ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory management console showing computer account administration and security event monitoring
Event ID 4744InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4744 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur créé

L'ID d'événement 4744 enregistre la création d'un compte d'ordinateur dans Active Directory. Cet événement d'audit de sécurité suit les ajouts d'ordinateurs de domaine à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4744Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4744 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsque cet événement se déclenche, il indique qu'un nouveau compte d'ordinateur a été créé avec succès dans le domaine, soit par des outils administratifs, des processus automatisés, ou des opérations de jonction de domaine.

L'événement contient des données structurées incluant les champs Sujet (qui a effectué l'action), les champs Nouveau Compte d'Ordinateur (détails sur le compte créé), et des Informations Supplémentaires telles que le poste de travail source et les privilèges utilisés. L'ID de Sécurité du Sujet montre généralement l'utilisateur ou le compte de service qui a initié la création du compte d'ordinateur, tandis que le champ Nom du Compte d'Ordinateur affiche le nom NetBIOS de l'objet ordinateur nouvellement créé.

Cet événement joue un rôle crucial dans la surveillance de la sécurité car la création non autorisée de comptes d'ordinateur peut indiquer plusieurs préoccupations de sécurité : des appareils malveillants tentant de rejoindre le domaine, des identifiants administratifs compromis utilisés pour établir une persistance, ou des violations de politique où des utilisateurs créent des comptes d'ordinateur sans autorisation appropriée. Les équipes de sécurité corrèlent souvent cet événement avec les journaux d'accès réseau et les événements d'authentification pour construire des chronologies de sécurité complètes.

L'événement soutient également des cadres de conformité comme SOX, HIPAA, et PCI-DSS qui exigent des pistes d'audit détaillées des changements système. Les organisations utilisent fréquemment des solutions SIEM pour collecter et analyser ces événements à travers plusieurs contrôleurs de domaine afin de maintenir une visibilité centralisée des activités de gestion des comptes d'ordinateur.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur créant manuellement un compte d'ordinateur à l'aide d'Active Directory Users and Computers
  • Scripts automatisés ou commandes PowerShell créant des comptes d'ordinateur via les cmdlets Active Directory
  • Opérations de jonction de domaine où l'ordinateur rejoignant crée son propre compte (si autorisé)
  • System Center Configuration Manager ou d'autres outils de gestion provisionnant des comptes d'ordinateur
  • Exchange Server créant des comptes d'ordinateur pour certains rôles ou services
  • Applications tierces avec des permissions déléguées créant des comptes d'ordinateur
  • Préférences de stratégie de groupe ou scripts de démarrage créant des comptes d'ordinateur
  • Outils de migration transférant des comptes d'ordinateur depuis d'autres domaines
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de la création du compte d'ordinateur.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4744 en utilisant Filtrer le journal actuel
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez la section Sujet pour identifier qui a créé le compte :
    • ID de sécurité : Le SID du compte qui a effectué l'action
    • Nom du compte : Le nom d'utilisateur qui a créé le compte d'ordinateur
    • Domaine du compte : Le domaine du compte créateur
    • ID de connexion : Identifiant de session pour la corrélation avec d'autres événements
  6. Examinez la section Nouveau compte d'ordinateur :
    • ID de sécurité : Le SID attribué au nouveau compte d'ordinateur
    • Nom du compte : Le nom NetBIOS de l'ordinateur
    • Domaine du compte : Le domaine où le compte a été créé
  7. Vérifiez les Informations supplémentaires pour les privilèges utilisés et la station de travail source
Astuce pro : Faites une référence croisée de l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour retracer la chaîne d'authentification complète.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les événements de création de comptes d'ordinateur sur plusieurs contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les événements récents de création de comptes d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4744} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Extrayez des détails spécifiques des événements :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4744} -MaxEvents 100
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $SubjectUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $TargetUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $WorkstationName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'WorkstationName'} | Select-Object -ExpandProperty '#text'
    
    Write-Output "Time: $($Event.TimeCreated) | Creator: $SubjectUserName | Computer: $TargetUserName | Workstation: $WorkstationName"
}
  4. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4744; StartTime=$StartTime; EndTime=$EndTime}
  5. Interrogez plusieurs contrôleurs de domaine simultanément :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Invoke-Command -ComputerName $DC.Name -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4744} -MaxEvents 10 -ErrorAction SilentlyContinue
    }
}
Avertissement : Interroger de grands journaux de sécurité peut affecter les performances des contrôleurs de domaine. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Enquêter sur la création non autorisée de comptes informatiques

Lorsque l'ID d'événement 4744 apparaît de manière inattendue, suivez ces étapes pour enquêter sur des incidents de sécurité potentiels.

  1. Identifiez la source de la création du compte d'ordinateur en examinant les champs Sujet dans l'événement
  2. Vérifiez si l'utilisateur créateur a des permissions légitimes :
    Get-ADUser -Identity "SuspiciousUser" -Properties MemberOf | Select-Object -ExpandProperty MemberOf
  3. Vérifiez les détails du compte d'ordinateur dans Active Directory :
    Get-ADComputer -Identity "NewComputerName" -Properties Created, CreatedBy, LastLogonDate, OperatingSystem
  4. Examinez les événements d'authentification liés autour de la même période :
    $TimeWindow = (Get-Date $Event.TimeCreated).AddMinutes(-30)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$TimeWindow; EndTime=(Get-Date $Event.TimeCreated).AddMinutes(30)} | Where-Object {$_.Message -like "*$SubjectUserName*"}
  5. Examinez la station de travail source mentionnée dans l'événement :
    • Vérifiez si la station de travail est une machine administrative connue
    • Recherchez des signes de compromission sur le système source
    • Examinez les journaux d'accès réseau pour une activité inhabituelle
  6. Corrélez avec d'autres événements de sécurité :
    # Recherchez des événements d'escalade de privilèges
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt $TimeWindow -and $_.Message -like "*$SubjectUserName*"}
  7. Si non autorisé, désactivez immédiatement le compte d'ordinateur :
    Disable-ADAccount -Identity "SuspiciousComputerName"
Conseil de pro : Activez la stratégie d'audit avancée pour la gestion des comptes afin de capturer des informations plus détaillées sur les opérations de compte d'ordinateur.
04

Configurer la surveillance avancée et les alertes

Configurez une surveillance proactive pour détecter et alerter sur les événements de création de comptes d'ordinateur en temps réel.

  1. Configurez la stratégie d'audit avancée sur tous les contrôleurs de domaine :
    # Activer l'audit de gestion des comptes d'ordinateur
auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable
  2. Vérifiez que la stratégie d'audit est appliquée :
    auditpol /get /subcategory:"Computer Account Management"
  3. Créez un filtre personnalisé dans le Visualiseur d'événements pour la surveillance :
    • Ouvrez Visualiseur d'événementsVues personnalisées
    • Cliquez avec le bouton droit et sélectionnez Créer une vue personnalisée
    • Définissez le Niveau d'événement sur Information
    • Entrez l'ID d'événement : 4744
    • Sélectionnez le journal Sécurité
    • Enregistrez sous "Surveillance de la création de comptes d'ordinateur"
  4. Configurez un script d'alerte basé sur PowerShell :
    # Enregistrez sous Monitor-ComputerAccountCreation.ps1
$Action = {
    $Event = $Event.SourceEventArgs.NewEvent
    $XML = [xml]$Event.ToXml()
    $ComputerName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $Creator = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    
    # Envoyer une alerte par email ou enregistrer dans le SIEM
    Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1001 -Message "Nouveau compte d'ordinateur créé : $ComputerName par $Creator"
}

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4744" -Action $Action
  5. Configurez le transfert d'événements Windows (WEF) pour une collecte centralisée :
    • Créez un abonnement personnalisé sur le serveur collecteur
    • Configurez les ordinateurs sources pour transférer les événements de sécurité
    • Filtrez pour l'ID d'événement 4744 dans l'abonnement
  6. Intégrez avec des solutions SIEM en configurant le transfert de journaux vers votre plateforme de sécurité
Conseil pro : Utilisez la stratégie de groupe pour déployer les paramètres d'audit de manière cohérente sur tous les contrôleurs de domaine de votre environnement.
05

Analyse légale et rapport de conformité

Effectuer une analyse complète des modèles de création de comptes informatiques pour les enquêtes de sécurité et les exigences de conformité.

  1. Exporter les événements de création de comptes informatiques pour analyse :
    # Exporter les 30 derniers jours d'événements vers CSV
$StartDate = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4744; StartTime=$StartDate}
$Results = @()

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $Results += [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        Creator = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        CreatorDomain = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
        ComputerName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        ComputerSID = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'}).'#text'
        Workstation = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
        LogonId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'}).'#text'
    }
}

$Results | Export-Csv -Path "C:\Temp\ComputerAccountCreation.csv" -NoTypeInformation
  2. Analyser les modèles et les anomalies :
    # Regrouper par créateur pour identifier les opérations en masse
$Results | Group-Object Creator | Sort-Object Count -Descending | Select-Object Name, Count

# Identifier les créations en dehors des heures de bureau
$Results | Where-Object {$_.TimeCreated.Hour -lt 8 -or $_.TimeCreated.Hour -gt 18} | Format-Table

# Trouver l'activité du week-end
$Results | Where-Object {$_.TimeCreated.DayOfWeek -eq 'Saturday' -or $_.TimeCreated.DayOfWeek -eq 'Sunday'}
  3. Recouper avec Active Directory pour vérifier le statut actuel :
    foreach ($Computer in $Results.ComputerName) {
    try {
        $ADComputer = Get-ADComputer -Identity $Computer -Properties LastLogonDate, Enabled
        Write-Output "$Computer - Enabled: $($ADComputer.Enabled) - Last Logon: $($ADComputer.LastLogonDate)"
    } catch {
        Write-Output "$Computer - Not found in AD (possibly deleted)"
    }
}
  4. Générer des rapports de conformité :
    # Créer un rapport sommaire mensuel
$MonthlyReport = $Results | Group-Object {$_.TimeCreated.ToString("yyyy-MM")} | ForEach-Object {
    [PSCustomObject]@{
        Month = $_.Name
        TotalCreations = $_.Count
        UniqueCreators = ($_.Group.Creator | Sort-Object -Unique).Count
        AfterHours = ($_.Group | Where-Object {$_.TimeCreated.Hour -lt 8 -or $_.TimeCreated.Hour -gt 18}).Count
    }
}

$MonthlyReport | Format-Table -AutoSize
  5. Documenter les résultats à des fins d'audit :
    • Créer un résumé exécutif des tendances de création de comptes informatiques
    • Identifier toute violation de politique ou préoccupation de sécurité
    • Recommander des améliorations aux contrôles d'accès ou à la surveillance
    • Archiver les fichiers de preuve avec une chaîne de garde appropriée
Avertissement : Assurez-vous que les politiques de rétention des données appropriées sont suivies lors de la collecte et du stockage des journaux d'audit à des fins de conformité.

Aperçu

L'ID d'événement 4744 se déclenche chaque fois qu'un compte d'ordinateur est créé dans Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a créé le compte d'ordinateur, quand il a été créé et depuis quel poste de travail l'opération a été effectuée.

Cet événement fait partie de la configuration de la stratégie d'audit avancée de Windows sous l'audit de la gestion des comptes. Les administrateurs de domaine surveillent généralement cet événement pour suivre les ajouts d'ordinateurs non autorisés, maintenir la conformité de l'inventaire et enquêter sur les incidents de sécurité impliquant des appareils malveillants rejoignant le domaine.

L'événement capture des détails critiques, y compris le sujet qui a effectué l'action, le nom du compte d'ordinateur cible, les identifiants de sécurité et le poste de travail source. Ces informations s'avèrent inestimables pour l'analyse médico-légale et le reporting de conformité dans les environnements d'entreprise.

L'événement 4744 complète d'autres événements de compte d'ordinateur comme 4741 (compte d'ordinateur modifié) et 4743 (compte d'ordinateur supprimé), formant une piste d'audit complète de la gestion du cycle de vie des objets d'ordinateur dans Active Directory.

Questions Fréquentes

Que signifie l'ID d'événement 4744 et quand se produit-il ?+
L'ID d'événement 4744 indique qu'un compte d'ordinateur a été créé dans Active Directory. Cet événement se déclenche chaque fois qu'un nouvel objet ordinateur est ajouté au domaine, que ce soit via des outils administratifs comme Utilisateurs et ordinateurs Active Directory, des commandes PowerShell, des scripts automatisés, ou lors des opérations de jonction de domaine. L'événement capture des informations détaillées sur qui a créé le compte, quand il a été créé, et depuis quel poste de travail l'opération a été effectuée. Il s'agit d'un événement informatif normal qui se produit lors d'activités légitimes de provisionnement d'ordinateurs, mais il doit être surveillé pour détecter des ajouts de comptes d'ordinateur non autorisés ou suspects.
Comment puis-je savoir si la création d'un compte informatique était autorisée ou malveillante ?+
Pour déterminer si la création d'un compte d'ordinateur a été autorisée, examinez plusieurs facteurs clés de l'ID d'événement 4744 : Tout d'abord, vérifiez les champs Sujet pour identifier qui a créé le compte et confirmez qu'ils ont des autorisations légitimes pour la gestion des comptes d'ordinateur. Vérifiez si la création a eu lieu pendant les heures de bureau depuis un poste de travail administratif connu. Recoupez l'événement avec les dossiers de gestion des changements ou les demandes de provisionnement IT. Recherchez des modèles tels que plusieurs comptes d'ordinateur créés en succession rapide, des créations depuis des postes de travail inhabituels, ou des comptes créés par des utilisateurs qui ne devraient pas avoir ces privilèges. De plus, vérifiez si le compte d'ordinateur est réellement utilisé en vérifiant sa dernière date de connexion et s'il a rejoint le domaine avec succès.
Quels utilisateurs peuvent créer des comptes d'ordinateur et déclencher l'ID d'événement 4744 ?+
Par défaut, plusieurs groupes peuvent créer des comptes d'ordinateur et déclencher l'ID d'événement 4744 : les administrateurs de domaine et les administrateurs d'entreprise ont des autorisations complètes, les opérateurs de compte peuvent créer des comptes d'ordinateur, et les utilisateurs authentifiés ont le droit 'Ajouter des stations de travail au domaine' (limité à 10 par défaut). De plus, des utilisateurs ou groupes peuvent se voir explicitement déléguer l'autorisation 'Créer des objets ordinateur' dans Active Directory. Les comptes de service utilisés par des outils de gestion comme SCCM, des systèmes de déploiement automatisés ou Exchange Server peuvent également avoir ces autorisations. Pour vérifier qui peut créer des comptes d'ordinateur, consultez l'attribut 'ms-DS-MachineAccountQuota' et examinez les autorisations déléguées dans Utilisateurs et ordinateurs Active Directory sous les paramètres de sécurité avancés pour le conteneur Ordinateurs.
Comment configurer l'audit pour s'assurer que l'ID d'événement 4744 est enregistré ?+
Pour garantir que l'ID d'événement 4744 est enregistré, vous devez activer la Configuration de la stratégie d'audit avancée pour la gestion des comptes sur vos contrôleurs de domaine. Utilisez la commande 'auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable' pour activer à la fois les opérations réussies et échouées des comptes d'ordinateur. Alternativement, configurez cela via la stratégie de groupe sous Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée → Gestion des comptes → Audit de la gestion des comptes d'ordinateur. Réglez-le sur 'Succès et Échec' pour capturer toutes les activités des comptes d'ordinateur. Vérifiez que le paramètre est appliqué en utilisant 'auditpol /get /subcategory:"Computer Account Management"'. Cette stratégie d'audit doit être déployée sur tous les contrôleurs de domaine de votre environnement pour une couverture complète.
L'ID d'événement 4744 peut-il aider à la conformité et à la surveillance de la sécurité ?+
Oui, l'ID d'événement 4744 est crucial pour la conformité et la surveillance de la sécurité dans les environnements d'entreprise. Il fournit une piste d'audit requise par des cadres comme SOX, HIPAA, PCI-DSS et ISO 27001 qui exigent le suivi des modifications du système et des modifications du contrôle d'accès. Les équipes de sécurité utilisent cet événement pour détecter les ajouts non autorisés de dispositifs, surveiller les abus de privilèges et enquêter sur les incidents de sécurité potentiels impliquant des ordinateurs malveillants rejoignant le domaine. Les données de l'événement peuvent être transmises aux solutions SIEM pour la corrélation avec d'autres événements de sécurité, l'alerte automatisée sur les schémas suspects et le reporting de conformité. Les organisations créent souvent des tableaux de bord montrant les tendances de création de comptes d'ordinateur, l'activité en dehors des heures de travail et les opérations en masse pour maintenir la visibilité dans leur environnement Active Directory et s'assurer que seuls les systèmes autorisés rejoignent leur domaine.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4744 and related computer account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including Account Management subcategories that control Event ID 4744 logging.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4744

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...