ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event ID 4725 user account disabled audit events
Event ID 4725InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4725 – Microsoft-Windows-Security-Auditing : Compte utilisateur désactivé

L'ID d'événement 4725 se déclenche lorsqu'un compte utilisateur est désactivé dans Active Directory ou sur un système Windows local, fournissant une piste d'audit pour les activités de gestion des comptes.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4725Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4725 représente un événement d'audit de sécurité fondamental dans les environnements Windows, déclenché chaque fois qu'une désactivation de compte utilisateur se produit. Cet événement est généré par le sous-système de l'Autorité de sécurité locale (LSA) et enregistré via le fournisseur Microsoft-Windows-Security-Auditing. L'événement se déclenche immédiatement lorsqu'un administrateur utilise des outils comme Active Directory Users and Computers, des cmdlets PowerShell ou des utilitaires en ligne de commande pour désactiver des comptes utilisateurs.

La structure de l'événement comprend plusieurs points de données critiques : les champs du sujet identifient qui a effectué l'action (y compris leur SID, nom de compte et domaine), tandis que les champs du compte cible spécifient quel compte utilisateur a été désactivé. Le contexte supplémentaire inclut le nom de l'ordinateur où l'action s'est produite et des horodatages précis. Dans les environnements de domaine, cet événement apparaît généralement sur les contrôleurs de domaine, tandis que dans les scénarios de groupe de travail, il est enregistré sur le système local où le compte existe.

D'un point de vue sécurité, l'ID d'événement 4725 sert à plusieurs fins. Il fournit des pistes d'audit pour des cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent le suivi des activités des comptes privilégiés. Les équipes de sécurité utilisent ces événements pour détecter des modifications de compte non autorisées, enquêter sur les menaces internes et maintenir la responsabilité des actions administratives. L'événement soutient également les systèmes de surveillance de sécurité automatisés qui peuvent alerter sur des modèles de gestion de compte suspects ou des activités administratives non autorisées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur désactivant manuellement les comptes d'utilisateurs via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant les cmdlets Disable-ADAccount ou Set-ADUser -Enabled $false
  • Outils en ligne de commande comme net user ou dsmod désactivant les comptes
  • Systèmes automatisés de gestion du cycle de vie des comptes désactivant les comptes des employés licenciés
  • Politiques de gestion des comptes basées sur les stratégies de groupe déclenchant la désactivation des comptes
  • Procédures de réponse à la sécurité désactivant les comptes d'utilisateurs compromis
  • Tâches planifiées ou scripts effectuant des opérations de gestion de comptes en masse
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4725 pour comprendre ce qui s'est passé et qui a initié l'action.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet droit
  4. Entrez 4725 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4725 pour voir les détails
  6. Examinez la section Sujet pour identifier qui a désactivé le compte
  7. Vérifiez la section Compte cible pour voir quel compte a été désactivé
  8. Notez l'horodatage et le nom de l'ordinateur pour la corrélation avec d'autres événements

Les détails de l'événement montreront l'ID de sécurité, le nom du compte et le domaine du compte pour le sujet (qui a effectué l'action) et la cible (compte qui a été désactivé).

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4725 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de désactivation de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de dates spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrait des informations de compte spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725} | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data[1].'#text'
        TargetUserName = $Event.Event.EventData.Data[5].'#text'
        TargetDomain = $Event.Event.EventData.Data[6].'#text'
    }
}
  5. Exportez les résultats au format CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725} | Select-Object TimeCreated, Id, Message | Export-Csv -Path "C:\Temp\DisabledAccounts.csv" -NoTypeInformation
03

Examiner le statut du compte dans Active Directory

Vérifiez l'état actuel des comptes désactivés et corrélez avec les événements d'audit.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory depuis Outils d'administration
  2. Activez Fonctionnalités avancées dans le menu Affichage
  3. Accédez à l'unité organisationnelle contenant le compte désactivé
  4. Cliquez avec le bouton droit sur le compte utilisateur et sélectionnez Propriétés
  5. Vérifiez l'onglet Compte pour confirmer que le compte est désactivé
  6. Examinez la section Options de compte pour des restrictions supplémentaires
  7. Utilisez PowerShell pour interroger les comptes désactivés :
    Get-ADUser -Filter {Enabled -eq $false} -Properties Name, SamAccountName, WhenChanged, LastLogonDate | Select-Object Name, SamAccountName, Enabled, WhenChanged, LastLogonDate
  8. Recoupez l'horodatage WhenChanged avec les horodatages de l'ID d'événement 4725
  9. Vérifiez les événements connexes autour de la même période :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4724,4725,4726,4738)} -MaxEvents 100 | Where-Object {$_.Message -like "*username*"}
Astuce pro : Utilisez Get-ADUser -Identity username -Properties * pour voir tous les attributs du compte et leurs horodatages de modification.
04

Configurer la surveillance d'audit avancée

Configurez une surveillance complète pour les événements de gestion de compte afin de détecter les occurrences futures.

  1. Ouvrez Group Policy Management Console sur un contrôleur de domaine
  2. Accédez à Default Domain Controllers Policy ou créez un nouveau GPO
  3. Allez à Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Policy Configuration
  4. Développez Account Management et configurez :
    • Audit User Account Management : Succès et Échec
    • Audit Security Group Management : Succès et Échec
  5. Appliquez la politique et exécutez gpupdate /force sur les contrôleurs de domaine
  6. Configurez le script de surveillance PowerShell :
    # Créer une tâche planifiée pour surveiller la désactivation des comptes
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorAccountDisabling.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "MonitorAccountDisabling" -Action $Action -Trigger $Trigger -Principal $Principal
  7. Créez le script de surveillance à C:\Scripts\MonitorAccountDisabling.ps1 :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725; StartTime=(Get-Date).AddMinutes(-5)}
if ($Events) {
    $Events | ForEach-Object {
        $EventXML = [xml]$_.ToXml()
        $TargetUser = $EventXML.Event.EventData.Data[5].'#text'
        Write-EventLog -LogName Application -Source "Account Monitor" -EventId 1001 -Message "Account disabled: $TargetUser"
    }
}
05

Analyse Forensique et Corrélation

Effectuer une analyse médico-légale approfondie pour comprendre le contexte et les implications des événements de désactivation de compte.

  1. Collecter des données d'événements complètes à l'aide de requêtes PowerShell avancées :
    # Rassembler les événements de sécurité liés pour l'analyse médico-légale
$StartDate = (Get-Date).AddDays(-30)
$SecurityEvents = @(4624,4625,4648,4672,4720,4722,4724,4725,4726,4738,4740,4767)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$SecurityEvents; StartTime=$StartDate} | Export-Clixml -Path "C:\Forensics\SecurityEvents.xml"
  2. Analyser les modèles de connexion avant la désactivation du compte :
    # Vérifier les dernières connexions réussies pour les comptes désactivés
$DisabledEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725}
$DisabledEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $TargetUser = $EventXML.Event.EventData.Data[5].'#text'
    $LastLogon = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.Message -like "*$TargetUser*"} | Select-Object -First 1
    Write-Output "User: $TargetUser, Last Logon: $($LastLogon.TimeCreated)"
}
  3. Vérifier les événements d'escalade de privilèges :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}
  4. Examiner les journaux d'événements système pour les activités connexes :
    Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3; StartTime=(Get-Date).AddHours(-2)}
  5. Générer un rapport médico-légal complet :
    # Créer une chronologie médico-légale détaillée
$Report = @()
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4725; StartTime=(Get-Date).AddDays(-7)}
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Report += [PSCustomObject]@{
        Timestamp = $_.TimeCreated
        EventID = $_.Id
        Subject = $EventXML.Event.EventData.Data[1].'#text'
        TargetAccount = $EventXML.Event.EventData.Data[5].'#text'
        Computer = $_.MachineName
    }
}
$Report | Export-Csv -Path "C:\Forensics\AccountDisablingReport.csv" -NoTypeInformation
Avertissement : L'analyse médico-légale doit être effectuée sur des systèmes isolés pour éviter la contamination des preuves. Toujours maintenir la documentation de la chaîne de possession.

Aperçu

L'ID d'événement 4725 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est désactivé sur un système Windows ou dans Active Directory. Cet événement fait partie de la catégorie d'audit de gestion des comptes et offre une visibilité critique sur les actions administratives affectant les comptes utilisateurs. L'événement capture qui a désactivé le compte, quand cela s'est produit, et quel compte a été affecté.

Cet événement se déclenche sur les contrôleurs de domaine lorsque les comptes utilisateurs AD sont désactivés, et sur les systèmes locaux lorsque les comptes utilisateurs locaux sont désactivés. L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être généré. Par défaut, Windows Server 2025 et les clients Windows modernes ont l'audit de gestion des comptes activé, mais les systèmes plus anciens peuvent nécessiter une configuration manuelle.

L'événement fournit des informations judiciaires essentielles pour les exigences de conformité, les enquêtes de sécurité et la supervision administrative. Chaque événement 4725 inclut l'identifiant de sécurité (SID) à la fois du compte qui a effectué l'action et du compte qui a été désactivé, ainsi que des horodatages et des informations système.

Questions Fréquentes

Que signifie l'ID d'événement 4725 et quand se produit-il ?+
L'ID d'événement 4725 indique qu'un compte utilisateur a été désactivé sur un système Windows ou dans Active Directory. Cet événement d'audit de sécurité se déclenche immédiatement lorsqu'un administrateur ou un processus automatisé désactive un compte utilisateur par n'importe quelle méthode - que ce soit en utilisant Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell comme Disable-ADAccount, ou des outils en ligne de commande. L'événement capture qui a effectué l'action, quel compte a été désactivé, et quand cela s'est produit, fournissant des informations essentielles de traçabilité pour des raisons de sécurité et de conformité.
Comment puis-je identifier qui a désactivé un compte utilisateur en utilisant l'ID d'événement 4725 ?+
Les détails de l'ID d'événement 4725 contiennent une section 'Sujet' qui identifie qui a désactivé le compte. Cela inclut l'ID de sécurité (SID), le nom du compte, le domaine du compte et l'ID de connexion de la personne ou du service qui a effectué l'action. Vous pouvez consulter cette information dans le Visualiseur d'événements en double-cliquant sur l'événement, ou l'extraire de manière programmatique en utilisant PowerShell avec Get-WinEvent et l'analyse XML. Les informations sur le sujet vous permettent de retracer l'action jusqu'à l'administrateur ou le compte de service spécifique responsable de la désactivation du compte utilisateur.
Pourquoi ne vois-je pas l'ID d'événement 4725 dans mon journal de sécurité ?+
L'ID d'événement 4725 nécessite une configuration appropriée de la politique d'audit pour être généré. Si vous ne voyez pas ces événements, vérifiez que 'Audit de la gestion des comptes d'utilisateur' est activé pour les événements de réussite dans votre politique d'audit. Sur les contrôleurs de domaine, cela est généralement configuré via la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit → Gestion des comptes. Sur les systèmes autonomes, utilisez secpol.msc pour configurer les politiques d'audit locales. De plus, assurez-vous que le journal de sécurité a une taille et des paramètres de rétention suffisants pour capturer ces événements.
L'ID d'événement 4725 peut-il aider à détecter les modifications non autorisées de compte ?+
Oui, l'ID d'événement 4725 est crucial pour détecter les activités de désactivation de compte non autorisées. En surveillant ces événements, vous pouvez identifier quand des comptes sont désactivés en dehors des processus commerciaux normaux ou par des utilisateurs non autorisés. Configurez une surveillance automatisée pour alerter sur les événements 4725 se produisant en dehors des heures de travail, à partir de comptes sources inhabituels, ou ciblant des utilisateurs à haut privilège. Corrélez ces événements avec d'autres événements de sécurité comme 4672 (privilèges spéciaux attribués) pour détecter une éventuelle escalade de privilèges suivie d'une altération de compte. Un examen régulier des événements 4725 aide à maintenir la responsabilité et à détecter les menaces internes.
Comment puis-je corréler l'ID d'événement 4725 avec d'autres événements de sécurité pour l'enquête ?+
Corréler l'ID d'événement 4725 avec les événements de sécurité connexes en utilisant les horodatages et les noms de compte. Les événements clés à examiner incluent : 4624 (connexion réussie) pour voir la dernière activité avant la désactivation, 4625 (échec de connexion) pour vérifier les tentatives de force brute, 4672 (privilèges spéciaux attribués) pour identifier l'escalade de privilèges, 4720 (compte créé) et 4726 (compte supprimé) pour le cycle de vie complet du compte, et 4738 (compte modifié) pour d'autres modifications. Utilisez PowerShell pour interroger plusieurs ID d'événements simultanément et filtrer par noms d'utilisateur spécifiques ou plages de temps. Cette corrélation aide à construire une chronologie complète des activités liées aux comptes et à identifier des schémas suspects ou des actions administratives non autorisées.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4725 and related account management events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for account management monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4725

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...