ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4722 user account enabled audit logs
Event ID 4722InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4722 – Microsoft-Windows-Security-Auditing : Compte utilisateur activé

L'ID d'événement 4722 se déclenche lorsqu'un compte utilisateur est activé dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi des changements d'état des comptes.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4722Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4722 représente un composant fondamental de l'audit de sécurité Windows, suivant spécifiquement les opérations d'activation de comptes utilisateur. Lorsque Windows traite une demande d'activation de compte, l'Autorité de sécurité locale (LSA) génère cet événement d'audit avant de valider le changement dans la base de données des comptes. Cela garantit que l'action est enregistrée même si les opérations ultérieures échouent.

La structure de l'événement inclut des données critiques pour la criminalistique : le nom d'utilisateur et le SID du compte cible, les détails du sujet (compte effectuant l'action), l'ID de connexion pour le suivi de session, et les informations de timestamp. Pour les environnements Active Directory, l'événement se déclenche sur le contrôleur de domaine traitant le changement, tandis que les changements de compte local génèrent des événements sur le poste de travail ou le serveur respectif.

Les équipes de sécurité s'appuient sur l'événement 4722 pour plusieurs scénarios : détecter des activations de comptes en masse pouvant indiquer une préparation d'attaque, suivre les actions administratives pour l'audit de conformité, et corréler les changements d'état de compte avec d'autres événements de sécurité. L'événement s'intègre avec Windows Event Forwarding (WEF) et les solutions SIEM pour une surveillance centralisée.

Comprendre le contexte de cet événement est essentiel car l'activation de compte précède souvent d'autres activités. Les attaquants qui obtiennent un accès administratif pourraient activer des comptes dormants pour la persistance, tandis que les administrateurs légitimes activent des comptes pour de nouveaux employés ou du personnel de retour. Le timing, la fréquence et les comptes associés fournissent un contexte crucial pour déterminer si l'activité représente des opérations commerciales normales ou des incidents de sécurité potentiels.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur activant manuellement un compte utilisateur désactivé via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell ou processus automatisés activant des comptes à l'aide des cmdlets Enable-ADAccount ou Set-LocalUser
  • Traitement des stratégies de groupe qui active des comptes en fonction de l'appartenance à une unité organisationnelle
  • Systèmes de gestion d'identité tiers activant des comptes via des opérations LDAP
  • Exchange ou d'autres services Microsoft activant des comptes de service associés
  • Opérations de compte en masse effectuées via des importations CSV ou des outils de migration
  • Portails de libre-service permettant aux utilisateurs de réactiver leurs propres comptes
  • Tâches planifiées ou flux de travail activant des comptes en fonction de règles métier
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'Événement 4722 pour comprendre le contexte et identifier les comptes impliqués.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4722 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur les entrées de l'Événement 4722 pour voir les informations détaillées
  6. Consultez l'onglet Général pour les détails de base et l'onglet Détails pour les données structurées
  7. Notez les champs Sujet indiquant qui a effectué l'action et les champs Compte cible indiquant quel compte a été activé
  8. Vérifiez l'ID de connexion pour corréler avec d'autres événements de la même session

Portez une attention particulière à l'horodatage et à la question de savoir si plusieurs comptes ont été activés en succession rapide, ce qui pourrait indiquer des opérations en masse ou des incidents de sécurité potentiels.

02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'événement 4722 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents d'activation de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage de dates spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrait des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetSid = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722} | Export-Csv -Path "C:\Temp\AccountEnabled_Events.csv" -NoTypeInformation
Astuce pro : Combinez l'événement 4722 avec l'événement 4720 (compte créé) et l'événement 4738 (compte modifié) pour obtenir une vue complète des activités du cycle de vie des comptes.
03

Enquêter sur les modifications de compte Active Directory

Pour les environnements de domaine, examinez le contexte Active Directory des événements d'activation de compte.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory depuis Outils d'administration
  2. Activez Fonctionnalités avancées dans le menu Affichage
  3. Localisez le compte utilisateur mentionné dans l'événement 4722
  4. Cliquez avec le bouton droit sur le compte et sélectionnez Propriétés
  5. Vérifiez l'onglet Compte pour confirmer l'état actuel du compte
  6. Examinez l'onglet Éditeur d'attributs pour des modifications d'attributs détaillées
  7. Utilisez PowerShell pour interroger les détails du compte AD :
    Import-Module ActiveDirectory
Get-ADUser -Identity "username" -Properties whenChanged, whenCreated, userAccountControl, lastLogon | Format-List
  8. Vérifiez les modifications récentes du compte :
    Get-ADUser -Filter * -Properties whenChanged | Where-Object {$_.whenChanged -gt (Get-Date).AddDays(-1)} | Select-Object Name, whenChanged, Enabled
  9. Examinez les modifications d'appartenance au groupe qui pourraient avoir déclenché l'activation :
    Get-ADPrincipalGroupMembership -Identity "username" | Select-Object Name, GroupCategory, GroupScope
  10. Examinez les métadonnées de réplication pour le compte :
    Get-ADReplicationAttributeMetadata -Object "CN=username,OU=Users,DC=domain,DC=com" -Server "DomainController"
Avertissement : Vérifiez toujours que l'activation du compte est conforme aux processus de gestion des changements de votre organisation avant de prendre toute mesure corrective.
04

Corréler avec les événements d'authentification et d'accès

Analysez l'événement 4722 dans le contexte des événements d'authentification et d'accès associés pour comprendre l'étendue complète de l'activité du compte.

  1. Interrogez les événements de connexion après l'activation du compte :
    $AccountEnabled = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722} -MaxEvents 1
$EnableTime = $AccountEnabled.TimeCreated
$EndTime = $EnableTime.AddHours(24)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$EnableTime; EndTime=$EndTime} | Where-Object {$_.Message -like "*username*"}
  2. Vérifiez les événements d'escalade de privilèges :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674} | Where-Object {$_.TimeCreated -gt $EnableTime -and $_.Message -like "*username*"}
  3. Recherchez les événements de gestion de compte en séquence :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720,4722,4724,4725,4726,4738} | Sort-Object TimeCreated | Format-Table TimeCreated, Id, Message -Wrap
  4. Examinez l'accès aux fichiers et au registre après l'activation :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656,4658,4663} | Where-Object {$_.TimeCreated -gt $EnableTime -and $_.Message -like "*username*"} | Select-Object TimeCreated, Id, Message
  5. Créez une chronologie des événements associés :
    $Events = @(4720,4722,4724,4725,4726,4738,4624,4625,4672)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$Events; StartTime=$EnableTime.AddHours(-1); EndTime=$EnableTime.AddHours(1)} | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\AccountActivity_Timeline.csv"

Cette corrélation aide à identifier si l'activation du compte a été suivie d'une activité commerciale légitime ou de comportements potentiellement suspects.

05

Mettre en œuvre la surveillance et l'alerte pour l'activation des comptes

Configurez une surveillance proactive pour détecter et répondre aux événements d'activation de compte en temps réel.

  1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance :
    • Ouvrez Visualiseur d'événements et cliquez avec le bouton droit sur Vues personnalisées
    • Sélectionnez Créer une vue personnalisée
    • Choisissez Par journal et sélectionnez Sécurité
    • Entrez 4722 dans le champ ID d'événements
    • Nommer la vue "Surveillance de l'activation de compte"
  2. Configurez le transfert d'événements Windows pour une collecte centralisée :
    # Sur le serveur collecteur
wecutil qc
wecutil cs subscription.xml
  3. Créez un script de surveillance PowerShell :
    # AccountEnablementMonitor.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722; StartTime=$LastCheck}
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $TargetUser = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $SubjectUser = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    
    Write-Host "ALERT: Account $TargetUser enabled by $SubjectUser at $($Event.TimeCreated)" -ForegroundColor Red
    # Ajoutez ici la logique de notification (email, webhook, etc.)
}
  4. Planifiez le script de surveillance :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\AccountEnablementMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "AccountEnablementMonitor" -Action $Action -Trigger $Trigger -User "SYSTEM"
  5. Configurez l'intégration SIEM en utilisant le transfert d'événements Windows ou l'envoi direct de journaux à votre plateforme de surveillance de sécurité
Astuce pro : Configurez différents seuils d'alerte pour différents types de comptes - les comptes de service, les comptes administratifs et les comptes d'utilisateurs réguliers devraient avoir des niveaux de sensibilité de surveillance différents.

Aperçu

L'ID d'événement 4722 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est activé dans Windows. Cet événement apparaît dans le journal de sécurité et fait partie du cadre complet d'audit de gestion des comptes de Microsoft. L'événement se déclenche lorsqu'un administrateur ou un processus automatisé change l'état d'un compte utilisateur de désactivé à activé, que ce soit dans les environnements Active Directory ou les bases de données SAM locales.

Cet événement est crucial pour la surveillance de la sécurité car l'activation de comptes précédemment désactivés peut indiquer des actions administratives légitimes ou des incidents de sécurité potentiels. Les organisations surveillent généralement cet événement pour suivre la gestion du cycle de vie des comptes, détecter les activations de comptes non autorisées et maintenir la conformité avec les politiques de sécurité. L'événement fournit des informations détaillées sur qui a activé le compte, quand cela s'est produit et quel compte a été affecté.

L'événement 4722 se déclenche sur les contrôleurs de domaine pour les comptes AD et sur les machines locales pour les comptes utilisateurs locaux. Il est généré immédiatement lorsque l'état du compte change et inclut des informations contextuelles telles que l'identifiant de sécurité (SID) du compte cible et du compte effectuant l'action. Cela le rend inestimable pour les enquêtes judiciaires et la réponse aux incidents de sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4722 et pourquoi est-il important ?+
L'ID d'événement 4722 indique qu'un compte utilisateur a été activé dans Windows, soit dans Active Directory, soit dans la base de données SAM locale. Cet événement est crucial pour la surveillance de la sécurité car il suit quand des comptes précédemment désactivés sont réactivés. Les équipes de sécurité surveillent cet événement pour détecter des activations de comptes non autorisées, suivre les actions administratives pour la conformité, et identifier des incidents de sécurité potentiels où des attaquants pourraient activer des comptes dormants pour la persistance ou le mouvement latéral.
Comment puis-je déterminer qui a activé un compte utilisateur dans l'événement 4722 ?+
L'événement 4722 contient des informations détaillées sur le compte qui a été activé et sur qui a effectué l'action. Dans les détails de l'événement, recherchez les champs 'Subject' qui montrent le nom d'utilisateur, le domaine et le SID du compte qui a activé l'utilisateur. Le champ 'Logon ID' aide à corréler cette action avec la session de connexion spécifique. Vous pouvez utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4722} | ForEach-Object { $xml = [xml]$_.ToXml(); $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} }
Quelle est la différence entre l'événement 4722 et les autres événements de gestion de compte ?+
L'événement 4722 suit spécifiquement l'activation de compte, tandis que d'autres événements connexes couvrent différentes opérations de compte : l'événement 4720 enregistre la création de compte, l'événement 4724 enregistre les tentatives de réinitialisation de mot de passe, l'événement 4725 enregistre la désactivation de compte, l'événement 4726 enregistre la suppression de compte, et l'événement 4738 enregistre les modifications de compte. Comprendre ces distinctions est crucial pour une surveillance complète du cycle de vie des comptes. L'événement 4722 ne se déclenche que lorsqu'un compte passe de l'état désactivé à l'état activé, et non lorsqu'un compte déjà activé est modifié.
L'événement 4722 peut-il aider à détecter des incidents de sécurité ou des attaques ?+
Oui, l'événement 4722 est précieux pour détecter plusieurs scénarios d'attaque. Les attaquants qui obtiennent un accès administratif peuvent activer des comptes dormants ou de service pour la persistance, créer des portes dérobées en activant des comptes précédemment inutilisés, ou activer des comptes en masse en préparation de plus grandes attaques. Des schémas inhabituels comme plusieurs comptes activés simultanément, des comptes activés en dehors des heures de bureau, ou des comptes de service activés par des utilisateurs non administratifs peuvent indiquer des incidents de sécurité. Corréler l'événement 4722 avec les événements d'authentification ultérieurs (4624/4625) et les événements d'utilisation de privilèges (4672) offre des capacités de détection d'attaques complètes.
Comment devrais-je configurer la surveillance et les alertes pour l'événement 4722 ?+
Configurez la surveillance de l'événement 4722 en fonction du profil de risque de votre organisation et des types de comptes. Pour les comptes à privilèges élevés, configurez des alertes en temps réel pour toute activité d'activation. Pour les comptes d'utilisateurs réguliers, envisagez d'alerter sur les opérations en masse ou les activations en dehors des heures de bureau. Utilisez le transfert d'événements Windows pour centraliser la collecte et intégrez-le à votre SIEM pour la corrélation avec d'autres événements de sécurité. Créez différents seuils d'alerte : alertes immédiates pour les comptes administratifs, résumés quotidiens pour les utilisateurs réguliers, et surveillance spéciale pour les comptes de service. Incluez toujours le contexte comme qui a effectué l'action, quand elle a eu lieu, et si elle est conforme aux processus de gestion des changements.
Documentation

Références (1)

1
Microsoft Security Auditing Events DocumentationComprehensive documentation covering Windows security audit events including Event 4722 and related account management events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/auditing-security-events
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4722

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...