ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Server Active Directory management console displaying security event logs and group management interface
Event ID 4737InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4737 – Microsoft-Windows-Security-Auditing : Groupe global activé pour la sécurité modifié

L'ID d'événement 4737 se déclenche lorsqu'un groupe global activé pour la sécurité est modifié dans Active Directory, suivant les modifications des propriétés du groupe, de l'appartenance ou des attributs à des fins d'audit de sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4737Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4737 représente un composant critique de l'infrastructure d'audit de sécurité d'Active Directory, spécifiquement conçu pour suivre les modifications apportées aux groupes globaux activés pour la sécurité. Lorsque cet événement se déclenche, cela indique que quelqu'un avec les autorisations appropriées a modifié les propriétés d'un groupe global via des outils comme Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des interfaces programmatiques.

L'événement capture des détails complets, y compris le nom distingué du groupe, le SID, le nom de compte SAM et les attributs spécifiques qui ont été modifiés. Il enregistre également le compte utilisateur responsable du changement, y compris leur domaine, ID de connexion et détails d'authentification. Ce suivi granulaire permet aux administrateurs de maintenir des pistes d'audit détaillées à des fins de sécurité et de conformité.

Dans Windows Server 2025 et les environnements Active Directory modernes, cet événement s'intègre aux systèmes de protection avancée contre les menaces et peut déclencher des réponses automatisées lorsque des modifications suspectes de groupe se produisent. Les données de l'événement incluent à la fois les anciennes et nouvelles valeurs des attributs modifiés, ce qui permet de suivre exactement ce qui a été modifié et potentiellement de revenir sur les changements non autorisés.

Les organisations configurent généralement la stratégie de groupe pour s'assurer que cet audit est activé sur tous les contrôleurs de domaine, car manquer ces événements peut créer des angles morts de sécurité significatifs. La fréquence des événements dépend des niveaux d'activité administrative, mais même les petites organisations devraient s'attendre à voir ces événements régulièrement dans le cadre des opérations normales de maintenance d'Active Directory.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11
Analyse

Causes possibles

  • Administrateur modifiant la description du groupe ou d'autres propriétés via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell utilisant le cmdlet Set-ADGroup pour mettre à jour les attributs de groupe
  • Systèmes automatisés ou comptes de service mettant à jour les propriétés de groupe par programmation
  • Traitement des stratégies de groupe qui modifie les attributs des groupes de sécurité
  • Outils de gestion d'identité tiers apportant des modifications aux groupes Active Directory
  • Exchange Server ou d'autres applications mettant à jour les propriétés des groupes pour les groupes activés pour la messagerie
  • Outils de synchronisation de répertoires modifiant les attributs de groupe lors des opérations de synchronisation
  • Outils d'administration comme ADSI Edit utilisés pour modifier directement les objets de groupe
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4737 pour comprendre ce qui a été modifié et par qui.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4737 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez les champs clés suivants:
    • Sujet: Indique qui a effectué la modification (ID de sécurité, Nom du compte, Domaine)
    • Groupe: Affiche le SID, le nom et le domaine du groupe modifié
    • Attributs modifiés: Liste les attributs spécifiques qui ont été modifiés
    • Informations supplémentaires: Contient des informations sur les privilèges et les détails du processus

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4737} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Corréler avec des événements de sécurité connexes

Enquêter sur les événements connexes pour obtenir une image complète de l'activité administrative qui a déclenché la modification du groupe.

  1. Rechercher les événements de connexion associés (4624) autour de la même période pour identifier la session
  2. Chercher l'ID d'événement 4728 (membre ajouté) ou 4729 (membre supprimé) si des changements de membres ont eu lieu
  3. Vérifier l'ID d'événement 4735 (groupe local activé pour la sécurité modifié) si des groupes locaux ont également été modifiés

Utilisez ce script PowerShell pour corréler les événements dans un délai spécifique :

# Obtenir l'événement 4737 et les événements connexes dans une fenêtre d'une heure
$StartTime = (Get-Date).AddHours(-1)
$Events = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4737,4728,4729,4624
    StartTime=$StartTime
} | Sort-Object TimeCreated

$Events | Select-Object TimeCreated, Id, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Account Name:'} | Select-Object -First 1) -replace '.*Account Name:\s*',''}}
  • Faire une référence croisée de l'ID de connexion de l'événement 4737 avec les événements de connexion pour retracer la session complète
  • Examiner les informations de processus pour identifier quel outil ou application a effectué le changement
    • 03

    Analyser les changements de groupe avec PowerShell

    Utilisez PowerShell pour extraire et analyser les modifications spécifiques apportées au groupe, y compris les valeurs avant et après.

    1. Extraire des informations détaillées du message d'événement :
    # Analyser les détails de l'événement 4737
$Event4737 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4737} -MaxEvents 1
$EventXML = [xml]$Event4737.ToXml()

# Extraire les informations clés
$SubjectUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
$TargetUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
$TargetSid = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'} | Select-Object -ExpandProperty '#text'

Write-Host "Modifié par : $SubjectUserName"
Write-Host "Groupe affecté : $TargetUserName"
Write-Host "SID du groupe : $TargetSid"
    1. Comparer les propriétés actuelles du groupe avec les données historiques :
    # Obtenir les propriétés actuelles du groupe
$GroupSID = "S-1-5-21-..."
$Group = Get-ADGroup -Identity $GroupSID -Properties *

# Afficher les propriétés clés qui pourraient avoir été modifiées
$Group | Select-Object Name, Description, GroupCategory, GroupScope, Created, Modified
    1. Créer un script de surveillance pour le suivi continu des modifications de groupe
    04

    Mettre en œuvre une surveillance et une alerte avancées

    Configurez une surveillance proactive pour détecter et alerter sur les modifications de groupe suspectes en temps réel.

    1. Créez une tâche planifiée pour surveiller l'ID d'événement 4737 :
    # Créer un script de surveillance
$ScriptBlock = {
    $LastHour = (Get-Date).AddHours(-1)
    $Events = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4737
        StartTime=$LastHour
    } -ErrorAction SilentlyContinue
    
    if ($Events) {
        $Events | ForEach-Object {
            $EventXML = [xml]$_.ToXml()
            $Subject = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
            $Target = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
            
            Write-EventLog -LogName Application -Source "GroupMonitor" -EventId 1001 -Message "Group $Target modified by $Subject at $($_.TimeCreated)"
        }
    }
}

# Enregistrer la tâche planifiée
Register-ScheduledTask -TaskName "MonitorGroupChanges" -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command $ScriptBlock")
    1. Configurez le transfert d'événements Windows pour centraliser les événements de changement de groupe
    2. Configurez des requêtes de journal d'événements personnalisées dans System Center Operations Manager ou des outils similaires
    3. Mettez en œuvre des procédures de réponse automatisées pour les modifications de groupe critiques
    05

    Analyse légale et rapport de conformité

    Effectuer une analyse médico-légale complète des changements de groupe pour les enquêtes de sécurité et les rapports de conformité.

    1. Exporter les données de l'ID d'événement 4737 pour une analyse détaillée :
    # Exporter les événements vers CSV pour analyse
$StartDate = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4737
    StartTime=$StartDate
}

$EventData = $Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        SubjectDomainName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetSid = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'} | Select-Object -ExpandProperty '#text'
        PrivilegeList = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'PrivilegeList'} | Select-Object -ExpandProperty '#text'
    }
}

$EventData | Export-Csv -Path "C:\Temp\GroupChanges_4737.csv" -NoTypeInformation
    1. Créer des rapports de conformité montrant les modèles de modification de groupe
    2. Analyser les données pour des modèles inhabituels ou des changements non autorisés
    3. Faire des références croisées avec les systèmes de gestion des changements pour vérifier les modifications autorisées
    4. Générer des résumés exécutifs pour les équipes de sécurité et de conformité
    Astuce pro : Utilisez les données exportées avec des outils comme Excel Power Query ou Power BI pour créer des tableaux de bord visuels montrant les tendances et les modèles de changement de groupe au fil du temps.

    Aperçu

    L'ID d'événement 4737 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un groupe global activé pour la sécurité subit une modification dans Active Directory. Cet événement capture les modifications des propriétés du groupe telles que la description, la conversion du type de groupe ou les modifications d'attributs, mais pas les changements de membres, qui sont suivis séparément par l'ID d'événement 4728 (membre ajouté) et 4729 (membre supprimé).

    Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fait partie du cadre d'audit complet d'Active Directory de Windows. L'événement fournit des informations détaillées sur ce qui a changé, qui a effectué le changement et quand il s'est produit. Dans les environnements d'entreprise, cet événement est crucial pour maintenir la conformité en matière de sécurité et suivre les actions administratives.

    L'événement se déclenche sur le contrôleur de domaine où le changement a été traité et réplique les informations d'audit à travers le domaine. Les administrateurs système comptent sur cet événement pour surveiller les modifications non autorisées des groupes, suivre les activités administratives et maintenir des pistes d'audit pour les exigences de conformité. L'événement inclut l'identifiant de sécurité (SID) du groupe modifié et du compte utilisateur qui a initié le changement.

    Questions Fréquentes

    Quelle est la différence entre l'ID d'événement 4737 et l'ID d'événement 4735 ?+
    L'ID d'événement 4737 suit les modifications apportées aux groupes globaux activés pour la sécurité, tandis que l'ID d'événement 4735 suit les modifications apportées aux groupes locaux activés pour la sécurité. Les groupes globaux peuvent contenir des utilisateurs du même domaine et peuvent être utilisés dans toute la forêt, tandis que les groupes locaux sont généralement utilisés pour l'accès aux ressources sur des ordinateurs ou des domaines spécifiques. Les deux événements capturent les modifications de propriétés mais pas les modifications d'appartenance, qui sont suivies par des ID d'événements distincts (4728/4729 pour les groupes globaux, 4732/4733 pour les groupes locaux).
    Pourquoi est-ce que je vois l'ID d'événement 4737 mais aucun changement visible dans Utilisateurs et ordinateurs Active Directory ?+
    L'ID d'événement 4737 peut se déclencher pour des modifications d'attributs qui ne sont pas visibles dans l'interface ADUC standard. Cela inclut les modifications des attributs étendus, des descripteurs de sécurité ou des mises à jour de métadonnées. L'événement peut également se produire en raison de processus de réplication, de scripts automatisés ou d'applications qui modifient les objets de groupe de manière programmatique. Utilisez des outils comme ADSI Edit ou Get-ADGroup de PowerShell avec le paramètre -Properties * pour voir tous les attributs qui pourraient avoir été modifiés.
    Comment puis-je déterminer exactement quels attributs de groupe ont été modifiés dans l'ID d'événement 4737 ?+
    Le message d'ID d'événement 4737 inclut un champ 'Attributs modifiés' qui répertorie les attributs spécifiques modifiés. Cependant, ce champ utilise des noms d'attributs LDAP plutôt que des noms conviviaux. Les attributs courants incluent 'description' (description du groupe), 'groupType' (sécurité vs distribution) et 'managedBy' (gestionnaire du groupe). Vous pouvez également activer un audit plus détaillé en utilisant la stratégie de groupe pour capturer les valeurs avant et après des attributs modifiés, bien que cela augmente considérablement le volume des journaux.
    L'ID d'événement 4737 peut-il aider à identifier les violations de sécurité impliquant des modifications de groupe ?+
    Oui, l'ID d'événement 4737 est crucial pour détecter les modifications non autorisées de groupes qui pourraient indiquer une violation de sécurité. Recherchez les changements effectués par des comptes utilisateurs inattendus, des modifications pendant des heures inhabituelles ou des changements rapides successifs à plusieurs groupes. Corrélez ces événements avec les événements de connexion (4624) pour identifier la source des changements. Portez une attention particulière aux modifications des groupes à haut privilège comme Domain Admins ou Enterprise Admins, et configurez des alertes pour les changements à ces groupes critiques.
    Combien de temps dois-je conserver les journaux d'événements ID 4737 à des fins de conformité ?+
    Les exigences de rétention pour les journaux d'ID d'événement 4737 dépendent du cadre de conformité de votre organisation. La plupart des réglementations exigent une rétention de 1 à 7 ans pour les journaux d'audit de sécurité. HIPAA exige généralement 6 ans, SOX exige 7 ans, et PCI DSS exige au moins 1 an avec 3 mois immédiatement disponibles. Configurez la taille de votre journal de sécurité de manière appropriée et mettez en œuvre le transfert de journaux vers un SIEM central ou un système de gestion des journaux pour répondre à ces exigences de rétention tout en maintenant les capacités de recherche et d'analyse.
    Documentation

    Références (2)

    1
    Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4737 and related group management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/auditing-security-events
    2
    Active Directory Security Auditing Best PracticesMicrosoft's official guidance on implementing security auditing for Active Directory environments.https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
    Emanuel DE ALMEIDA
    Écrit par

    Emanuel DE ALMEIDA

    Senior IT Journalist & Cloud Architect

    Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

    Tags
    #active-directory#security-auditing#event-id-4737

    Événements Windows associés

    Windows security monitoring dashboard displaying audit events and privilege tracking logs
    Event 6276
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

    L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

    18 mars9 min
    Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
    Event 6274
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

    L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

    18 mars9 min
    Network Policy Server monitoring dashboard showing authentication events and security logs
    Event 6273
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

    L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

    18 mars9 min
    Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
    Event 6272
    Microsoft-Windows-Security-Auditing
    Windows EventInformation

    ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

    L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

    18 mars12 min

    Discussion

    Partagez vos réflexions et analyses

    Vous devez être connecté pour commenter.

    Se connecter
    Chargement des commentaires...