell ou des outils d'administration
  • Opérations automatisées de maintenance de la confiance par les contrôleurs de domaine
  • Réparations ou procédures de rétablissement des relations de confiance
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4716 pour comprendre ce qui a été modifié.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4716 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez les champs clés suivants :
    • Sujet : Compte qui a effectué le changement
    • Informations sur le domaine de confiance : Détails sur la confiance modifiée
    • Modifications effectuées : Modifications spécifiques réalisées
  6. Notez l'horodatage et corrélez-le avec toute maintenance planifiée ou activité administrative
Astuce pro : La description de l'événement inclut les valeurs avant et après pour les attributs de confiance modifiés, ce qui permet d'identifier facilement ce qui a changé.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser les entrées de l'ID d'événement 4716 sur plusieurs contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de modification de confiance :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4716} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4716; StartTime=$StartTime}
$Events | Format-Table TimeCreated, Message -Wrap
  4. Extrait des informations spécifiques de confiance :
    $Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $EventData = $Event.Event.EventData.Data
    [PSCustomObject]@{
        Time = $_.TimeCreated
        User = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        Domain = ($EventData | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
        TrustedDomain = ($EventData | Where-Object {$_.Name -eq 'TrustedDomainName'}).'#text'
    }
}
03

Vérifier le statut de confiance et la configuration

Validez la configuration de confiance actuelle pour vous assurer que les modifications ont été appliquées correctement et identifiez tout problème.

  1. Vérifiez les relations de confiance en utilisant netdom:
    netdom trust /domain:yourdomain.com /verify
  2. Listez toutes les relations de confiance:
    Get-ADTrust -Filter * | Select-Object Name, Direction, TrustType, Created, Modified
  3. Testez la connectivité de confiance:
    Test-ComputerSecureChannel -Server dc01.yourdomain.com
  4. Vérifiez l'authentification de confiance:
    nltest /trusted_domains
  5. Vérifiez les paramètres de validation de confiance:
    Get-ADTrust -Identity "TrustedDomainName" | Select-Object SelectiveAuthentication, SIDFilteringQuarantined
  6. Examinez les propriétés de confiance dans la console Domaines et Confiances Active Directory
Avertissement : Testez toujours la fonctionnalité de confiance après les modifications pour vous assurer que l'authentification et l'accès aux ressources fonctionnent correctement.
04

Auditer l'historique des modifications de confiance

Effectuer un audit complet des modifications de confiance pour identifier les modèles ou les changements non autorisés.

  1. Activer les politiques d'audit avancées si elles ne sont pas déjà configurées:
    auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable
  2. Interroger les événements de modification de confiance sur tous les contrôleurs de domaine:
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Invoke-Command -ComputerName $DC.Name -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4716} -MaxEvents 20 -ErrorAction SilentlyContinue
    }
}
  3. Créer un rapport d'audit de confiance complet:
    $TrustEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4716} -MaxEvents 100
$Report = $TrustEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        Domain = ($EventData | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
        TrustedDomain = ($EventData | Where-Object {$_.Name -eq 'TrustedDomainName'}).'#text'
        Changes = $_.Message
    }
}
$Report | Export-Csv -Path "C:\TrustAudit.csv" -NoTypeInformation
05

Implement Monitoring and Alerting

Set up proactive monitoring for trust modifications to detect unauthorized changes quickly.

  1. Create a scheduled task to monitor Event ID 4716:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\TrustMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
$Principal = New-ScheduledTaskPrincipal -UserID "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "TrustModificationMonitor" -Action $Action -Trigger $Trigger -Principal $Principal
  2. Create the monitoring script (C:\Scripts\TrustMonitor.ps1):
    # Check for new Event ID 4716 entries
$LastCheck = Get-Content "C:\Scripts\LastCheck.txt" -ErrorAction SilentlyContinue
if (-not $LastCheck) { $LastCheck = (Get-Date).AddHours(-1) }

$NewEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4716
    StartTime=[DateTime]$LastCheck
} -ErrorAction SilentlyContinue

if ($NewEvents) {
    # Send alert email or notification
    $Body = "Trust modification detected: $($NewEvents.Count) events"
    Send-MailMessage -To "admin@company.com" -From "monitor@company.com" -Subject "Trust Modification Alert" -Body $Body -SmtpServer "mail.company.com"
}

Get-Date | Out-File "C:\Scripts\LastCheck.txt"
  3. Configure Windows Event Forwarding to centralize trust modification events
  4. Set up SIEM integration to correlate trust changes with other security events
Pro tip: Consider implementing approval workflows for trust modifications in production environments to prevent unauthorized changes.

Aperçu

L'ID d'événement 4716 se déclenche lorsque les informations de domaine de confiance sont modifiées dans Active Directory. Cet événement capture les modifications des relations de confiance de domaine, qui sont des composants critiques des environnements multi-domaines. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine lorsque les administrateurs modifient les propriétés de confiance, les paramètres d'authentification ou les paramètres de validation de la confiance.

Cet événement fait partie de la politique d'audit avancée pour la gestion des comptes et suit spécifiquement les modifications des objets de domaine de confiance. Dans les environnements d'entreprise avec des structures de domaine complexes, cet événement aide les administrateurs à suivre les modifications qui pourraient affecter l'authentification inter-domaines, l'accès aux ressources et les frontières de sécurité. L'événement fournit des informations détaillées sur ce qui a été modifié, qui a effectué la modification et quand elle a eu lieu.

Les contrôleurs de domaine génèrent cet événement lors de l'établissement de la confiance, de la modification des propriétés de confiance ou lorsque les paramètres de validation de la confiance sont mis à jour. L'événement inclut l'ID de sécurité du compte effectuant la modification, les informations du domaine cible et des détails spécifiques sur les modifications effectuées sur la relation de confiance.

Questions Fréquentes

What does Event ID 4716 indicate about domain security?+
Event ID 4716 indicates that trusted domain information has been modified, which is a significant security event. Trust relationships control authentication and authorization between domains, so any changes can affect security boundaries. This event helps administrators track when trust configurations are altered, who made the changes, and what specific modifications occurred. In security terms, unauthorized trust modifications could potentially allow attackers to escalate privileges or move laterally between domains.
How can I determine what specific trust changes were made in Event ID 4716?+
The Event ID 4716 entry contains detailed information about the specific changes made to the trust relationship. In the event details, look for the 'Changes Made' section which shows before and after values for modified attributes. Common changes include trust direction modifications, authentication type updates, encryption changes, and selective authentication settings. You can also use PowerShell to parse the event XML data and extract specific change details programmatically for analysis.
Should I be concerned about frequent Event ID 4716 entries?+
Frequent Event ID 4716 entries warrant investigation, as trust relationships should not change frequently in stable environments. Regular occurrences could indicate automated trust maintenance, but they could also suggest unauthorized modifications or misconfigurations. Establish a baseline of normal trust modification patterns in your environment and investigate any deviations. Pay particular attention to changes made outside of maintenance windows or by unexpected user accounts.
Can Event ID 4716 help detect privilege escalation attacks?+
Yes, Event ID 4716 can be valuable for detecting certain privilege escalation attacks, particularly those involving trust relationship manipulation. Attackers with sufficient privileges might attempt to modify trust settings to weaken security boundaries or enable unauthorized access between domains. Monitor for trust modifications that reduce security settings, such as disabling selective authentication or changing trust directions. Correlate these events with other suspicious activities like unusual logon patterns or privilege changes.
How do I configure auditing to ensure Event ID 4716 is captured?+
To ensure Event ID 4716 is captured, enable the 'Audit Computer Account Management' policy under Advanced Audit Policy Configuration. Use the command 'auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable' to configure this setting. This policy should be applied to all domain controllers in your environment. Additionally, ensure that the Security log has sufficient size to retain these events, as trust modifications are critical security events that should be preserved for analysis and compliance purposes.
Documentation

Références (2)

1
Microsoft Learn - Advanced Security Audit PoliciesOfficial Microsoft documentation covering advanced audit policy configuration including computer account management auditing.https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations
2
Microsoft Docs - Domain and Forest TrustsComprehensive guide to understanding and managing domain trust relationships in Active Directory environments.https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-concepts
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4716#domain-trusts

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...