ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Server Active Directory management console showing group administration and security event logs
Event ID 4730InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4730 – Microsoft-Windows-Security-Auditing : Groupe universel activé pour la sécurité supprimé

L'ID d'événement 4730 enregistre la suppression d'un groupe universel activé pour la sécurité dans Active Directory. Cet événement d'audit suit les modifications de gestion des groupes pour la conformité en matière de sécurité et l'analyse judiciaire.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4730Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4730 représente un événement d'audit de sécurité critique qui se produit lorsque des administrateurs ou des utilisateurs autorisés suppriment des groupes universels activés pour la sécurité d'Active Directory. Les groupes universels servent de composant fondamental de la stratégie de gestion des groupes d'Active Directory, permettant aux organisations d'attribuer des autorisations et des appartenances à des groupes au-delà des limites de domaine au sein d'une forêt.

Lorsqu'une suppression de groupe universel se produit, Windows génère cet événement sur le contrôleur de domaine qui a traité la demande de suppression. L'événement contient des informations complètes, y compris le nom du groupe cible, le SID, le domaine et le contexte de sécurité du compte qui a initié la suppression. Ces informations s'avèrent inestimables pour les équipes de sécurité effectuant des analyses judiciaires ou des audits de conformité.

La structure de l'événement comprend plusieurs champs clés : l'ID de sécurité du sujet identifie qui a effectué l'action, les détails du compte cible spécifient quel groupe a été supprimé, et les informations supplémentaires fournissent un contexte sur l'opération de suppression. L'événement capture également l'ID de session de connexion, permettant aux administrateurs de corréler la suppression avec d'autres activités effectuées pendant la même session.

Les organisations ayant des politiques de gestion des changements strictes surveillent souvent cet événement pour s'assurer que les suppressions de groupes suivent les processus d'approbation appropriés. L'événement aide à détecter les actions administratives non autorisées, les suppressions accidentelles ou les activités malveillantes ciblant des groupes de sécurité critiques. Les systèmes de gestion des informations et des événements de sécurité (SIEM) incluent fréquemment des règles pour alerter sur les suppressions inattendues de groupes universels, en particulier pour les groupes avec des privilèges élevés.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • L'administrateur supprime manuellement un groupe universel avec sécurité via Utilisateurs et ordinateurs Active Directory
  • Un script ou une commande PowerShell supprime le groupe universel en utilisant le cmdlet Remove-ADGroup
  • Un système automatisé de gestion du cycle de vie des groupes supprime les groupes universels expirés ou inutilisés
  • Un outil tiers de gestion Active Directory supprime le groupe universel
  • La suppression de groupe se produit lors de la migration de domaine ou des opérations de nettoyage
  • Un initié malveillant ou un compte compromis supprime des groupes de sécurité pour escalader les privilèges
  • Suppression accidentelle lors des opérations de gestion de groupes en masse
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre quel groupe a été supprimé et par qui.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4730 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les détails complets
  5. Notez les champs ID de sécurité du sujet et Nom du compte pour identifier qui a effectué la suppression
  6. Enregistrez le Nom du compte cible et le Domaine cible pour identifier le groupe supprimé
  7. Vérifiez l'ID de connexion pour corréler avec d'autres événements de la même session

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4730} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Faites une référence croisée de l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour comprendre le contexte complet de la session.
02

Vérifier l'appartenance au groupe avant la suppression

Déterminez ce que contenait le groupe supprimé et ses attributions de permissions pour évaluer l'impact.

  1. Vérifiez si le groupe avait encore des membres avant la suppression en examinant les événements récents ID 4729 (membre retiré du groupe)
  2. Recherchez les entrées d'ID d'événement 4728 pour voir les ajouts historiques de membres au groupe
  3. Utilisez PowerShell pour rechercher des événements liés au groupe :
# Rechercher tous les événements liés au groupe pour le groupe supprimé
$GroupName = "DeletedGroupName"
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4728,4729,4730} | Where-Object {$_.Message -like "*$GroupName*"} | Sort-Object TimeCreated
  1. Vérifiez la Corbeille Active Directory si elle est activée pour voir les attributs du groupe avant la suppression :
Get-ADObject -Filter {Name -eq "DeletedGroupName"} -IncludeDeletedObjects -Properties *
  1. Examinez les journaux du système de fichiers et des applications pour les erreurs d'accès refusé qui pourraient indiquer des problèmes de permissions causés par la suppression du groupe
Avertissement : Les suppressions de groupes universels peuvent immédiatement impacter les permissions dans toute la forêt. Vérifiez les plaintes des utilisateurs concernant des problèmes d'accès.
03

Analyser le contexte de session administrative

Enquêtez sur la session administrative complète pour comprendre si la suppression faisait partie d'une maintenance légitime ou d'une activité potentiellement malveillante.

  1. Utilisez l'ID de connexion de l'événement 4730 pour trouver l'événement de connexion initial :
# Remplacez LogonID par la valeur réelle de l'événement 4730
$LogonID = "0x12345678"
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Where-Object {$_.Message -like "*$LogonID*"}
  1. Recherchez tous les événements pendant cette session de connexion pour voir d'autres activités :
# Trouvez tous les événements pour la session de connexion spécifique
Get-WinEvent -FilterHashtable @{LogName='Security'} | Where-Object {$_.Message -like "*$LogonID*"} | Sort-Object TimeCreated
  1. Vérifiez les motifs suspects tels que plusieurs suppressions de groupes, des tentatives d'escalade de privilèges ou des heures de connexion inhabituelles
  2. Vérifiez que l'adresse IP source et le nom de l'ordinateur de l'événement de connexion correspondent aux postes de travail administratifs attendus
  3. Examinez l'ID d'événement 4634 (compte déconnecté) pour déterminer la durée de la session
  4. Faites une référence croisée avec les tickets de gestion des changements ou les fenêtres de maintenance programmées
Astuce pro : Recherchez l'ID d'événement 4672 (privilèges spéciaux attribués) pendant la même session pour identifier si le compte a utilisé des privilèges élevés.
04

Mettre en œuvre la surveillance préventive et l'alerte

Configurez la surveillance pour détecter les suppressions de groupes non autorisées futures et établissez des contrôles de changement appropriés.

  1. Créez un script PowerShell pour surveiller l'ID d'événement 4730 et envoyer des alertes :
# Surveiller les suppressions de groupes universels
$Query = @"

  
    
  

"@

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4730" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Send-MailMessage -To "security@company.com" -From "dc-monitor@company.com" -Subject "Universal Group Deleted" -Body "Group deletion detected: $($Event.Message)" -SmtpServer "mail.company.com"
}
  1. Configurez le transfert d'événements Windows pour centraliser les événements de sécurité de tous les contrôleurs de domaine
  2. Configurez des règles SIEM pour corréler les suppressions de groupes avec d'autres activités suspectes
  3. Mettez en œuvre une stratégie de groupe pour restreindre les autorisations de gestion de groupe à des comptes administratifs spécifiques
  4. Activez la corbeille Active Directory pour les capacités de récupération de groupe :
Enable-ADOptionalFeature -Identity "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target (Get-ADForest).Name
  1. Créez une tâche planifiée pour auditer régulièrement les appartenances aux groupes et détecter les changements non autorisés
05

Analyse médico-légale et procédures de récupération

Effectuer une analyse médico-légale complète et mettre en œuvre des procédures de récupération pour les suppressions de groupes critiques.

  1. Exporter tous les événements de sécurité liés pour l'analyse médico-légale :
# Exporter les événements de sécurité liés à l'incident
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime; ID=4728,4729,4730,4731,4732,4733} | Export-Csv -Path "C:\Forensics\GroupEvents.csv" -NoTypeInformation
  1. Analyser les journaux de réplication du contrôleur de domaine pour déterminer si la suppression a été répliquée sur tous les DC :
# Vérifier l'état de la réplication
repadmin /showrepl /csv | ConvertFrom-Csv | Where-Object {$_.'Source DSA' -ne $null}
  1. Si la Corbeille Active Directory est activée, restaurer le groupe supprimé :
# Restaurer le groupe universel supprimé
Get-ADObject -Filter {Name -eq "DeletedGroupName"} -IncludeDeletedObjects | Restore-ADObject
  1. Si la Corbeille n'est pas disponible, restaurer à partir d'une sauvegarde autoritaire en utilisant ntdsutil ou Windows Server Backup
  2. Documenter la chronologie de l'incident, les systèmes affectés et les actions de récupération entreprises
  3. Revoir et mettre à jour les procédures de gestion des groupes pour éviter des incidents similaires
  4. Envisager de mettre en œuvre des contrôles supplémentaires tels que des flux de travail d'approbation pour les suppressions de groupes
Avertissement : Les restaurations autoritaires peuvent affecter la réplication Active Directory. Planifiez soigneusement et testez d'abord dans un environnement de laboratoire.

Aperçu

L'ID d'événement 4730 se déclenche chaque fois qu'un groupe universel activé pour la sécurité est supprimé d'Active Directory. Cet événement d'audit apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a supprimé le groupe, quand cela s'est produit, et quel groupe a été supprimé. Les groupes universels dans Active Directory peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes de n'importe quel domaine de la forêt, rendant leur suppression un événement de sécurité significatif qui nécessite un suivi approprié.

Cet événement ne se déclenche que lorsque la politique d'audit pour "Audit de la gestion des comptes" est activée sur le contrôleur de domaine. L'événement capture des détails critiques, y compris l'identifiant de sécurité (SID) du groupe supprimé, le compte qui a effectué la suppression, et les informations de session de connexion. Les équipes de sécurité s'appuient sur cet événement pour les rapports de conformité, les enquêtes judiciaires, et la détection des activités de gestion de groupe non autorisées.

Contrairement aux suppressions de groupes locaux, les suppressions de groupes universels affectent les permissions à l'échelle de la forêt et peuvent impacter les utilisateurs à travers plusieurs domaines. L'événement fournit des informations essentielles sur la traçabilité des audits pour les organisations qui doivent suivre les changements de groupes privilégiés pour des raisons de conformité réglementaire ou de surveillance de la sécurité.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4730 et les autres événements de suppression de groupe ?+
L'ID d'événement 4730 suit spécifiquement la suppression des groupes universels activés pour la sécurité. L'ID d'événement 4734 couvre les suppressions de groupes locaux activés pour la sécurité, tandis que l'ID d'événement 4758 gère les suppressions de groupes universels activés pour la sécurité dans certains contextes. Les groupes universels sont importants car ils peuvent contenir des membres de n'importe quel domaine de la forêt et peuvent se voir attribuer des permissions dans n'importe quel domaine, ce qui fait de leur suppression un événement de sécurité à l'échelle de la forêt plutôt que spécifique à un domaine.
Pourquoi ne vois-je pas l'ID d'événement 4730 lorsque des groupes sont supprimés ?+
L'ID d'événement 4730 n'apparaît que lorsque la stratégie 'Audit de la gestion des comptes' est activée dans la stratégie de groupe. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des groupes de sécurité et assurez-vous qu'il est défini sur 'Succès' ou 'Succès et échec'. De plus, cet événement ne se déclenche que pour les groupes universels activés pour la sécurité, pas pour les groupes de distribution ou d'autres types de groupes.
Puis-je récupérer un groupe universel après avoir vu l'ID d'événement 4730 ?+
La récupération dépend de votre configuration Active Directory. Si la Corbeille Active Directory est activée, vous pouvez restaurer le groupe en utilisant PowerShell : Get-ADObject -Filter {Name -eq 'GroupName'} -IncludeDeletedObjects | Restore-ADObject. Si la Corbeille n'est pas activée, vous devrez restaurer à partir d'une sauvegarde autoritaire en utilisant ntdsutil ou Windows Server Backup. Le SID du groupe sera préservé lors de la restauration de la Corbeille, maintenant les autorisations existantes.
Comment puis-je identifier qui a supprimé un groupe universel à partir de l'ID d'événement 4730 ?+
L'ID d'événement 4730 contient des informations détaillées sur la suppression. Recherchez la section 'Sujet' dans les détails de l'événement, qui inclut l'ID de sécurité, le nom du compte, le domaine du compte et l'ID de connexion de la personne qui a effectué la suppression. Vous pouvez corréler l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour obtenir un contexte supplémentaire sur le moment et la manière dont la personne s'est connectée, y compris l'adresse IP source et la méthode d'authentification.
Que dois-je faire si je vois des entrées inattendues d'ID d'événement 4730 ?+
Tout d'abord, vérifiez que la suppression a été autorisée en consultant votre système de gestion des changements et le titulaire du compte identifié dans l'événement. Examinez la session de connexion complète en utilisant l'ID de connexion pour voir d'autres activités effectuées. Recherchez des signes de compromission tels que des heures de connexion inhabituelles, des emplacements sources inattendus ou des suppressions multiples de groupes. Si la suppression semble non autorisée, enquêtez immédiatement sur le compte pour compromission, examinez les appartenances aux groupes qui pourraient avoir été affectées, et envisagez de restaurer le groupe à partir de la corbeille Active Directory ou de la sauvegarde si nécessaire.
Documentation

Références (2)

1
Microsoft Learn - Audit Account ManagementOfficial documentation covering audit policies for account management events including group deletionshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-account-management
2
Active Directory Recycle Bin OverviewMicrosoft documentation on Active Directory Recycle Bin functionality and recovery procedureshttps://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4730

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...