ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs for group management events
Event ID 4734InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4734 – Microsoft-Windows-Security-Auditing : Membre de groupe local activé pour la sécurité supprimé

L'ID d'événement 4734 se déclenche lorsqu'un membre est retiré d'un groupe local activé pour la sécurité. Cet événement d'audit de sécurité suit les changements d'appartenance au groupe à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4734Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4734 représente un mécanisme fondamental d'audit de sécurité qui suit la suppression de membres de groupes locaux activés pour la sécurité. Lorsque cet événement se déclenche, il indique que la base de données des membres du groupe a été modifiée, spécifiquement qu'un principal de sécurité (compte utilisateur, compte d'ordinateur ou un autre groupe) a été retiré de la liste des membres d'un groupe local.

L'événement fournit des détails complets, y compris le sujet qui a effectué l'action (avec son ID de sécurité, nom de compte et domaine), le groupe cible qui a été modifié (y compris son ID de sécurité, nom et domaine), et le membre qui a été retiré (avec des détails d'identification complets). Cette journalisation granulaire permet aux administrateurs de maintenir des pistes d'audit détaillées des changements de privilèges et des modifications de groupe.

Dans les environnements Active Directory, cet événement se déclenche sur les contrôleurs de domaine lorsque des groupes locaux de domaine sont modifiés. Sur les systèmes autonomes ou les serveurs membres, il se déclenche lorsque des groupes locaux sont modifiés. L'événement est généré indépendamment du fait que la suppression ait été effectuée via des outils GUI comme la Gestion de l'ordinateur, des utilitaires en ligne de commande comme net localgroup, ou des méthodes programmatiques via les API Windows.

Le moment et la fréquence de ces événements peuvent indiquer des activités administratives normales, des processus automatisés ou un comportement potentiellement suspect. Les suppressions massives ou les suppressions effectuées par des comptes inattendus peuvent justifier une enquête, rendant cet événement précieux pour la surveillance de la sécurité et les activités de réponse aux incidents.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur supprimant manuellement un utilisateur d'un groupe local via la console de gestion de l'ordinateur
  • Opérations en ligne de commande utilisant net localgroup ou des cmdlets PowerShell comme Remove-LocalGroupMember
  • Traitement des stratégies de groupe modifiant l'appartenance aux groupes restreints
  • Scripts automatisés ou applications supprimant des utilisateurs des groupes de manière programmatique
  • Réplication Active Directory supprimant des membres des groupes locaux de domaine
  • Logiciels de sécurité ou systèmes de gestion d'identité effectuant des opérations de nettoyage de groupe
  • Modifications de compte système lors des processus d'installation ou de désinstallation de logiciels
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4734 pour comprendre ce qui s'est passé.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet de droite
  4. Entrez 4734 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur une entrée récente de l'ID d'événement 4734 pour voir les détails
  6. Examinez les champs clés suivants dans la description de l'événement:
    • Sujet: Qui a effectué la suppression (Nom du compte, Domaine du compte, ID de connexion)
    • Groupe: Quel groupe a été modifié (Nom du groupe, Domaine du groupe, SID du groupe)
    • Membre: Quel compte a été supprimé (Nom du membre, SID du membre)
  7. Notez l'horodatage et corrélez avec toute activité administrative connue
Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour voir les données XML brutes, ce qui peut être utile pour l'analyse automatisée ou détaillée.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser de manière programmatique les occurrences de l'ID d'événement 4734 sur plusieurs systèmes ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4734 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Pour une analyse plus détaillée, extrayez des champs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $eventData = $xml.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = ($eventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        GroupName = ($eventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        MemberName = ($eventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
        MemberSid = ($eventData | Where-Object {$_.Name -eq 'MemberSid'}).'#text'
    }
}
  4. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734; StartTime=$StartTime; EndTime=$EndTime}
  5. Exportez les résultats en CSV pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734} -MaxEvents 100 | Export-Csv -Path "C:\Temp\GroupRemovals.csv" -NoTypeInformation
03

Enquêter sur les changements d'appartenance au groupe

Vérifiez l'appartenance actuelle au groupe et examinez si la suppression était autorisée et attendue.

  1. Vérifiez l'appartenance actuelle du groupe affecté en utilisant PowerShell :
    Get-LocalGroupMember -Group "GroupName"
  2. Pour les groupes de domaine, utilisez les cmdlets Active Directory :
    Get-ADGroupMember -Identity "GroupName" | Select-Object Name, SamAccountName, ObjectClass
  3. Examinez l'historique d'appartenance au groupe en interrogeant les événements connexes :
    # Recherchez à la fois les ajouts (4732) et les suppressions (4734)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732,4734} -MaxEvents 100 | Where-Object {$_.Message -like "*GroupName*"} | Sort-Object TimeCreated
  4. Vérifiez si la suppression faisait partie d'une action administrative plus large en examinant les événements autour de la même heure :
    $EventTime = (Get-Date "2026-03-18 10:30:00")
$TimeWindow = 300 # 5 minutes
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$EventTime.AddSeconds(-$TimeWindow); EndTime=$EventTime.AddSeconds($TimeWindow)} | Where-Object {$_.Id -in @(4732,4733,4734,4735)}
  5. Vérifiez que le compte sujet qui a effectué la suppression dispose des autorisations appropriées
  6. Documentez les résultats et déterminez si le changement était autorisé
Avertissement : Les suppressions inattendues de groupes privilégiés comme Administrateurs ou Domain Admins doivent être immédiatement examinées comme des incidents de sécurité potentiels.
04

Configurer l'audit avancé et la surveillance

Configurez une surveillance complète pour suivre les changements futurs d'appartenance aux groupes et établir des bases de référence pour une activité normale.

  1. Vérifiez que l'audit de l'accès aux objets est activé via la stratégie de groupe:
    • Ouvrez Console de gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
    • Développez Gestion des comptes et assurez-vous que Audit de la gestion des groupes de sécurité est défini sur Succès et Échec
  2. Configurez les paramètres d'audit avancés via la ligne de commande:
    auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
  3. Créez une tâche planifiée pour surveiller les changements de groupe suspects:
    # Créez un script PowerShell qui s'exécute toutes les 15 minutes
$ScriptBlock = {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734; StartTime=(Get-Date).AddMinutes(-15)} -ErrorAction SilentlyContinue
    if ($Events) {
        $Events | ForEach-Object {
            # Ajoutez votre logique d'alerte ici
            Write-EventLog -LogName Application -Source "GroupMonitor" -EventId 1001 -Message "Suppression de membre de groupe détectée: $($_.Message)"
        }
    }
}
# Enregistrez la tâche planifiée
Register-ScheduledTask -TaskName "MonitorGroupRemovals" -Trigger (New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -Once -At (Get-Date)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command $ScriptBlock")
  4. Configurez le transfert d'événements Windows (WEF) pour centraliser les journaux de sécurité de plusieurs systèmes
  5. Configurez l'intégration SIEM si disponible pour corréler les changements de groupe avec d'autres événements de sécurité
05

Analyse Forensique et Réponse aux Incidents

Effectuez une analyse médico-légale détaillée lorsque l'ID d'événement 4734 indique des incidents de sécurité potentiels ou des modifications non autorisées.

  1. Créez une chronologie médico-légale de tous les événements liés :
    # Collecter des données d'événements complètes
$StartDate = (Get-Date).AddDays(-30)
$Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648,4672,4732,4733,4734,4735; StartTime=$StartDate} -ErrorAction SilentlyContinue
$Events += Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036; StartTime=$StartDate} -ErrorAction SilentlyContinue
$Events | Sort-Object TimeCreated | Export-Csv -Path "C:\Forensics\SecurityTimeline.csv" -NoTypeInformation
  2. Analysez les sessions de connexion associées au compte sujet :
    # Trouver les événements de connexion pour le compte qui a effectué le changement
$SubjectAccount = "DOMAIN\Username" # Remplacer par le compte réel
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} | Where-Object {$_.Message -like "*$SubjectAccount*"} | Select-Object TimeCreated, Id, Message
  3. Vérifiez les événements d'escalade de privilèges (ID d'événement 4672) autour du moment des changements de groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Format-Table TimeCreated, Message -Wrap
  4. Examinez les événements de création de processus si le suivi des processus est activé :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*net.exe*" -or $_.Message -like "*powershell*"} | Select-Object TimeCreated, Message
  5. Documentez toutes les constatations et créez un rapport d'incident incluant :
    • Chronologie des événements menant au changement de groupe
    • Source du changement (utilisateur, processus, système)
    • Évaluation de l'impact du membre supprimé
    • Recommandations pour la remédiation ou les changements de politique
  6. Si une activité malveillante est suspectée, préservez les preuves et envisagez d'isoler les systèmes affectés
Avertissement : Pendant l'analyse médico-légale, évitez de faire des changements au système qui pourraient altérer les preuves. Travaillez avec des copies des journaux lorsque cela est possible.

Aperçu

L'ID d'événement 4734 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est retiré d'un groupe local activé pour la sécurité sur un système Windows. Cet événement fait partie de la catégorie d'audit d'accès aux objets et fournit des informations détaillées sur les changements d'appartenance aux groupes, y compris qui a effectué l'action, quel compte a été retiré et de quel groupe.

L'événement apparaît dans le journal de sécurité et est crucial pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. Il se déclenche sur les contrôleurs de domaine lorsque des groupes locaux de domaine sont modifiés, et sur les serveurs membres et les stations de travail lorsque des groupes locaux sont modifiés. L'événement capture à la fois les suppressions réussies et fournit un contexte sur le principal de sécurité qui a initié le changement.

Cet événement est particulièrement important dans les environnements où les changements d'appartenance aux groupes doivent être suivis pour la conformité réglementaire, les enquêtes de sécurité ou la supervision administrative. Il fonctionne en conjonction avec l'ID d'événement 4732 (membre ajouté au groupe) pour fournir une piste d'audit complète des modifications d'appartenance aux groupes.

Questions Fréquentes

Que signifie l'ID d'événement 4734 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4734 indique qu'un membre a été retiré d'un groupe local avec sécurité activée. Vous devriez vous inquiéter lorsque : des suppressions se produisent dans des groupes privilégiés comme Administrateurs sans autorisation, des suppressions ont lieu en dehors des heures ouvrables normales, le compte sujet effectuant la suppression est inattendu ou compromis, ou il y a des suppressions massives de plusieurs groupes simultanément. Les activités administratives normales généreront cet événement régulièrement, donc établissez des bases de référence pour identifier les modèles anormaux.
Comment puis-je savoir si un ID d'événement 4734 a été causé par une action administrative légitime ?+
Vérifiez plusieurs facteurs : vérifiez que le compte sujet dispose des autorisations appropriées et est un administrateur connu, confirmez que le timing correspond à la maintenance programmée ou aux tâches administratives connues, examinez les dossiers de gestion des changements pour les modifications de groupe autorisées, examinez le membre supprimé pour vous assurer que c'est approprié, et recherchez des événements connexes comme des connexions réussies (4624) depuis le poste de travail de l'administrateur. Les actions légitimes ont généralement une documentation, se produisent pendant les heures de bureau et impliquent du personnel autorisé.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 4734 pour le même changement de groupe ?+
Des entrées multiples peuvent se produire en raison de : adhésions de groupes imbriqués où la suppression d'un utilisateur d'un groupe affecte son appartenance dans les groupes parents, la réplication dans les environnements Active Directory où le changement est enregistré sur plusieurs contrôleurs de domaine, le traitement des stratégies de groupe qui applique les paramètres des groupes restreints, ou des systèmes automatisés qui vérifient et réappliquent les adhésions aux groupes. Chaque occurrence représente un enregistrement d'audit de sécurité distinct, ce qui est un comportement normal pour un audit complet.
L'ID d'événement 4734 peut-il m'aider à suivre qui a retiré un utilisateur du groupe Administrateurs ?+
Oui, l'ID d'événement 4734 fournit des informations détaillées sur les suppressions d'appartenance à un groupe, y compris le sujet (qui a effectué l'action) avec son nom de compte, domaine et ID de sécurité, le groupe cible qui a été modifié et le membre qui a été supprimé. L'événement inclut également des horodatages et des informations sur la session de connexion. Recoupez cela avec l'ID d'événement 4624 (connexion réussie) pour retracer la session de l'administrateur et déterminer le poste de travail source ou la méthode utilisée.
Combien de temps les enregistrements d'ID d'événement 4734 sont-ils conservés et comment puis-je les archiver ?+
La rétention dépend de la configuration de votre journal de sécurité, généralement 20 Mo avec réécriture par défaut si nécessaire. Pour des raisons de conformité ou d'enquête, configurez des tailles de journaux plus grandes ou activez l'archivage. Utilisez PowerShell pour exporter des événements : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4734} | Export-Csv. Envisagez l'utilisation de Windows Event Forwarding (WEF) pour centraliser les journaux, implémentez des solutions SIEM pour le stockage à long terme, ou utilisez des tâches planifiées pour archiver régulièrement les événements de sécurité. De nombreux cadres de conformité exigent une rétention des journaux d'audit de 90 jours à 7 ans.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4734 and related group management audit events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for comprehensive security monitoring including group management auditing.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#group-management#event-id-4734

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...