ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Security analyst reviewing Windows Event ID 4732 group membership changes on monitoring dashboard
Event ID 4732InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4732 – Microsoft-Windows-Security-Auditing : Un membre a été ajouté à un groupe local activé pour la sécurité

L'ID d'événement 4732 se déclenche lorsqu'un compte utilisateur ou ordinateur est ajouté à un groupe local activé pour la sécurité. Cet événement d'audit de sécurité aide les administrateurs à suivre les changements d'appartenance aux groupes pour la conformité et la surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4732Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4732 représente l'un des événements d'audit de sécurité les plus importants pour suivre les changements de privilèges dans les environnements Windows. Lorsque Windows ajoute un membre à un groupe local activé pour la sécurité, le système génère cet événement pour créer une piste d'audit des modifications de l'appartenance au groupe.

La structure de l'événement comprend plusieurs champs clés : les informations sur le sujet identifient qui a effectué l'action, y compris leur ID de sécurité (SID), nom de compte, domaine et ID de connexion. La section des informations sur le groupe spécifie le nom du groupe cible, le domaine et le SID. La section Membre détaille le compte ajouté, y compris son SID et son nom distingué pour les comptes de domaine.

Cet événement se déclenche pour divers scénarios, y compris les actions administratives via la gestion de l'ordinateur, les commandes PowerShell comme Add-LocalGroupMember, les commandes net localgroup, et les modifications programmatiques via les API Windows. L'événement capture à la fois les ajouts réussis et fournit un contexte sur le processus de demande et la session de connexion.

Les implications en matière de sécurité sont significatives puisque l'appartenance à un groupe local affecte directement les privilèges des utilisateurs et l'accès au système. Ajouter des utilisateurs à des groupes comme Administrateurs, Opérateurs de sauvegarde ou Utilisateurs du Bureau à distance peut accorder un accès étendu au système. Surveiller ces événements aide à détecter les escalades de privilèges non autorisées, les menaces internes et les violations de conformité.

L'événement s'intègre aux systèmes de gestion des informations et des événements de sécurité (SIEM) pour des alertes automatisées et une corrélation avec d'autres événements de sécurité. Les organisations configurent généralement des alertes pour les ajouts à des groupes à privilèges élevés et maintiennent des enregistrements historiques pour l'audit de conformité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur ajoutant manuellement des utilisateurs à des groupes locaux via la console de gestion de l'ordinateur
  • Commandes PowerShell comme Add-LocalGroupMember ou Add-ADGroupMember en cours d'exécution
  • Outils en ligne de commande tels que net localgroup ajoutant des membres
  • Préférences de stratégie de groupe ajoutant automatiquement des utilisateurs à des groupes
  • Installations de logiciels ajoutant des comptes de service aux groupes requis
  • Réplication du contrôleur de domaine mettant à jour les appartenances aux groupes locaux
  • Scripts automatisés ou outils de gestion de configuration modifiant l'appartenance aux groupes
  • Opérations de la console Utilisateurs et ordinateurs Active Directory sur les contrôleurs de domaine
  • Applications tierces ajoutant des comptes à des groupes de manière programmatique
  • Opérations de restauration du système incluant des modifications d'appartenance à des groupes
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre ce qui s'est passé :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4732 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4732 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Sujet : Qui a effectué l'action
    • Groupe : Quel groupe a été modifié
    • Membre : Quel compte a été ajouté
    • Informations sur le processus : Quel outil a été utilisé
  6. Notez l'horodatage et corrélez-le avec d'autres activités administratives
  7. Vérifiez si le changement a été autorisé en examinant les dossiers de gestion des changements
Astuce pro : Recherchez des motifs dans le champ Nom du processus pour identifier les outils ou scripts automatisés effectuant des modifications en masse.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4732 :

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents avec un filtrage de base :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Recherchez des ajouts de groupes spécifiques au cours des dernières 24 heures :
    $StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732; StartTime=$StartTime} | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Subject = $Event.Event.EventData.Data[1].'#text'
        Group = $Event.Event.EventData.Data[5].'#text'
        Member = $Event.Event.EventData.Data[8].'#text'
    }
}
  4. Filtrez pour les ajouts de groupes à privilèges élevés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732} | Where-Object {
    $_.Message -match "Administrators|Domain Admins|Enterprise Admins|Backup Operators"
} | Select-Object TimeCreated, Message
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732} -MaxEvents 100 | Export-Csv -Path "C:\Temp\GroupAdditions.csv" -NoTypeInformation
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats.
03

Vérifier l'appartenance actuelle au groupe

Confirmez l'état actuel des appartenances aux groupes pour valider les modifications :

  1. Vérifiez l'appartenance au groupe local en utilisant PowerShell :
    Get-LocalGroupMember -Group "Administrators" | Format-Table Name, ObjectClass, PrincipalSource
  2. Pour les environnements de domaine, vérifiez l'appartenance au groupe de domaine :
    Get-ADGroupMember -Identity "Domain Admins" | Select-Object Name, SamAccountName, ObjectClass
  3. Listez tous les groupes locaux et leurs membres :
    Get-LocalGroup | ForEach-Object {
    Write-Host "Group: $($_.Name)" -ForegroundColor Yellow
    Get-LocalGroupMember -Group $_.Name | Format-Table Name, ObjectClass -AutoSize
}
  4. Comparez avec l'appartenance au groupe de référence si disponible
  5. Utilisez la console de gestion de l'ordinateur pour la vérification GUI :
    • Ouvrez compmgmt.msc
    • Accédez à Utilisateurs et groupes locauxGroupes
    • Double-cliquez sur le groupe concerné pour voir les membres actuels
  6. Documentez toute addition non autorisée pour un examen de sécurité
Astuce pro : Maintenez une documentation de l'appartenance au groupe de référence pour identifier rapidement les modifications non autorisées.
04

Configurer la surveillance d'audit avancée

Configurez une surveillance complète pour les futurs changements d'appartenance à des groupes :

  1. Activez la stratégie d'audit détaillée en utilisant la stratégie de groupe ou la stratégie locale :
    auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
  2. Configurez la stratégie d'audit via la gestion des stratégies de groupe :
    • Ouvrez gpmc.msc et modifiez le GPO approprié
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Activez Audit de la gestion des groupes de sécurité pour Succès et Échec
  3. Configurez un script de surveillance PowerShell pour des alertes en temps réel :
    Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4732" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Changement d'appartenance au groupe détecté à $($Event.TimeGenerated)" -ForegroundColor Red
    # Ajoutez ici la notification par email ou l'intégration SIEM
}
  4. Configurez le transfert d'événements Windows (WEF) pour la journalisation centralisée :
    • Créez des vues personnalisées dans le Visualiseur d'événements pour l'ID d'événement 4732
    • Configurez des abonnements pour transférer les événements vers un collecteur central
  5. Mettez en œuvre l'intégration SIEM pour des alertes automatisées et la corrélation
Avertissement : Les environnements à fort volume peuvent générer des événements d'audit excessifs. Configurez le filtrage de manière appropriée.
05

Analyse Forensique et Réponse aux Incidents

Effectuer une analyse médico-légale détaillée lorsque des changements de groupe non autorisés sont suspectés :

  1. Collecter des données d'événements complètes avec une analyse chronologique :
    $StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732,4733,4728,4729; StartTime=$StartTime}
$Events | Sort-Object TimeCreated | Export-Csv -Path "C:\Forensics\GroupChanges.csv" -NoTypeInformation
  2. Corréler avec les événements de connexion (4624, 4625) pour identifier la source :
    $LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$StartTime}
# Cross-reference logon IDs with group change events
  3. Examiner les événements de création de processus (4688) pour les détails de la ligne de commande :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime} | Where-Object {
    $_.Message -match "net.exe|powershell.exe|Add-LocalGroupMember"
}
  4. Vérifier les modifications du registre liées à l'appartenance à un groupe :
    • Examiner HKLM\SAM\SAM\Domains\Builtin\Aliases pour les modifications de groupes locaux
    • Utiliser des outils comme RegRipper pour une analyse détaillée du registre
  5. Analyser les connexions réseau et les modèles d'accès aux fichiers :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} | Where-Object {
    $_.TimeCreated -gt $SuspiciousTime -and $_.TimeCreated -lt $SuspiciousTime.AddMinutes(10)
}
  6. Documenter les résultats et créer une chronologie de réponse aux incidents
  7. Mettre en œuvre des étapes de remédiation, y compris la réinitialisation des mots de passe et la révision des privilèges
Astuce pro : Utilisez la fonctionnalité Windows Timeline et les journaux de transcription PowerShell pour un contexte supplémentaire lors des enquêtes.

Aperçu

L'ID d'événement 4732 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est ajouté à un groupe local activé pour la sécurité sur un système Windows. Cet événement fait partie de la catégorie d'audit d'accès aux objets et fournit des informations détaillées sur qui a ajouté quel compte à quel groupe, ainsi que des horodatages et le processus de demande.

Cet événement se déclenche sur les contrôleurs de domaine lorsque des groupes locaux sont modifiés, et sur les serveurs membres et les stations de travail lorsque leurs groupes locaux changent. L'événement capture à la fois les comptes d'utilisateur et les comptes d'ordinateur ajoutés à des groupes comme Administrateurs, Utilisateurs du Bureau à distance, ou des groupes de sécurité personnalisés.

Les équipes de sécurité s'appuient sur cet événement pour les rapports de conformité, la détection d'escalade de privilèges et les enquêtes judiciaires. L'événement fournit des détails granulaires, y compris le sujet qui a effectué le changement, le groupe cible, et le membre qui a été ajouté. Windows génère cet événement indépendamment du fait que l'ajout ait été effectué via des outils GUI, PowerShell, ou des utilitaires en ligne de commande.

L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être généré. Sans un audit approprié activé, ces changements de sécurité critiques ne sont pas enregistrés, créant des angles morts dans la surveillance de la sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4732 et pourquoi est-il important ?+
L'ID d'événement 4732 indique qu'un membre a été ajouté à un groupe local activé pour la sécurité sur un système Windows. Cet événement est crucial pour la surveillance de la sécurité car il suit l'escalade des privilèges et les changements d'appartenance aux groupes. Lorsque des utilisateurs sont ajoutés à des groupes comme Administrateurs, Utilisateurs du Bureau à distance ou Opérateurs de sauvegarde, ils obtiennent des privilèges système supplémentaires. Les équipes de sécurité utilisent cet événement pour détecter l'escalade non autorisée des privilèges, maintenir la conformité avec les politiques de contrôle d'accès et enquêter sur les menaces internes potentielles ou les comptes compromis.
Comment puis-je savoir qui a ajouté un membre à un groupe à partir de l'ID d'événement 4732 ?+
Les détails de l'ID d'événement 4732 incluent une section 'Sujet' qui identifie qui a effectué l'action. Cette section contient l'ID de sécurité (SID), le nom du compte, le domaine du compte et l'ID de connexion de la personne qui a ajouté le membre. Vous pouvez trouver cette information dans le Visualiseur d'événements en double-cliquant sur l'événement, ou l'extraire en utilisant PowerShell en analysant l'XML de l'événement. L'ID de connexion peut être corrélé avec les événements de connexion (4624) pour déterminer l'ordinateur source et la méthode d'authentification utilisée.
Pourquoi ne vois-je pas l'ID d'événement 4732 dans mon journal de sécurité ?+
L'ID d'événement 4732 nécessite l'activation de politiques d'audit spécifiques. Vous devez configurer 'Audit de la gestion des groupes de sécurité' sous Configuration avancée de la stratégie d'audit. Utilisez la commande 'auditpol /set /subcategory:"Security Group Management" /success:enable' pour l'activer via la ligne de commande, ou configurez-le via la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit. Sans cette politique activée, Windows ne générera pas ces événements d'audit de sécurité, créant des angles morts dans votre surveillance de sécurité.
L'ID d'événement 4732 peut-il aider à détecter une activité malveillante ?+
Oui, l'ID d'événement 4732 est précieux pour détecter les activités malveillantes, en particulier les attaques d'escalade de privilèges. Les attaquants ajoutent souvent des comptes compromis à des groupes à haut privilège comme Administrateurs ou Admins du domaine pour maintenir la persistance et étendre l'accès. Surveillez les ajouts inattendus à des groupes sensibles, surtout en dehors des heures de bureau ou à partir de comptes sources inhabituels. Corrélez ces événements avec d'autres événements de sécurité comme les échecs de connexion (4625), la création de processus (4688) et les connexions réseau (4624) pour identifier les schémas d'attaque. L'alerte automatisée sur les ajouts à des groupes critiques peut fournir un avertissement précoce de violations potentielles.
Combien de temps dois-je conserver les journaux d'événements ID 4732 pour la conformité ?+
Les exigences de rétention pour les journaux d'ID d'événement 4732 dépendent des réglementations de votre secteur et des politiques organisationnelles. Les cadres de conformité courants exigent des périodes de rétention différentes : SOX exige généralement 7 ans, HIPAA suggère 6 ans, et PCI DSS impose un minimum de 1 an. De nombreuses organisations conservent les journaux d'audit de sécurité pendant 1 à 3 ans à des fins d'analyse judiciaire. Configurez les limites de taille des journaux d'événements Windows de manière appropriée et envisagez de transférer les événements vers un SIEM centralisé ou un système de gestion des journaux pour un stockage à long terme. Archivez les journaux plus anciens pour répondre aux exigences de conformité tout en maintenant les performances du système.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4732 and related group management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including Security Group Management auditing.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#group-management#event-id-4732

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...