ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Active Directory computer account management events
Event ID 4747InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4747 – Sécurité : Mot de passe du compte d'ordinateur modifié

L'ID d'événement 4747 indique qu'un mot de passe de compte d'ordinateur a été modifié dans Active Directory. Cet événement d'audit de sécurité se déclenche lorsque les contrôleurs de domaine mettent à jour les mots de passe des comptes de machine lors des opérations normales ou des actions administratives.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4747Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4747 est généré par le fournisseur Microsoft-Windows-Security-Auditing lorsqu'un mot de passe de compte d'ordinateur est modifié avec succès dans Active Directory. Cet événement fait partie de la catégorie d'audit Accès aux objets et nécessite que des politiques d'audit appropriées soient activées sur les contrôleurs de domaine.

L'événement fournit des détails complets sur l'opération de changement de mot de passe, y compris l'ID de sécurité (SID) et le nom du compte d'ordinateur qui a été modifié, le compte qui a initié le changement, et les informations de session de connexion. L'événement inclut également le nom de domaine et un contexte de sécurité supplémentaire qui aide les administrateurs à comprendre la portée et la légitimité du changement.

Les comptes d'ordinateur dans les domaines Active Directory initient automatiquement des changements de mot de passe tous les 30 jours dans le cadre du protocole de sécurité Kerberos. Ce processus automatique aide à maintenir la sécurité en faisant tourner régulièrement les informations d'identification des comptes de machine. Cependant, des changements de mot de passe peuvent également se produire lors d'opérations administratives telles que la réinitialisation des comptes d'ordinateur, la réintégration des machines dans le domaine, ou lors de certaines opérations de stratégie de groupe.

L'événement est crucial pour la surveillance de la sécurité car des changements non autorisés de mot de passe de compte d'ordinateur pourraient indiquer des tentatives de compromission, une élévation de privilèges, ou des erreurs administratives. Les équipes de sécurité surveillent souvent cet événement en parallèle avec des événements connexes comme 4742 (compte d'ordinateur modifié) et 4743 (compte d'ordinateur supprimé) pour maintenir une visibilité complète sur les activités de gestion des comptes d'ordinateur au sein de leur infrastructure Active Directory.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11
Analyse

Causes possibles

  • Rotation automatique du mot de passe du compte d'ordinateur (cycle par défaut de 30 jours)
  • Réinitialisation administrative du mot de passe du compte d'ordinateur à l'aide de Active Directory Users and Computers
  • Réintégration de la machine dans le domaine après avoir été retirée ou avoir rencontré des problèmes de confiance
  • Commandes PowerShell comme Reset-ComputerMachinePassword ou Set-ADAccountPassword
  • Opérations de stratégie de groupe qui déclenchent des mises à jour de compte d'ordinateur
  • Événements de réplication du contrôleur de domaine impliquant des modifications de compte d'ordinateur
  • Outils de gestion Active Directory tiers effectuant des opérations en masse
  • Activités malveillantes tentant de compromettre des comptes d'ordinateur
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4747 pour comprendre le contexte et la légitimité du changement de mot de passe.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4747 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir des informations détaillées
  5. Examinez les champs clés suivants :
    • Sujet : Compte qui a initié le changement de mot de passe
    • Compte cible : Compte d'ordinateur qui a été modifié
    • ID de connexion : Identifiant de session pour la corrélation
    • Informations sur le processus : Application ou service qui a effectué le changement
  6. Vérifiez l'horodatage pour le corréler avec des activités administratives connues ou des processus automatiques
  7. Vérifiez si le compte initiateur dispose des autorisations appropriées pour la gestion des comptes d'ordinateur
Astuce pro : Recherchez des motifs dans le champ Nom du processus - les changements de mot de passe automatiques légitimes montrent généralement 'lsass.exe' tandis que les outils administratifs montrent des noms de processus différents.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4747 sur plusieurs contrôleurs de domaine pour une surveillance complète.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les occurrences récentes de l'ID d'événement 4747 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4747} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements pour des comptes d'ordinateur spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4747} | Where-Object {$_.Message -like '*COMPUTERNAME*'} | Format-Table TimeCreated, Message -Wrap
  4. Interrogez les événements de plusieurs contrôleurs de domaine :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4747; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4747; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\Event4747_Analysis.csv" -NoTypeInformation
Avertissement : L'interrogation de grands journaux de sécurité peut affecter les performances des contrôleurs de domaine. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Vérifier l'état du compte d'ordinateur et la confiance

Enquêter sur le statut actuel du compte d'ordinateur affecté et la relation de confiance du domaine pour déterminer si le changement de mot de passe était légitime et réussi.

  1. Ouvrir Active Directory Users and Computers sur un contrôleur de domaine
  2. Accéder au conteneur Computers ou à l'OU appropriée
  3. Localiser le compte d'ordinateur mentionné dans l'Event ID 4747
  4. Cliquez avec le bouton droit sur le compte d'ordinateur et sélectionnez Properties
  5. Vérifier l'onglet Account pour:
    • Options et restrictions du compte
    • Dernier horodatage de connexion
    • Paramètres d'expiration du compte
  6. Vérifier la relation de confiance en utilisant PowerShell:
    Test-ComputerSecureChannel -Server DC01.domain.com -Verbose
  7. Vérifier l'âge du mot de passe du compte d'ordinateur:
    Get-ADComputer -Identity "COMPUTERNAME" -Properties PasswordLastSet | Select-Object Name, PasswordLastSet
  8. Si des problèmes de confiance existent, réinitialiser le compte d'ordinateur:
    Reset-ComputerMachinePassword -Server DC01.domain.com -Credential (Get-Credential)
Conseil pro : Les comptes d'ordinateur devraient avoir leur PasswordLastSet dans les 30-45 derniers jours pour des relations de domaine saines.
04

Analyser les politiques d'audit de sécurité et la corrélation

Examinez la configuration de la stratégie d'audit et corrélez l'ID d'événement 4747 avec les événements de sécurité associés pour comprendre le contexte complet des modifications de compte d'ordinateur.

  1. Vérifiez les paramètres de la stratégie d'audit sur les contrôleurs de domaine :
    auditpol /get /subcategory:"Computer Account Management"
  2. Vérifiez la configuration de l'audit de la stratégie de groupe :
    • Ouvrez Group Policy Management Console
    • Accédez à Default Domain Controllers Policy
    • Allez à Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Policy Configuration
    • Vérifiez que Account ManagementAudit Computer Account Management est activé
  3. Interrogez les événements associés pour la corrélation :
    # Check for related computer account events
$Events = @(4741, 4742, 4743, 4747)
foreach ($EventID in $Events) {
    Write-Host "Event ID $EventID occurrences:"
    (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$EventID; StartTime=(Get-Date).AddHours(-24)} -ErrorAction SilentlyContinue).Count
}
  4. Créez un rapport d'audit complet :
    $StartTime = (Get-Date).AddDays(-7)
$ComputerEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4741,4742,4743,4747); StartTime=$StartTime}
$ComputerEvents | Group-Object Id | Select-Object Name, Count | Sort-Object Count -Descending
05

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance et une alerte complètes pour l'ID d'événement 4747 afin de détecter de manière proactive des modèles inhabituels de changement de mot de passe de compte d'ordinateur et des problèmes de sécurité potentiels.

  1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance des comptes d'ordinateur:
    • Ouvrez Visualiseur d'événements et cliquez avec le bouton droit sur Vues personnalisées
    • Sélectionnez Créer une vue personnalisée
    • Définissez le Niveau d'événement sur Information et les IDs d'événement sur 4741,4742,4743,4747
    • Nommer la vue "Gestion des comptes d'ordinateur"
  2. Configurez le transfert d'événements Windows pour une surveillance centralisée:
    # Sur le serveur collecteur
wecutil qc
# Créer une souscription
wecutil cs ComputerAccountEvents.xml
  3. Configurez un script de surveillance basé sur PowerShell:
    # Surveiller la fréquence inhabituelle de changement de mot de passe
$Threshold = 5 # Plus de 5 changements par heure
$RecentEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4747; StartTime=(Get-Date).AddHours(-1)}
if ($RecentEvents.Count -gt $Threshold) {
    Send-MailMessage -To "admin@company.com" -Subject "Changements élevés de mot de passe de compte d'ordinateur" -Body "Détecté $($RecentEvents.Count) changements de mot de passe dans la dernière heure"
}
  4. Configurez les paramètres du registre pour une journalisation améliorée:
    # Activer la journalisation détaillée des comptes d'ordinateur
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "MaxSize" -Value 1073741824
  5. Créez une tâche planifiée pour une surveillance régulière:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorEvent4747.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00"
Register-ScheduledTask -TaskName "Surveiller les changements de compte d'ordinateur" -Action $Action -Trigger $Trigger -RunLevel Highest
Avertissement : Une surveillance excessive peut générer un volume de journaux important. Équilibrez les besoins en sécurité avec les exigences de stockage et de performance.

Aperçu

L'ID d'événement 4747 est un événement d'audit de sécurité qui se déclenche lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur le compte d'ordinateur dont le mot de passe a été modifié, qui a initié le changement et quand il s'est produit.

Les comptes d'ordinateur dans Active Directory changent automatiquement leurs mots de passe tous les 30 jours par défaut dans le cadre des opérations normales de sécurité du domaine. Cependant, cet événement peut également indiquer des réinitialisations administratives de mot de passe, une machine rejoignant à nouveau le domaine, ou des problèmes de sécurité potentiels si des changements inattendus se produisent.

L'événement contient des informations critiques, y compris le nom du compte d'ordinateur cible, le compte qui a effectué le changement, les détails de la session de connexion et les horodatages. Les administrateurs système utilisent cet événement pour suivre les activités de gestion des comptes d'ordinateur et enquêter sur les changements non autorisés des comptes de machine dans leur environnement Active Directory.

Cet événement est particulièrement précieux pour la surveillance de la sécurité, l'audit de conformité et le dépannage des problèmes de confiance de domaine. Il aide les administrateurs à maintenir la visibilité sur la gestion du cycle de vie des comptes d'ordinateur et à détecter des modèles de changement de mot de passe anormaux qui pourraient indiquer des violations de sécurité ou des mauvaises configurations.

Questions Fréquentes

Que signifie l'ID d'événement 4747 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4747 indique qu'un mot de passe de compte d'ordinateur a été modifié dans Active Directory. Il s'agit généralement d'un comportement normal car les comptes d'ordinateur changent automatiquement leurs mots de passe tous les 30 jours. Vous devriez vous inquiéter si vous constatez des changements de mot de passe excessifs provenant du même compte d'ordinateur, des changements initiés par des comptes d'utilisateur inattendus, ou des changements se produisant en dehors des heures de bureau normales sans activités administratives correspondantes. Surveillez les schémas qui dévient des pratiques typiques de gestion des comptes d'ordinateur de votre organisation.
Comment puis-je distinguer entre les changements de mot de passe de compte d'ordinateur automatiques et manuels ?+
Les changements de mot de passe automatiques affichent généralement 'lsass.exe' dans le champ Nom du processus et sont initiés par le compte de l'ordinateur lui-même (DOMAIN\COMPUTERNAME$). Les changements manuels affichent généralement des noms de processus différents comme 'mmc.exe' pour Active Directory Users and Computers, 'powershell.exe' pour les commandes PowerShell, ou d'autres outils administratifs. Le champ Sujet affichera le compte administrateur qui a initié les changements manuels, tandis que les changements automatiques affichent le compte de l'ordinateur ou SYSTEM comme sujet.
Pourquoi est-ce que je vois l'ID d'événement 4747 plusieurs fois pour le même ordinateur ?+
Plusieurs occurrences de l'ID d'événement 4747 pour le même ordinateur peuvent indiquer plusieurs scénarios : cycles normaux de rotation des mots de passe, problèmes de confiance de domaine entraînant des tentatives répétées de réinitialisation de mot de passe, réplication de comptes d'ordinateur entre contrôleurs de domaine, ou activités de dépannage administratives. Si vous observez des occurrences fréquentes sur de courtes périodes, examinez la relation de confiance du domaine de l'ordinateur en utilisant Test-ComputerSecureChannel et vérifiez les problèmes de réseau ou d'authentification sous-jacents qui pourraient provoquer des tentatives répétées de changement de mot de passe.
Comment configurer les stratégies d'audit pour capturer l'ID d'événement 4747 ?+
Pour capturer l'ID d'événement 4747, vous devez activer 'Audit de la gestion des comptes d'ordinateur' sous la catégorie Gestion des comptes. Utilisez la stratégie de groupe pour configurer cela : accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des comptes d'ordinateur, et réglez-le sur 'Succès' ou 'Succès et échec'. Vous pouvez également utiliser la ligne de commande : auditpol /set /subcategory:"Computer Account Management" /success:enable. Cette politique doit être appliquée aux contrôleurs de domaine pour capturer les changements de mot de passe des comptes d'ordinateur.
Que dois-je faire si l'ID d'événement 4747 montre des changements non autorisés de mot de passe de compte d'ordinateur ?+
Si vous détectez des changements non autorisés de mot de passe de compte informatique, enquêtez immédiatement sur le compte source qui a initié le changement. Vérifiez si le compte dispose des autorisations légitimes pour la gestion des comptes informatiques et vérifiez les activités de connexion récentes pour ce compte. Examinez les événements de sécurité associés (4624, 4625, 4648) pour comprendre le contexte d'authentification. Si une compromission est suspectée, désactivez les comptes affectés, réinitialisez les mots de passe et menez une enquête de sécurité approfondie. Envisagez de mettre en place une surveillance supplémentaire pour les activités de gestion des comptes informatiques et examinez vos politiques de gestion des accès privilégiés pour prévenir de futurs changements non autorisés.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including computer account management eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for security monitoringhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4747

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...