ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event ID 4724 password reset audit logs in a professional SOC environment
Event ID 4724InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4724 – Microsoft-Windows-Security-Auditing : Réinitialisation du mot de passe du compte utilisateur par l'administrateur

L'ID d'événement 4724 enregistre lorsqu'un administrateur réinitialise le mot de passe d'un autre utilisateur dans Active Directory ou des comptes locaux, fournissant une piste d'audit de sécurité critique pour les activités de gestion des mots de passe.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4724Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4724 représente un événement d'audit de sécurité fondamental que Windows génère chaque fois qu'un administrateur exerce son privilège de réinitialiser le mot de passe d'un autre utilisateur. Cet événement sert de composant critique de l'infrastructure de journalisation de la sécurité de Windows, fournissant des informations médico-légales détaillées sur les activités de gestion des mots de passe au sein de votre organisation.

L'événement capture des détails complets, y compris l'identité de l'administrateur, le compte utilisateur cible, les informations de l'horodatage et le poste de travail à partir duquel la réinitialisation a été initiée. Cette journalisation granulaire permet aux équipes de sécurité de maintenir des pistes d'audit complètes pour les activités de réinitialisation de mot de passe, ce qui est essentiel pour les cadres de conformité comme SOX, HIPAA et PCI-DSS.

Windows génère cet événement sur le système où la réinitialisation du mot de passe se produit - les contrôleurs de domaine pour les comptes Active Directory et les machines locales pour les comptes utilisateurs locaux. L'événement inclut les identifiants de sécurité (SID) pour l'administrateur et l'utilisateur cible, garantissant une identification précise même lorsque les noms de compte changent au fil du temps.

Comprendre cet événement est crucial pour détecter les réinitialisations de mot de passe non autorisées, enquêter sur les incidents de sécurité et maintenir une supervision administrative appropriée des activités de comptes privilégiés. Les équipes de sécurité s'appuient sur l'ID d'événement 4724 pour identifier les menaces internes potentielles, vérifier les actions administratives légitimes et s'assurer que les procédures de réinitialisation de mot de passe sont conformes aux politiques de sécurité de l'organisation.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur utilisant Active Directory Users and Computers pour réinitialiser le mot de passe d'un utilisateur
  • Cmdlets PowerShell comme Set-ADAccountPassword ou Reset-ADAccountPassword étant exécutés
  • Administrateur local réinitialisant les mots de passe des comptes utilisateurs locaux via la Gestion de l'ordinateur ou les commandes net user
  • Scripts automatisés ou outils de gestion effectuant des réinitialisations de mots de passe en masse
  • Personnel du service d'assistance réinitialisant les mots de passe via des interfaces administratives
  • Réinitialisations de mots de passe pilotées par la stratégie de groupe lors de l'approvisionnement des comptes
  • Systèmes de gestion d'identité tiers s'intégrant à Active Directory
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4724 pour comprendre le contexte et les participants impliqués dans la réinitialisation du mot de passe.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4724 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4724 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4724 pour voir des informations détaillées, y compris :
    • Sujet : L'administrateur qui a effectué la réinitialisation
    • Compte cible : L'utilisateur dont le mot de passe a été réinitialisé
    • ID de connexion : Identifiant de session pour la session administrative
    • Nom de l'ordinateur appelant : Poste de travail où la réinitialisation a été initiée
Astuce pro : Faites attention au champ Nom de l'ordinateur appelant pour identifier si les réinitialisations de mot de passe proviennent de postes de travail administratifs attendus ou potentiellement non autorisés.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les entrées d'ID d'événement 4724 sur plusieurs systèmes ou plages de temps.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de réinitialisation de mot de passe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrait des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Administrator = $Event.Event.EventData.Data[0].'#text'
        TargetUser = $Event.Event.EventData.Data[5].'#text'
        CallerComputer = $Event.Event.EventData.Data[11].'#text'
    }
}
  5. Interrogez les événements à partir de contrôleurs de domaine distants :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4724} -MaxEvents 5
}
03

Corréler avec des événements de sécurité connexes

Enquêtez sur l'ID d'événement 4724 ainsi que sur les événements de sécurité connexes pour obtenir une image complète des activités administratives et des préoccupations de sécurité potentielles.

  1. Vérifiez les événements de connexion (4624) du même administrateur autour du moment de la réinitialisation du mot de passe :
    $ResetTime = (Get-Date '2026-03-18 10:30:00')
$TimeWindow = 30 # minutes
$StartTime = $ResetTime.AddMinutes(-$TimeWindow)
$EndTime = $ResetTime.AddMinutes($TimeWindow)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4724; StartTime=$StartTime; EndTime=$EndTime} | Sort-Object TimeCreated
  2. Cherchez les événements de verrouillage de compte (4740) qui pourraient avoir précédé la réinitialisation du mot de passe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740,4724} -MaxEvents 20 | Sort-Object TimeCreated
  3. Vérifiez les événements d'escalade de privilèges (4672) indiquant l'utilisation de droits administratifs :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4724} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)} | Sort-Object TimeCreated
  4. Examinez les tentatives de connexion échouées (4625) qui pourraient indiquer la raison de la réinitialisation du mot de passe :
    $TargetUser = "john.doe"
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} | Where-Object {$_.Message -like "*$TargetUser*"} | Select-Object TimeCreated, Message
Avertissement : Des réinitialisations fréquentes de mot de passe pour le même compte utilisateur peuvent indiquer un compte compromis ou des tentatives d'attaque systématiques nécessitant une enquête immédiate.
04

Configurer l'audit avancé et la surveillance

Implémentez une surveillance et une alerte complètes pour l'ID d'événement 4724 afin de détecter de manière proactive les activités de réinitialisation de mot de passe non autorisées ou suspectes.

  1. Activez la stratégie d'audit détaillée pour la gestion des comptes :
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
  2. Configurez la stratégie de groupe pour un audit amélioré :
    • Ouvrez Group Policy Management Console
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Activez Audit de la gestion des comptes d'utilisateur pour les réussites et les échecs
  3. Créez un script de surveillance PowerShell :
    # Enregistrez sous Monitor-PasswordResets.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4724" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $Message = "Réinitialisation de mot de passe détectée : Utilisateur $($Event.InsertionStrings[5]) par $($Event.InsertionStrings[0])"
    Write-EventLog -LogName Application -Source "Password Monitor" -EventId 1001 -Message $Message
    # Ajoutez ici la notification par email ou l'intégration SIEM
}
  4. Configurez le transfert d'événements Windows pour centraliser les journaux :
    • Configurez les ordinateurs sources avec : winrm quickconfig
    • Sur le serveur collecteur, exécutez : wecutil cs subscription.xml
    • Créez un fichier XML d'abonnement ciblant l'ID d'événement 4724
  5. Implémentez des politiques de rétention des journaux dans le registre :
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "MaxSize" -Value 0x6400000 # 100MB
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "Retention" -Value 0
05

Analyse médico-légale et rapport de conformité

Effectuer une analyse médico-légale complète de l'ID d'événement 4724 pour les enquêtes de sécurité et les exigences de rapport de conformité.

  1. Exporter les journaux de sécurité pour une analyse hors ligne:
    $ExportPath = "C:\Forensics\SecurityLogs_$(Get-Date -Format 'yyyyMMdd').evtx"
wevtutil epl Security $ExportPath
  2. Générer des rapports détaillés de réinitialisation de mot de passe:
    # Créer un rapport complet de réinitialisation de mot de passe
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} -MaxEvents 1000
$Report = $Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    [PSCustomObject]@{
        Timestamp = $_.TimeCreated
        Administrator = $EventData[0].'#text'
        AdminDomain = $EventData[1].'#text'
        AdminLogonId = $EventData[2].'#text'
        TargetUser = $EventData[5].'#text'
        TargetDomain = $EventData[6].'#text'
        TargetSID = $EventData[4].'#text'
        CallerComputer = $EventData[11].'#text'
        CallerLogonId = $EventData[12].'#text'
    }
}
$Report | Export-Csv -Path "C:\Reports\PasswordResets_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  3. Analyser les modèles et les anomalies:
    # Identifier les administrateurs avec une activité de réinitialisation élevée
$Report | Group-Object Administrator | Sort-Object Count -Descending | Select-Object Name, Count

# Trouver des heures de réinitialisation inhabituelles (en dehors des heures de bureau)
$Report | Where-Object {$_.Timestamp.Hour -lt 8 -or $_.Timestamp.Hour -gt 18} | Format-Table

# Détecter les opérations de réinitialisation en masse
$Report | Group-Object @{Expression={$_.Timestamp.ToString("yyyy-MM-dd HH:mm")}} | Where-Object {$_.Count -gt 5}
  4. Recouper avec les changements d'Active Directory:
    Import-Module ActiveDirectory
$RecentResets = $Report | Where-Object {$_.Timestamp -gt (Get-Date).AddDays(-1)}
foreach ($Reset in $RecentResets) {
    $User = Get-ADUser -Identity $Reset.TargetUser -Properties PasswordLastSet, LastLogonDate
    Write-Output "User: $($Reset.TargetUser), Password Reset: $($Reset.Timestamp), Last Logon: $($User.LastLogonDate)"
}
  5. Générer une documentation de conformité:
    # Créer une documentation de piste d'audit
$ComplianceReport = @"
Password Reset Audit Report
Generated: $(Get-Date)
Total Events: $($Report.Count)
Date Range: $($Report[0].Timestamp) to $($Report[-1].Timestamp)

Top Administrators:
$($Report | Group-Object Administrator | Sort-Object Count -Descending | Select-Object -First 5 | Format-Table -AutoSize | Out-String)

After-Hours Activity:
$($Report | Where-Object {$_.Timestamp.Hour -lt 8 -or $_.Timestamp.Hour -gt 18} | Format-Table | Out-String)
"@
$ComplianceReport | Out-File -FilePath "C:\Reports\ComplianceReport_$(Get-Date -Format 'yyyyMMdd').txt"
Conseil pro : Maintenez des stations de travail médico-légales séparées pour l'analyse des journaux de sécurité afin de prévenir la contamination des preuves et d'assurer une chaîne de garde appropriée pour les exigences de conformité.

Aperçu

L'ID d'événement 4724 se déclenche chaque fois qu'un administrateur réinitialise le mot de passe d'un autre utilisateur via Active Directory Users and Computers, des cmdlets PowerShell ou des outils de gestion des utilisateurs locaux. Cet événement d'audit de sécurité capture des détails critiques, y compris qui a effectué la réinitialisation, quel compte a été affecté et quand l'action a eu lieu.

Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine pour les comptes AD et sur les machines locales pour les comptes d'utilisateurs locaux. L'événement fournit des données médico-légales essentielles pour l'audit de conformité, les enquêtes de sécurité et le suivi des activités de gestion des mots de passe administratifs dans votre environnement Windows.

Contrairement aux changements de mot de passe initiés par les utilisateurs eux-mêmes (ID d'événement 4723), cet événement suit spécifiquement les réinitialisations de mot de passe administratives où un administrateur avec les privilèges appropriés impose un nouveau mot de passe au nom d'un autre utilisateur. La distinction est cruciale pour la surveillance de la sécurité et pour comprendre si les changements de mot de passe ont été initiés par l'utilisateur ou imposés administrativement.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4724 et 4723 ?+
L'ID d'événement 4724 se produit lorsqu'un administrateur réinitialise le mot de passe d'un autre utilisateur, tandis que l'ID d'événement 4723 enregistre lorsqu'un utilisateur change son propre mot de passe. La distinction clé est qui initie l'action - 4724 représente une intervention administrative, tandis que 4723 représente des changements de mot de passe initiés par l'utilisateur. Cette différence est cruciale pour la surveillance de la sécurité car les réinitialisations de mot de passe administratives peuvent indiquer un compromis de compte, des activités du service d'assistance ou l'application de politiques, tandis que les changements de mot de passe par l'utilisateur sont généralement une maintenance de routine.
Pourquoi est-ce que je vois l'ID d'événement 4724 sur les postes de travail au lieu de seulement les contrôleurs de domaine ?+
L'ID d'événement 4724 apparaît sur les postes de travail lorsque les mots de passe des comptes d'utilisateurs locaux sont réinitialisés par les administrateurs locaux. Alors que les réinitialisations de mots de passe de compte de domaine génèrent cet événement sur les contrôleurs de domaine, la gestion des comptes locaux crée l'événement sur le poste de travail spécifique où le compte réside. Ceci est un comportement normal et offre une couverture d'audit complète pour les activités de gestion des mots de passe des comptes de domaine et locaux dans votre environnement Windows.
Comment puis-je identifier les réinitialisations de mot de passe non autorisées à l'aide de l'ID d'événement 4724 ?+
Recherchez plusieurs indicateurs dans les événements d'ID d'événement 4724 : réinitialisations se produisant en dehors des heures de bureau, administrateurs réinitialisant des mots de passe pour des comptes qu'ils ne gèrent pas habituellement, réinitialisations à partir de noms d'ordinateurs ou d'adresses IP inhabituels, et réinitialisations à haute fréquence pour le même compte utilisateur. Recoupez le champ administrateur avec votre liste de personnel d'assistance autorisé et examinez le nom de l'ordinateur appelant pour des systèmes inattendus. Corrélez avec les événements de connexion (4624) pour vérifier l'accès légitime de l'administrateur au système effectuant la réinitialisation.
L'ID d'événement 4724 peut-il aider à détecter les comptes administrateur compromis ?+
Oui, l'ID d'événement 4724 peut révéler des comptes administrateurs compromis par des modèles anormaux de réinitialisation de mot de passe. Les indicateurs incluent : réinitialisations de mot de passe en masse sur plusieurs comptes, réinitialisations pour des comptes à haut privilège comme les administrateurs de domaine, réinitialisations provenant de postes de travail compromis, et réinitialisations suivies immédiatement d'une activité de connexion suspecte. Surveillez les administrateurs réinitialisant les mots de passe pour des comptes qu'ils n'ont jamais gérés auparavant, surtout en dehors des heures de travail. Combinez cette analyse avec les événements de connexion échouée (4625) et les événements d'utilisation de privilèges (4672) pour une détection complète des menaces.
Combien de temps dois-je conserver les journaux d'événements ID 4724 à des fins de conformité ?+
Les exigences de rétention pour l'ID d'événement 4724 varient selon le cadre de conformité et la politique organisationnelle. SOX exige généralement 7 ans, HIPAA impose 6 ans, PCI-DSS nécessite 1 an avec 3 mois immédiatement disponibles, et le RGPD suggère des périodes raisonnables basées sur l'objectif. De nombreuses organisations mettent en œuvre une approche par niveaux : 90 jours en ligne dans les journaux de sécurité, 1 an dans les journaux d'événements archivés, et un stockage à long terme dans des bases de données de conformité. Configurez la taille du journal de sécurité de manière appropriée et mettez en œuvre le transfert d'événements Windows pour centraliser la collecte avant que les journaux locaux ne tournent.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive documentation of Windows security auditing events including Event ID 4724 and related account management events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial guidance on configuring advanced audit policies for comprehensive security event logging and monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#password-management#event-id-4724

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...