ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with Event ID 4738 user account modification events on a SOC monitoring dashboard
Event ID 4738InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4738 – Microsoft-Windows-Security-Auditing : Compte utilisateur modifié

L'ID d'événement 4738 se déclenche lorsqu'un compte utilisateur est modifié dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi des modifications de compte non autorisées.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4738Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4738 représente l'un des événements d'audit de sécurité les plus importants dans les environnements Windows. Lorsqu'une modification se produit sur un compte utilisateur, que ce soit dans Active Directory ou dans la base de données locale du Security Accounts Manager (SAM), Windows génère cet événement pour maintenir une trace d'audit des modifications de compte.

L'événement capture des détails complets, y compris l'identifiant de sécurité (SID) du compte modifié et du compte effectuant la modification. Il enregistre les attributs spécifiques qui ont changé, leurs anciennes et nouvelles valeurs, et le poste de travail d'où provient la modification. Cette journalisation granulaire rend 4738 inestimable pour les enquêtes judiciaires et les rapports de conformité.

Dans les environnements Active Directory, cet événement se déclenche sur les contrôleurs de domaine lorsque les administrateurs modifient les propriétés des utilisateurs via des outils comme Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des scripts automatisés. Pour les comptes locaux, l'événement est généré sur la machine spécifique où le compte réside. La structure de l'événement inclut des champs pour le domaine du compte, le nom du compte, les informations de l'appelant et des descriptions détaillées des modifications.

Les versions modernes de Windows en 2026 ont amélioré cet événement avec des champs de contexte supplémentaires et des capacités de corrélation améliorées. Les systèmes de gestion des informations et des événements de sécurité (SIEM) surveillent couramment les événements 4738 pour détecter les modifications suspectes de compte, en particulier les changements sur les comptes privilégiés ou les modifications se produisant en dehors des heures normales de bureau.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Réinitialisation des mots de passe utilisateur par l'administrateur via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell modifiant les attributs utilisateur à l'aide des cmdlets Set-ADUser
  • Systèmes de gestion d'identité automatisés mettant à jour les propriétés utilisateur
  • Modifications de l'appartenance à des groupes ajoutant ou supprimant des utilisateurs des groupes de sécurité
  • Modifications du statut des comptes telles que l'activation ou la désactivation des comptes
  • Modifications du chemin du profil utilisateur ou du répertoire personnel
  • Modification des heures de connexion ou des restrictions de poste de travail
  • Exceptions à la politique de mot de passe ou modifications de la date d'expiration du compte
  • Mises à jour des informations d'identification des comptes de service ou modifications de configuration
  • Opérations d'importation en masse d'utilisateurs modifiant les comptes existants
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4738 pour comprendre ce qui a changé et qui a initié la modification.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4738 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4738 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4738 pour voir des informations détaillées, y compris :
    • Sujet : Compte qui a effectué le changement
    • Compte cible : Compte qui a été modifié
    • Attributs modifiés : Champs spécifiques qui ont été altérés
    • Informations supplémentaires : Détails du poste de travail et du processus
Astuce pro : Recherchez le champ 'Attributs modifiés' qui montre exactement ce qui a été modifié, y compris les anciennes et nouvelles valeurs pour les attributs critiques.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les événements 4738 sur plusieurs systèmes ou plages de temps.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4738 avec un filtrage de base :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4738} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Recherchez des modifications spécifiques de comptes d'utilisateur :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4738; StartTime=(Get-Date).AddDays(-7)}
$Events | Where-Object {$_.Message -like '*username*'} | Select-Object TimeCreated, Message
  4. Extrayez des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4738} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data[1].'#text'
        TargetUserName = $Event.Event.EventData.Data[5].'#text'
        TargetDomain = $Event.Event.EventData.Data[6].'#text'
        WorkstationName = $Event.Event.EventData.Data[11].'#text'
    }
}
Astuce pro : Utilisez le paramètre -Oldest avec Get-WinEvent pour récupérer les événements dans l'ordre chronologique pour l'analyse de la chronologie.
03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer tous les événements nécessaires de modification de compte.

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Gestion des comptes et configurez ces politiques:
    • Audit de la gestion des comptes d'utilisateur: Réglez sur Succès et Échec
    • Audit de la gestion des groupes de sécurité: Réglez sur Succès et Échec
    • Audit de la gestion des groupes de distribution: Réglez sur Succès
  4. Appliquez la politique en utilisant la ligne de commande:
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
  5. Vérifiez les paramètres d'audit actuels:
    auditpol /get /subcategory:"User Account Management"
  6. Forcez la mise à jour de la politique de groupe si vous utilisez des politiques de domaine:
    gpupdate /force
Avertissement : Activer une journalisation d'audit étendue peut générer un volume de journaux important. Surveillez l'espace disque et configurez les politiques de rétention des journaux de manière appropriée.
04

Enquêter sur les changements suspects de compte

Effectuez une analyse médico-légale détaillée lorsque les événements 4738 indiquent des incidents de sécurité potentiels.

  1. Identifiez la source des modifications suspectes en examinant les champs Sujet dans l'événement :
    $SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4738; StartTime=(Get-Date).AddHours(-24)}
$SuspiciousEvents | Where-Object {$_.Message -match 'Administrator|SYSTEM'} | ForEach-Object {
    $Event = [xml]$_.ToXml()
    Write-Host "Time: $($_.TimeCreated)"
    Write-Host "Subject: $($Event.Event.EventData.Data[1].'#text')"
    Write-Host "Target: $($Event.Event.EventData.Data[5].'#text')"
    Write-Host "Workstation: $($Event.Event.EventData.Data[11].'#text')"
    Write-Host "---"
}
  2. Faites une référence croisée avec les événements de connexion (4624) pour vérifier l'accès légitime :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like '*suspicious_username*'}
  3. Vérifiez les événements d'escalade de privilèges associés (4672) :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672; StartTime=(Get-Date).AddHours(-2)} | Format-Table TimeCreated, Message -Wrap
  4. Examinez les événements de création de processus (4688) si disponibles :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like '*net.exe*' -or $_.Message -like '*dsmod*'}
  5. Documentez les résultats et corrélez-les avec d'autres événements de sécurité pour une analyse complète de l'incident
Conseil pro : Recherchez des modèles tels que plusieurs modifications de compte depuis le même poste de travail ou des changements se produisant en dehors des heures de bureau.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance proactive pour détecter et répondre aux modifications critiques de compte en temps réel.

  1. Créez un script PowerShell pour une surveillance continue :
    # Monitor4738.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
while ($true) {
    $NewEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4738; StartTime=$LastCheck} -ErrorAction SilentlyContinue
    
    foreach ($Event in $NewEvents) {
        $EventXML = [xml]$Event.ToXml()
        $TargetUser = $EventXML.Event.EventData.Data[5].'#text'
        $SubjectUser = $EventXML.Event.EventData.Data[1].'#text'
        
        # Alerte sur les changements de compte privilégié
        if ($TargetUser -match 'admin|service|sql') {
            Write-Host "ALERTE : Compte privilégié $TargetUser modifié par $SubjectUser à $($Event.TimeCreated)" -ForegroundColor Red
            # Ajouter une notification par email ou une intégration SIEM ici
        }
    }
    
    $LastCheck = Get-Date
    Start-Sleep -Seconds 300
}
  2. Configurez le transfert d'événements Windows pour une collecte centralisée :
    # Sur le serveur collecteur
wecutil qc /q
wecutil cs subscription.xml
  3. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance 4738 :
    • Ouvrez Visualiseur d'événementsVues personnalisées
    • Cliquez avec le bouton droit et sélectionnez Créer une vue personnalisée
    • Définissez les ID d'événement sur 4738 et configurez des filtres supplémentaires
    • Enregistrez sous "Surveillance des changements de compte utilisateur"
  4. Configurez le Planificateur de tâches pour une réponse automatisée :
    $Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Monitor4738.ps1'
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserID 'SYSTEM' -LogonType ServiceAccount
Register-ScheduledTask -TaskName 'Monitor4738Events' -Action $Action -Trigger $Trigger -Principal $Principal
Avertissement : Les scripts de surveillance automatisée doivent inclure une gestion des erreurs et une journalisation appropriées pour éviter les interruptions de service.

Aperçu

L'ID d'événement 4738 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est modifié dans Windows. Cet événement capture les modifications des propriétés utilisateur, y compris les réinitialisations de mot de passe, les modifications de statut de compte, les changements d'appartenance à des groupes et les mises à jour d'attributs. L'événement est généré sur les contrôleurs de domaine pour les comptes Active Directory et sur les machines locales pour les comptes utilisateurs locaux.

Cet événement est essentiel pour la surveillance de la sécurité car il fournit des informations détaillées sur qui a effectué les modifications, ce qui a été modifié et quand la modification a eu lieu. Les équipes de sécurité s'appuient sur les événements 4738 pour détecter les modifications de compte non autorisées, suivre les activités administratives et maintenir la conformité avec les exigences d'audit.

L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être généré. Par défaut, Windows Server 2022 et les versions ultérieures disposent de capacités de journalisation améliorées qui capturent des détails plus précis sur les modifications de compte. Comprendre cet événement est crucial pour maintenir une posture de sécurité adéquate dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 4738 et pourquoi est-il important ?+
L'ID d'événement 4738 indique qu'un compte utilisateur a été modifié dans Windows. Cet événement est crucial pour la surveillance de la sécurité car il fournit une piste d'audit de toutes les modifications de compte, y compris les réinitialisations de mot de passe, les modifications d'appartenance à des groupes et les mises à jour d'attributs. Les équipes de sécurité utilisent cet événement pour détecter les modifications de compte non autorisées, suivre les activités administratives et maintenir la conformité avec les exigences d'audit. L'événement capture des informations détaillées sur qui a effectué la modification, ce qui a été modifié et quand cela s'est produit.
Comment puis-je déterminer quelles modifications spécifiques ont été apportées à un compte utilisateur dans l'ID d'événement 4738 ?+
Les modifications spécifiques sont documentées dans le champ 'Attributs modifiés' dans les détails de l'événement. Pour voir cette information, ouvrez l'événement dans le Visualiseur d'événements et recherchez la section 'Attributs modifiés' qui montre le nom de l'attribut, l'ancienne valeur et la nouvelle valeur pour chaque champ modifié. Les modifications courantes incluent les réinitialisations de mot de passe (affichées comme l'heure du dernier réglage du mot de passe), les modifications de l'appartenance à un groupe, les changements de statut de compte et les mises à jour des attributs utilisateur comme le nom d'affichage ou l'adresse e-mail.
Pourquoi ne vois-je pas l'ID d'événement 4738 dans mon journal de sécurité ?+
L'ID d'événement 4738 nécessite une configuration appropriée de la stratégie d'audit pour être généré. Vous devez activer 'Audit de la gestion des comptes d'utilisateur' dans la Configuration avancée de la stratégie d'audit. Utilisez la commande 'auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable' pour activer cet audit. De plus, assurez-vous d'avoir les privilèges suffisants pour afficher le journal de sécurité et que les événements n'ont pas été effacés ou supprimés en raison des politiques de rétention des journaux.
L'ID d'événement 4738 peut-il aider à détecter des violations de sécurité ou des accès non autorisés ?+
Oui, l'ID d'événement 4738 est précieux pour détecter les incidents de sécurité. Recherchez des motifs suspects tels que des modifications de compte en dehors des heures de bureau, des changements effectués par des comptes utilisateurs inattendus ou des modifications en masse de plusieurs comptes. Recoupez les événements 4738 avec les événements de connexion (4624) et les événements d'utilisation de privilèges (4672) pour obtenir une image complète de l'activité potentiellement malveillante. La surveillance automatisée peut alerter sur les modifications des comptes privilégiés ou des motifs de changement inhabituels.
Comment puis-je surveiller l'ID d'événement 4738 sur plusieurs contrôleurs de domaine dans mon environnement ?+
Pour les environnements d'entreprise, implémentez Windows Event Forwarding (WEF) pour centraliser les événements 4738 de tous les contrôleurs de domaine vers un serveur collecteur. Configurez les abonnements en utilisant les commandes 'wecutil' et créez des requêtes XPath personnalisées pour filtrer les événements pertinents. Alternativement, utilisez la télécommande PowerShell avec 'Invoke-Command' pour interroger plusieurs serveurs simultanément, ou déployez une solution SIEM capable de collecter et de corréler les événements 4738 à travers toute votre infrastructure Active Directory pour une surveillance complète.
Documentation

Références (1)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4738 and related account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4738#user-account-management

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...