ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4720 account creation logs on a security monitoring dashboard
Event ID 4720InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4720 – Microsoft-Windows-Security-Auditing : Compte utilisateur créé

L'ID d'événement 4720 enregistre la création d'un nouveau compte utilisateur sur les systèmes Windows. Cet événement d'audit de sécurité suit les activités de création de compte à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4720Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4720 représente l'un des événements d'audit de sécurité les plus importants dans les environnements Windows. Généré par le fournisseur Microsoft-Windows-Security-Auditing, cet événement crée un enregistrement permanent chaque fois qu'un compte utilisateur est créé, que ce soit via des outils GUI, des utilitaires en ligne de commande ou des méthodes programmatiques.

L'événement contient des informations complètes sur le processus de création de compte, y compris l'identifiant de sécurité (SID) du créateur et du nouveau compte, les attributs de compte définis lors de la création, et le poste de travail à partir duquel la création a été initiée. Ce niveau de détail granulaire permet de reconstituer exactement ce qui s'est passé lors des processus de provisionnement de compte.

Dans les environnements Active Directory, cet événement se déclenche sur les contrôleurs de domaine lorsque de nouveaux comptes de domaine sont créés, tandis que sur les systèmes autonomes, il apparaît lorsque des comptes locaux sont ajoutés. La structure de l'événement inclut des champs pour le nom de compte, le domaine, les indicateurs de contrôle de compte utilisateur, et d'autres attributs pertinents pour la sécurité qui ont été configurés lors de la création du compte.

Les équipes de sécurité s'appuient fortement sur cet événement pour détecter la création non autorisée de comptes, surveiller le provisionnement de comptes privilégiés, et maintenir la conformité avec les réglementations qui exigent des pistes d'audit détaillées des activités de gestion des accès utilisateurs.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur créant de nouveaux comptes utilisateurs via la console Utilisateurs et ordinateurs Active Directory
  • Systèmes de provisionnement automatisé d'utilisateurs ajoutant des comptes via PowerShell ou d'autres outils de script
  • Systèmes RH intégrant avec Active Directory pour créer des comptes employés
  • Création de comptes de service pour les applications et services système
  • Création de comptes locaux sur les stations de travail ou serveurs membres
  • Opérations d'importation en masse d'utilisateurs utilisant des outils comme csvde ou ldifde
  • Solutions de gestion d'identité tierces provisionnant des comptes
  • Commandes PowerShell utilisant les cmdlets New-ADUser ou New-LocalUser
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails de l'événement pour comprendre quel compte a été créé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4720 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4720 pour voir des informations détaillées
  6. Examinez les champs clés, y compris :
    • Sujet : Qui a créé le compte
    • Nouveau compte : Détails du compte créé
    • Attributs : Propriétés du compte définies lors de la création
    • Informations supplémentaires : Privilèges et indicateurs de contrôle du compte
Astuce pro : Faites attention au champ Contrôle de compte utilisateur qui montre quelles permissions et restrictions ont été appliquées au nouveau compte.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les événements de création de compte sur plusieurs systèmes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de création de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Pour une analyse plus détaillée, extrayez des champs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        CreatedBy = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        NewAccount = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        Domain = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
  4. Filtrez les événements par plage de dates :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720; StartTime=$StartTime; EndTime=$EndTime}
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez des filtres de date et le paramètre MaxEvents pour limiter les résultats.
03

Analyser les modèles de création de compte

Enquêter sur les modèles inhabituels de création de comptes qui pourraient indiquer des problèmes de sécurité ou de processus.

  1. Créer un script PowerShell pour analyser les modèles de création :
    # Analyser la création de comptes par créateur
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720} -MaxEvents 1000
$CreationStats = $Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        Creator = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TimeCreated = $_.TimeCreated
        NewAccount = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object Creator | Sort-Object Count -Descending

$CreationStats | Format-Table Name, Count
  2. Vérifier la création de comptes en dehors des heures de bureau :
    # Trouver la création de comptes en dehors des heures de bureau (avant 8h ou après 18h)
$Events | Where-Object {
    $_.TimeCreated.Hour -lt 8 -or $_.TimeCreated.Hour -gt 18
} | Format-Table TimeCreated, Message -Wrap
  3. Chercher une création rapide de comptes (opérations en masse potentielles) :
    # Grouper les événements par intervalles de 5 minutes pour trouver des créations en masse
$Events | Group-Object {$_.TimeCreated.ToString('yyyy-MM-dd HH:mm').Substring(0,16)} | Where-Object {$_.Count -gt 5} | Format-Table Name, Count
04

Recouper avec les journaux Active Directory

Dans les environnements de domaine, corrélez l'ID d'événement 4720 avec d'autres événements Active Directory pour une visibilité complète.

  1. Vérifiez les journaux du service d'annuaire sur les contrôleurs de domaine :
    Get-WinEvent -FilterHashtable @{LogName='Directory Service'; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*user*create*'}
  2. Interrogez Active Directory pour les comptes récemment créés :
    Import-Module ActiveDirectory
$Yesterday = (Get-Date).AddDays(-1)
Get-ADUser -Filter {whenCreated -gt $Yesterday} -Properties whenCreated, CreatedBy | Select-Object Name, whenCreated, DistinguishedName
  3. Comparez les événements du journal de sécurité avec les horodatages de création AD :
    # Obtenez à la fois les événements de sécurité et les données AD
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720; StartTime=$Yesterday}
$ADUsers = Get-ADUser -Filter {whenCreated -gt $Yesterday} -Properties whenCreated

# Recoupez les données
foreach ($user in $ADUsers) {
    $matchingEvent = $SecurityEvents | Where-Object {$_.Message -like "*$($user.Name)*"}
    if ($matchingEvent) {
        Write-Host "Match found: $($user.Name) created at $($user.whenCreated)"
    }
}
  4. Vérifiez les événements de sécurité orphelins (événements sans objets AD correspondants) :
    # Cela pourrait indiquer des comptes supprimés ou des créations échouées
$SecurityEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $accountName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    try {
        Get-ADUser $accountName -ErrorAction Stop
    } catch {
        Write-Warning "Account $accountName from event not found in AD"
    }
}
05

Configurer la surveillance avancée et les alertes

Configurez une surveillance proactive pour détecter les activités de création de comptes non autorisées ou suspectes.

  1. Créez une tâche planifiée pour surveiller la création de comptes:
    # Créer un script de surveillance
$ScriptContent = @'
$Events = Get-WinEvent -FilterHashtable @{LogName="Security"; Id=4720; StartTime=(Get-Date).AddMinutes(-15)} -ErrorAction SilentlyContinue
if ($Events) {
    $Events | ForEach-Object {
        $xml = [xml]$_.ToXml()
        $creator = $xml.Event.EventData.Data | Where-Object {$_.Name -eq "SubjectUserName"} | Select-Object -ExpandProperty "#text"
        $newAccount = $xml.Event.EventData.Data | Where-Object {$_.Name -eq "TargetUserName"} | Select-Object -ExpandProperty "#text"
        Write-EventLog -LogName Application -Source "Account Monitor" -EventId 1001 -Message "New account created: $newAccount by $creator at $($_.TimeCreated)"
    }
}
'@
$ScriptContent | Out-File -FilePath "C:\Scripts\MonitorAccountCreation.ps1"
  2. Enregistrez le script en tant que tâche planifiée:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\MonitorAccountCreation.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "Monitor Account Creation" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée:
    # Créer un abonnement d'événements personnalisé XML
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AccountCreationMonitoring</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Forward account creation events</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4720]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  4. Configurez des alertes par e-mail pour les modèles suspects:
    # Surveillance avancée avec alertes par e-mail
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720; StartTime=(Get-Date).AddHours(-1)}
if ($Events.Count -gt 10) {
    $Body = "Warning: $($Events.Count) accounts created in the last hour. This may indicate bulk provisioning or suspicious activity."
    Send-MailMessage -To "security@company.com" -From "monitoring@company.com" -Subject "High Volume Account Creation Alert" -Body $Body -SmtpServer "mail.company.com"
}
Astuce pro : Envisagez d'intégrer des solutions SIEM comme Microsoft Sentinel ou Splunk pour des capacités de corrélation avancées et de réponse automatisée.

Aperçu

L'ID d'événement 4720 se déclenche chaque fois qu'un nouveau compte utilisateur est créé sur un système Windows, que ce soit localement ou dans un environnement Active Directory. Cet événement d'audit de sécurité fait partie de la gestion complète des comptes de Windows et apparaît dans le journal des événements de sécurité lorsque les politiques d'audit pour la gestion des comptes sont activées.

L'événement capture des détails critiques, y compris qui a créé le compte, quand il a été créé, les propriétés du nouveau compte, et quel système a généré l'événement. Cela le rend inestimable pour les équipes de sécurité suivant les activités de provisionnement des utilisateurs, les auditeurs de conformité examinant la gestion des accès, et les administrateurs enquêtant sur la création non autorisée de comptes.

Dans les environnements d'entreprise, cet événement se déclenche généralement lors des processus automatisés de provisionnement des utilisateurs, de la création manuelle de comptes via Active Directory Users and Computers, ou des scripts de gestion des utilisateurs basés sur PowerShell. L'événement fournit une piste d'audit complète des activités de création de comptes à travers votre infrastructure Windows, ce qui le rend essentiel pour maintenir les bases de sécurité et répondre aux exigences de conformité réglementaire.

Questions Fréquentes

Que signifie l'ID d'événement 4720 et quand se produit-il ?+
L'ID d'événement 4720 est un événement d'audit de sécurité qui enregistre chaque fois qu'un nouveau compte utilisateur est créé sur un système Windows. Il se produit lors de toute activité de création de compte, que ce soit via des outils GUI comme Utilisateurs et ordinateurs Active Directory, des utilitaires en ligne de commande comme net user, ou des cmdlets PowerShell comme New-ADUser. L'événement capture des détails complets sur qui a créé le compte, quand il a été créé, et quelles propriétés ont été attribuées au nouveau compte. Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité, et le suivi des activités de provisionnement des utilisateurs dans les environnements Windows.
Comment puis-je savoir qui a créé un compte utilisateur à partir de l'ID d'événement 4720 ?+
L'ID d'événement 4720 contient des informations détaillées sur le créateur du compte dans la section 'Sujet' de l'événement. Vous pouvez trouver le nom d'utilisateur du créateur dans le champ 'Nom d'utilisateur du sujet', leur domaine dans le champ 'Nom de domaine du sujet', et leur ID de sécurité dans le champ 'ID de sécurité du sujet'. De plus, l'événement montre l'ID de connexion et les informations de processus de la session qui a créé le compte. Pour extraire ces informations de manière programmatique, utilisez PowerShell pour analyser le XML de l'événement et filtrer le champ de données 'SubjectUserName', qui contient le nom de l'utilisateur ayant effectué la création du compte.
Pourquoi ne vois-je pas l'ID d'événement 4720 dans mon journal de sécurité ?+
L'ID d'événement 4720 n'apparaît que lorsque les stratégies d'audit pour la gestion des comptes sont correctement configurées. Vous devez activer 'Audit de la gestion des comptes d'utilisateur' dans votre stratégie de sécurité locale ou Stratégie de groupe. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des comptes d'utilisateur et définissez-le sur 'Succès' ou 'Succès et échec'. Sur les contrôleurs de domaine, cette stratégie est généralement activée par défaut, mais sur les stations de travail et les serveurs membres, vous devrez peut-être la configurer manuellement. Assurez-vous également que le journal de sécurité a une taille suffisante pour conserver ces événements et qu'il n'est pas effacé fréquemment.
L'ID d'événement 4720 peut-il aider à détecter la création de comptes non autorisés ?+
Oui, l'ID d'événement 4720 est excellent pour détecter la création non autorisée de comptes lorsqu'il est correctement surveillé. Recherchez les comptes créés en dehors des heures ouvrables normales, par des utilisateurs inattendus ou en volumes inhabituels. Configurez une surveillance automatisée pour alerter sur la création de comptes par des utilisateurs non administratifs, la création de comptes avec des privilèges élevés ou des modèles de création de comptes en masse qui ne correspondent pas à vos processus de provisionnement normaux. Recoupez les événements avec vos processus de gestion des changements et les systèmes RH pour identifier les comptes créés sans autorisation appropriée. Envisagez de mettre en place des alertes en temps réel pour tout événement de création de compte qui se produit en dehors de vos procédures établies.
Quelle est la différence entre l'ID d'événement 4720 et les autres événements liés aux comptes ?+
L'ID d'événement 4720 suit spécifiquement la création de comptes, tandis que d'autres événements connexes couvrent différentes activités de gestion des comptes. L'ID d'événement 4722 enregistre lorsque les comptes sont activés, 4725 lorsque les comptes sont désactivés, 4726 lorsque les comptes sont supprimés, et 4738 lorsque les propriétés des comptes sont modifiées. Les ID d'événement 4728-4732 couvrent les changements d'appartenance à des groupes, tandis que 4740 suit les verrouillages de comptes. Comprendre ces distinctions est crucial pour un audit complet de la gestion des comptes. L'ID d'événement 4720 fournit les informations les plus détaillées sur la création de nouveaux comptes, y compris les propriétés initiales du compte, tandis que les autres événements se concentrent sur les modifications ultérieures des comptes existants. Ensemble, ces événements fournissent une piste d'audit complète de la gestion du cycle de vie des comptes.
Documentation

Références (1)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4720 and account management auditing configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4720#account-management

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...