ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Active Directory management console showing group membership administration and security event monitoring
Event ID 4728InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4728 – Microsoft-Windows-Security-Auditing : Un membre a été ajouté à un groupe global activé pour la sécurité

L'ID d'événement 4728 se déclenche lorsqu'un compte utilisateur ou ordinateur est ajouté à un groupe global activé pour la sécurité dans Active Directory. Cet événement d'audit suit les modifications de l'appartenance aux groupes pour la surveillance de la sécurité et la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4728Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4728 représente un mécanisme d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsque cet événement se déclenche, il indique qu'une personne avec les autorisations appropriées a ajouté avec succès un membre à un groupe global activé pour la sécurité. L'événement fournit des informations médico-légales complètes, y compris l'identifiant de sécurité (SID) du membre ajouté et du groupe cible, les détails de la session de connexion du compte effectuant l'action, et des horodatages précis.

La structure de l'événement comprend plusieurs champs clés : Sujet (qui a effectué le changement), Membre (le compte ajouté), Groupe (les détails du groupe cible), et Informations supplémentaires contenant des données sur les privilèges et la session de connexion. La section Sujet identifie le compte utilisateur, le domaine et l'ID de connexion responsable de la modification. La section Membre montre le nom du compte et le SID ajoutés au groupe. La section Groupe fournit le nom du groupe, le domaine et le SID modifiés.

Cet événement d'audit est particulièrement précieux pour les organisations mettant en œuvre des modèles de sécurité zéro confiance ou répondant à des exigences de conformité comme SOX, HIPAA ou PCI-DSS. Les systèmes de gestion des informations et des événements de sécurité (SIEM) surveillent fréquemment l'ID d'événement 4728 pour détecter des modèles inhabituels d'appartenance à des groupes, en particulier des ajouts à des groupes à privilèges élevés en dehors des heures de travail ou par des comptes inattendus. L'événement soutient également les enquêtes médico-légales lors de la détermination de la chronologie des changements de privilèges de compte lors d'incidents de sécurité.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11
Analyse

Causes possibles

  • Administrateur ajoutant manuellement des utilisateurs aux groupes de sécurité via la console Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant Add-ADGroupMember ou des cmdlets similaires pour modifier l'appartenance aux groupes
  • Systèmes de provisionnement automatisés ajoutant des comptes aux groupes en fonction des attributions de rôles
  • Outils de gestion d'identité tiers synchronisant les appartenances aux groupes à partir des systèmes RH
  • Comptes de service recevant des appartenances aux groupes lors des installations d'applications
  • Opérations d'importation en masse d'utilisateurs incluant des spécifications d'attribution de groupes
  • Préférences de stratégie de groupe configurant les appartenances aux groupes locaux sur les ordinateurs du domaine
  • Applications LDAP modifiant de manière programmatique les objets de groupe Active Directory
  • Exchange Server ajoutant automatiquement des utilisateurs de boîtes aux lettres aux groupes de sécurité activés pour la messagerie
  • Solutions de gestion des accès privilégiés (PAM) élevant temporairement les autorisations des utilisateurs
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre qui a effectué le changement et quels comptes ont été affectés.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4728 en utilisant l'option de filtre ou la fonctionnalité de recherche
  4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
    • Sujet : Compte qui a effectué l'action
    • Membre : Compte qui a été ajouté au groupe
    • Groupe : Détails du groupe de sécurité cible
    • Informations supplémentaires : Privilèges utilisés et session de connexion
  5. Notez l'horodatage, l'ordinateur source et la corrélation avec d'autres événements de sécurité
  6. Recoupez le compte Sujet avec les activités administratives attendues
Astuce pro : Recherchez le champ "Privilèges" dans Informations supplémentaires pour voir quels privilèges ont été utilisés pour effectuer le changement, tels que SeSecurityPrivilege ou SeTakeOwnershipPrivilege.
02

Interroger les événements avec PowerShell pour l'analyse de motifs

Utilisez PowerShell pour analyser plusieurs occurrences de l'ID d'événement 4728 et identifier des motifs ou des anomalies dans les changements d'appartenance à des groupes.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les ajouts récents d'appartenance à des groupes :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='Subject';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'} | Select-Object -First 3) -join ' '}}, @{Name='Group';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Group:*'} | Select-Object -First 2) -join ' '}} | Format-Table -AutoSize
  3. Filtrez pour des groupes spécifiques à haut privilège :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728} | Where-Object {$_.Message -like '*Domain Admins*' -or $_.Message -like '*Enterprise Admins*' -or $_.Message -like '*Schema Admins*'} | Select-Object TimeCreated, Message
  4. Analysez les événements par compte utilisateur spécifique :
    $TargetUser = "username"
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728} | Where-Object {$_.Message -like "*$TargetUser*"} | Select-Object TimeCreated, @{Name='Details';Expression={$_.Message}} | Format-List
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\GroupMembershipChanges.csv" -NoTypeInformation
Avertissement : Les environnements Active Directory de grande taille peuvent générer des milliers de ces événements quotidiennement. Utilisez des filtres temporels et un ciblage de groupe spécifique pour éviter les problèmes de performance.
03

Corréler avec les changements de groupe Active Directory

Recoupez l'ID d'événement 4728 avec l'appartenance réelle au groupe Active Directory pour vérifier les changements légitimes et détecter les problèmes potentiels.

  1. Identifiez le groupe affecté à partir des détails de l'événement
  2. Vérifiez l'appartenance actuelle au groupe en utilisant Active Directory PowerShell :
    Import-Module ActiveDirectory
$GroupName = "Domain Admins"  # Remplacez par le nom réel du groupe
Get-ADGroupMember -Identity $GroupName | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
  3. Examinez l'historique des modifications du groupe :
    Get-ADGroup -Identity $GroupName -Properties whenChanged, whenCreated, managedBy | Select-Object Name, whenCreated, whenChanged, managedBy
  4. Vérifiez les changements récents d'appartenance au groupe sur plusieurs contrôleurs de domaine :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4728; StartTime=(Get-Date).AddHours(-24)} -ErrorAction SilentlyContinue | Select-Object TimeCreated, MachineName
}
  5. Validez que le changement a été autorisé en vérifiant les enregistrements de gestion des changements ou les tickets du service desk
  6. Si non autorisé, examinez immédiatement les permissions actuelles et les activités récentes du compte ajouté
Astuce pro : Utilisez Get-ADReplicationAttributeMetadata pour voir des informations détaillées sur la réplication concernant l'origine et le moment des changements d'appartenance au groupe.
04

Mettre en œuvre une surveillance et des alertes avancées

Configurez une surveillance proactive pour détecter et alerter sur les changements suspects d'appartenance à des groupes en temps réel.

  1. Créez une tâche personnalisée dans le Visualiseur d'événements pour une notification immédiate:
    • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur l'entrée de l'ID d'événement 4728
    • Sélectionnez Attacher une tâche à cet événement
    • Configurez des alertes par email ou l'exécution de scripts pour les changements de groupes à haut privilège
  2. Configurez le transfert d'événements Windows (WEF) pour centraliser les événements:
    # Sur le serveur collecteur
wecutil qc
wecutil cs subscription.xml  # Créez d'abord le fichier d'abonnement
  3. Configurez un script de surveillance basé sur PowerShell:
    # Enregistrez sous MonitorGroupChanges.ps1
$HighPrivilegeGroups = @("Domain Admins", "Enterprise Admins", "Schema Admins", "Administrators")

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 4728" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = $Event.Message
    
    foreach ($Group in $HighPrivilegeGroups) {
        if ($Message -like "*$Group*") {
            Send-MailMessage -To "security@company.com" -From "monitoring@company.com" -Subject "ALERT: High-Privilege Group Modified" -Body $Message -SmtpServer "mail.company.com"
            break
        }
    }
}
  4. Configurez la stratégie de groupe pour activer les politiques d'audit avancées:
    • Accédez à Configuration de l'ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d'audit avancées\Stratégies d'audit\Gestion des comptes
    • Activez Audit de la gestion des groupes de sécurité pour les événements de réussite
  5. Implémentez l'intégration SIEM en utilisant le transfert de journal d'événements Windows ou des agents
Avertissement : Assurez-vous que les systèmes de surveillance ont les permissions appropriées et la connectivité réseau à tous les contrôleurs de domaine pour une couverture complète.
05

Enquête judiciaire et réponse aux incidents

Effectuez une analyse médico-légale approfondie lorsque l'ID d'événement 4728 indique des incidents de sécurité potentiels ou un accès non autorisé.

  1. Préservez les preuves en exportant les journaux de sécurité pertinents :
    # Exporter les événements de sécurité autour de la période de l'incident
$StartTime = (Get-Date "2026-03-18 14:00:00")
$EndTime = (Get-Date "2026-03-18 16:00:00")
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime} | Export-Clixml -Path "C:\Forensics\SecurityEvents_$(Get-Date -Format 'yyyyMMdd_HHmmss').xml"
  2. Analysez la session de connexion complète du compte sujet :
    # Trouver les événements de connexion pour le compte sujet
$SubjectAccount = "DOMAIN\username"  # D'après les détails de l'ID d'événement 4728
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634} | Where-Object {$_.Message -like "*$SubjectAccount*"} | Select-Object TimeCreated, Id, Message
  3. Vérifiez les événements d'escalade de privilèges précédant la modification du groupe :
    # Rechercher les événements d'utilisation de privilèges
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674} -MaxEvents 100 | Where-Object {$_.TimeCreated -ge $StartTime -and $_.TimeCreated -le $EndTime} | Format-Table TimeCreated, Id, Message -Wrap
  4. Examinez les modifications associées à Active Directory :
    # Vérifier d'autres modifications AD
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727,4728,4729,4730,4731,4732,4733,4734,4735,4737,4754,4755,4756,4757,4758} | Where-Object {$_.TimeCreated -ge $StartTime.AddMinutes(-30) -and $_.TimeCreated -le $EndTime.AddMinutes(30)} | Sort-Object TimeCreated
  5. Documentez les résultats et créez une chronologie de l'incident :
    • Enregistrez tous les ID d'événement pertinents, les horodatages et les comptes affectés
    • Identifiez le vecteur d'attaque et la portée potentielle de l'impact
    • Déterminez si des systèmes ou comptes supplémentaires ont été compromis
    • Mettez en œuvre des mesures de confinement si un accès non autorisé est confirmé
  6. Examinez et mettez à jour les politiques de sécurité en fonction des résultats de l'enquête
Conseil pro : Utilisez Export-Clixml et Import-Clixml de PowerShell pour préserver les propriétés exactes des objets d'événement lors de l'analyse médico-légale, en maintenant l'intégrité des données pour les procédures légales.

Aperçu

L'ID d'événement 4728 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est ajouté à un groupe global activé pour la sécurité dans Active Directory. Cet événement fait partie de la politique d'audit avancée de Windows et n'apparaît que lorsque l'audit d'accès aux objets est activé pour les activités de gestion de groupe.

L'événement capture des détails critiques, y compris qui a effectué l'action, quel compte a été ajouté, le nom du groupe cible et quand le changement a eu lieu. Les contrôleurs de domaine génèrent cet événement dans le journal de sécurité, ce qui le rend essentiel pour suivre les modifications des groupes privilégiés comme les administrateurs de domaine, les administrateurs d'entreprise ou les groupes de sécurité personnalisés.

Les équipes de sécurité s'appuient sur l'ID d'événement 4728 pour les rapports de conformité, la détection des menaces internes et l'enquête sur l'escalade non autorisée des privilèges. L'événement se déclenche immédiatement lorsque les adhésions de groupe changent via Active Directory Users and Computers, les cmdlets PowerShell ou les opérations LDAP programmatiques. Comprendre cet événement aide les administrateurs à maintenir des contrôles d'accès appropriés et à détecter les modifications suspectes de groupe qui pourraient indiquer une compromission ou des violations de politique.

Questions Fréquentes

Que signifie l'ID d'événement 4728 et pourquoi est-il important ?+
L'ID d'événement 4728 indique qu'un membre a été ajouté avec succès à un groupe global activé pour la sécurité dans Active Directory. Cet événement est crucial pour la surveillance de la sécurité car il suit les modifications des adhésions aux groupes, en particulier pour les groupes à privilèges élevés comme Domain Admins ou Enterprise Admins. Les équipes de sécurité utilisent cet événement pour détecter les escalades de privilèges non autorisées, assurer la conformité avec les politiques de contrôle d'accès et maintenir des pistes d'audit pour les exigences réglementaires. L'événement fournit des informations détaillées sur qui a effectué le changement, quel compte a été ajouté et quand la modification a eu lieu.
Comment puis-je filtrer l'ID d'événement 4728 uniquement pour les changements de groupe à haut privilège ?+
Vous pouvez filtrer l'ID d'événement 4728 pour les groupes à privilèges élevés en utilisant PowerShell avec une correspondance de nom de groupe spécifique. Utilisez cette commande : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728} | Where-Object {$_.Message -like '*Domain Admins*' -or $_.Message -like '*Enterprise Admins*' -or $_.Message -like '*Schema Admins*' -or $_.Message -like '*Administrators*'}. Vous pouvez également créer des filtres personnalisés dans le Visualiseur d'événements en cliquant avec le bouton droit sur le journal Sécurité, en sélectionnant Filtrer le journal actuel, en entrant l'ID d'événement 4728 et en utilisant l'onglet XML pour ajouter des filtres de contenu de message. Pour une surveillance automatisée, configurez des règles SIEM ou des scripts PowerShell qui déclenchent des alertes uniquement lorsque ces groupes à privilèges élevés spécifiques sont modifiés.
Pourquoi ne vois-je pas l'ID d'événement 4728 dans mon journal de sécurité ?+
L'ID d'événement 4728 n'apparaît que lorsque les stratégies d'audit avancées sont correctement configurées. Vous devez activer 'Audit de la gestion des groupes de sécurité' sous Configuration de l'ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d'audit avancées\Stratégies d'audit\Gestion des comptes. Si vous utilisez des stratégies d'audit héritées, activez 'Audit de la gestion des comptes' dans la Stratégie de sécurité locale. L'événement ne se déclenche que pour les groupes globaux activés pour la sécurité, pas pour les groupes de distribution ou les groupes locaux. De plus, le compte effectuant la modification doit avoir les autorisations appropriées, et l'événement n'est enregistré que sur les contrôleurs de domaine où la modification du groupe se produit. Vérifiez que vos paramètres de stratégie de groupe sont correctement appliqués en utilisant gpresult /r et assurez-vous que la stratégie d'audit est configurée pour les événements de réussite.
L'ID d'événement 4728 peut-il aider à détecter des comptes compromis ou des menaces internes ?+
Oui, l'ID d'événement 4728 est excellent pour détecter à la fois les comptes compromis et les menaces internes. Recherchez des modèles inhabituels tels que des changements d'appartenance à des groupes en dehors des heures de travail, des ajouts à des groupes à privilèges élevés par des comptes inattendus ou des modifications successives rapides de groupes. Corrélez ces événements avec les événements de connexion (4624/4625) pour identifier des modèles d'accès suspects. Mettez en place une surveillance de base pour comprendre les modèles normaux de changement d'appartenance à des groupes dans votre environnement, puis alertez sur les écarts. Pour la détection des menaces internes, surveillez les utilisateurs qui s'ajoutent eux-mêmes ou ajoutent des collègues à des groupes auxquels ils ne devraient pas avoir accès, surtout si les changements contournent les processus normaux de gestion des changements. Combinez l'analyse de l'ID d'événement 4728 avec d'autres événements de sécurité comme 4672 (privilèges spéciaux attribués) pour développer des capacités complètes de détection des menaces.
Combien de temps dois-je conserver les journaux d'événements ID 4728 à des fins de conformité et de sécurité ?+
Les exigences de rétention pour l'ID d'événement 4728 dépendent de votre cadre de conformité et de vos politiques de sécurité. La plupart des organisations conservent ces événements pendant 1 à 2 ans minimum, beaucoup les gardant pendant 7 ans pour répondre aux exigences réglementaires comme SOX, HIPAA ou PCI-DSS. Pour les environnements à haute sécurité ou les organisations ayant des besoins de conformité stricts, envisagez des périodes de rétention plus longues. Configurez les paramètres du journal des événements Windows pour augmenter la taille du journal de sécurité (la valeur par défaut est souvent trop petite) et activez l'archivage des journaux. Utilisez des solutions de gestion centralisée des journaux ou des systèmes SIEM pour archiver et compresser automatiquement les événements plus anciens tout en maintenant leur recherche. Pour les systèmes critiques, mettez en œuvre un stockage redondant des journaux et assurez-vous que les journaux sont inviolables. N'oubliez pas que certaines réglementations exigent des périodes de rétention spécifiques pour les activités des comptes privilégiés, alors consultez votre équipe de conformité pour déterminer les politiques de rétention appropriées pour votre organisation.
Documentation

Références (2)

1
Microsoft Learn - Audit Security Group ManagementOfficial Microsoft documentation covering the audit policy configuration for security group management events including Event ID 4728.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-security-group-management
2
Microsoft Security Compliance ToolkitMicrosoft's official security baseline configurations including recommended audit policy settings for Active Directory environments.https://www.microsoft.com/en-us/download/details.aspx?id=55319
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4728

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...