ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory security audit logs displayed in Windows Event Viewer on a professional monitoring workstation
Event ID 4749InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4749 – Microsoft-Windows-Security-Auditing : Groupe global activé pour la sécurité supprimé

L'ID d'événement 4749 enregistre lorsqu'un groupe global activé pour la sécurité est supprimé d'Active Directory. Cet événement d'audit aide à suivre les changements de gestion de groupe et les risques de sécurité potentiels.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4749Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4749 représente un événement d'audit de sécurité généré par le fournisseur Microsoft-Windows-Security-Auditing lorsqu'un groupe global activé pour la sécurité est définitivement supprimé d'Active Directory. Cet événement fait partie de la catégorie d'audit Accès aux objets et relève spécifiquement de la sous-catégorie Gestion des comptes de la configuration avancée de la stratégie d'audit.

L'événement contient des détails complets, y compris le nom du groupe supprimé, le domaine et l'identifiant de sécurité (SID), ainsi que des informations sur le principal de sécurité qui a initié la suppression. L'événement inclut également l'ID de connexion et le package d'authentification utilisé par le compte effectuant la suppression, fournissant une piste d'audit complète pour l'analyse judiciaire.

Les groupes globaux dans Active Directory servent de principaux de sécurité pouvant contenir des comptes d'utilisateurs, des comptes d'ordinateurs et d'autres groupes globaux du même domaine. Lorsque ces groupes sont supprimés, les autorisations ou droits qui leur étaient précédemment attribués deviennent orphelins, ce qui peut affecter le contrôle d'accès dans tout le domaine ou la forêt. L'événement 4749 garantit que les administrateurs peuvent suivre ces changements critiques et enquêter sur toute suppression non autorisée de groupes qui pourrait indiquer une activité malveillante ou des erreurs administratives.

Cet événement d'audit est essentiel pour les cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent une journalisation détaillée des changements de groupes de sécurité. L'événement fournit la piste d'audit nécessaire pour démontrer une gestion appropriée des changements et détecter d'éventuelles violations de sécurité impliquant la manipulation de groupes.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • L'administrateur supprime manuellement un groupe global via la console Utilisateurs et ordinateurs Active Directory
  • Les cmdlets PowerShell comme Remove-ADGroup sont utilisés pour supprimer des groupes globaux activés pour la sécurité
  • Des scripts automatisés ou des applications suppriment des groupes de manière programmatique via LDAP ou Active Directory Web Services
  • Les processus de nettoyage de groupe suppriment les groupes de sécurité obsolètes ou inutilisés
  • Activités de migration de domaine ou de restructuration impliquant la suppression d'anciennes structures de groupe
  • Un initié malveillant ou un compte administratif compromis supprimant des groupes pour couvrir ses traces ou perturber les opérations
  • Outils de gestion d'identité tiers effectuant des opérations de gestion du cycle de vie des groupes
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4749 pour comprendre quel groupe a été supprimé et par qui.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4749 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
    • Sujet : Compte qui a supprimé le groupe
    • Compte cible : Détails du groupe supprimé
    • Informations supplémentaires : Privilèges utilisés et informations sur le processus
  5. Notez l'ID de connexion pour corréler avec d'autres événements de sécurité
  6. Vérifiez le champ Nom du processus pour identifier l'outil utilisé pour la suppression

Utilisez PowerShell pour interroger plusieurs contrôleurs de domaine pour le même événement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4749} -ComputerName DC01,DC02,DC03 | Select-Object TimeCreated,MachineName,Message | Format-Table -AutoSize
02

Corréler avec les événements de création et de modification de groupe

Enquêtez sur le cycle de vie du groupe supprimé en examinant les événements d'audit associés pour comprendre le contexte complet.

  1. Recherchez l'ID d'événement 4727 (groupe global créé) avec le même nom de groupe ou SID
  2. Cherchez l'ID d'événement 4737 (groupe global modifié) pour voir les modifications récentes
  3. Vérifiez l'ID d'événement 4728/4729 pour les ajouts/suppressions de membres avant la suppression

Utilisez PowerShell pour construire une chronologie des événements liés au groupe :

# Rechercher tous les événements liés à un SID de groupe spécifique
$GroupSID = "S-1-5-21-1234567890-1234567890-1234567890-1234"
$Events = @(4727,4728,4729,4737,4749)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$Events} | Where-Object {$_.Message -like "*$GroupSID*"} | Sort-Object TimeCreated | Select-Object TimeCreated,Id,Message
  1. Examinez les champs Nom du processus et ID du processus à travers les événements pour identifier des motifs
  2. Vérifiez si le même compte a effectué plusieurs opérations de groupe en séquence
  3. Vérifiez si la suppression faisait partie d'une fenêtre de maintenance planifiée ou inattendue
03

Analyser les autorisations de compte et l'authentification

Enquêter sur le compte qui a effectué la suppression pour s'assurer qu'il avait des raisons légitimes et une autorisation appropriée.

  1. Identifier le compte supprimant dans la section Sujet de l'événement 4749
  2. Vérifier les appartenances aux groupes et les privilèges attribués au compte :
# Vérifier les appartenances aux groupes pour le compte
$Username = "DOMAIN\AdminUser"
Get-ADUser -Identity $Username -Properties MemberOf | Select-Object -ExpandProperty MemberOf | Get-ADGroup | Select-Object Name,GroupScope
  1. Examiner les événements de connexion récents (4624) pour le compte afin d'établir des modèles d'accès
  2. Vérifier les événements d'escalade de privilèges (4672) autour de la même période
  3. Examiner le Type de connexion et le Package d'authentification utilisés
  4. Vérifier si le compte a accédé au système depuis des emplacements attendus :
# Trouver les connexions récentes pour le compte
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.Message -like "*AdminUser*"} | Select-Object TimeCreated,@{Name='SourceIP';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'}} | Sort-Object TimeCreated -Descending | Select-Object -First 10
04

Examiner l'impact et les options de récupération

Évaluer l'impact de la suppression du groupe et déterminer si une récupération est nécessaire.

  1. Vérifiez si le groupe supprimé avait des autorisations attribuées en recherchant la stratégie de groupe et les ACL du système de fichiers
  2. Utilisez PowerShell pour rechercher les SID orphelins dans l'environnement :
# Rechercher les SID orphelins dans la stratégie de groupe
Get-GPO -All | ForEach-Object {
    $GPOReport = Get-GPOReport -Guid $_.Id -ReportType Xml
    if ($GPOReport -match "S-1-5-21-.*-.*-.*-.*") {
        Write-Output "SID orphelin potentiel trouvé dans GPO : $($_.DisplayName)"
    }
}
  1. Vérifiez la corbeille Active Directory si elle est activée (Windows Server 2008 R2 et versions ultérieures) :
# Vérifiez si la corbeille AD est activée
Get-ADOptionalFeature -Filter 'Name -like "Recycle Bin Feature"'

# Si activée, recherchez le groupe supprimé
Get-ADObject -Filter {isDeleted -eq $true -and ObjectClass -eq "group"} -IncludeDeletedObjects | Where-Object {$_.Name -like "*DeletedGroupName*"}
  1. Si une récupération est nécessaire et que la corbeille est activée, restaurez le groupe :
# Restaurer le groupe supprimé (remplacer par le nom distingué réel)
Restore-ADObject -Identity "CN=DeletedGroup\0ADEL:12345678-1234-1234-1234-123456789012,CN=Deleted Objects,DC=domain,DC=com"
  1. Documentez l'incident et mettez en place une surveillance supplémentaire si nécessaire
05

Mettre en œuvre une surveillance et une prévention avancées

Configurez une surveillance et des contrôles améliorés pour prévenir les suppressions de groupes non autorisées à l'avenir.

  1. Configurez la stratégie d'audit avancée pour garantir une journalisation complète :
# Activer l'audit détaillé de la gestion des comptes
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
  1. Créez un script de surveillance PowerShell qui alerte sur les suppressions de groupes :
# Surveiller l'ID d'événement 4749 et envoyer des alertes
Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4749" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = "ALERTE : Groupe de sécurité supprimé - ID d'événement 4749 détecté sur $($Event.ComputerName) à $($Event.TimeGenerated)"
    # Ajoutez votre logique de notification ici (email, SIEM, etc.)
    Write-EventLog -LogName Application -Source "GroupDeletionMonitor" -EventId 1001 -Message $Message
}
  1. Implémentez des unités administratives ou une gestion des accès privilégiés (PAM) pour contrôler les autorisations de gestion des groupes
  2. Configurez des règles de gestion des informations et des événements de sécurité (SIEM) pour corréler les événements de suppression de groupes avec d'autres activités suspectes
  3. Mettez en place des examens réguliers des groupes de sécurité critiques et de leurs adhésions
  4. Envisagez de mettre en œuvre des flux de travail d'approbation pour les suppressions de groupes à l'aide d'outils comme Microsoft Identity Manager ou des solutions tierces
Avertissement : Testez toujours les scripts de surveillance dans un environnement non productif d'abord et assurez-vous d'une gestion correcte des erreurs pour éviter un impact sur les performances du système.

Aperçu

L'ID d'événement 4749 se déclenche chaque fois qu'un groupe global activé pour la sécurité est supprimé d'Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a supprimé le groupe, quand cela s'est produit, et quel groupe a été supprimé. L'événement fait partie de la configuration avancée de la stratégie d'audit de Windows sous l'audit de la gestion des comptes.

Cet événement devient critique lors des enquêtes de sécurité, des audits de conformité, et lors du suivi des modifications non autorisées de la structure des groupes Active Directory. Étant donné que les groupes globaux peuvent contenir des utilisateurs de n'importe quel domaine de la forêt et peuvent être utilisés pour attribuer des autorisations à travers les frontières de domaine, leur suppression représente un événement de sécurité significatif que les administrateurs doivent surveiller de près.

L'événement se déclenche immédiatement lorsque la suppression se produit via Active Directory Users and Computers, les cmdlets PowerShell, ou les interfaces programmatiques. Il capture l'identifiant de sécurité (SID) du groupe supprimé, le compte qui a effectué la suppression, et le contrôleur de domaine qui a traité la demande. Comprendre cet événement aide à maintenir des pistes d'audit appropriées et à détecter les menaces internes potentielles ou les comptes administratifs compromis.

Questions Fréquentes

Que signifie l'ID d'événement 4749 et quand se produit-il ?+
L'ID d'événement 4749 indique qu'un groupe global activé pour la sécurité a été supprimé d'Active Directory. Cet événement d'audit se produit immédiatement lorsqu'un administrateur ou un processus automatisé supprime un groupe global via n'importe quelle interface, y compris Utilisateurs et ordinateurs Active Directory, les cmdlets PowerShell comme Remove-ADGroup, ou la suppression programmée via LDAP. L'événement est enregistré sur le contrôleur de domaine qui a traité la demande de suppression et fournit des informations détaillées sur qui a supprimé le groupe, quand cela s'est produit, et le groupe spécifique qui a été supprimé. Cet événement est crucial pour l'audit de sécurité et la conformité car il suit les changements apportés aux principaux de sécurité qui pourraient affecter le contrôle d'accès dans tout le domaine.
Comment puis-je déterminer si une suppression de groupe était autorisée ou malveillante ?+
Pour déterminer si une suppression de groupe était autorisée, examinez plusieurs facteurs de l'événement 4749 et des journaux connexes. Tout d'abord, vérifiez que le compte ayant effectué la suppression dispose de privilèges administratifs légitimes et vérifiez si la suppression a eu lieu pendant les fenêtres de maintenance planifiées. Consultez le champ Nom du processus pour voir si des outils administratifs standard ont été utilisés par rapport à des processus suspects. Corrélez l'événement avec les événements de connexion (4624) pour vérifier si l'administrateur a accédé au système depuis des emplacements et des horaires attendus. Vérifiez les événements récents d'escalade de privilèges (4672) qui pourraient indiquer une compromission de compte. De plus, examinez l'activité récente du groupe à travers les événements 4728/4729 (changements de membres) et 4737 (modifications de groupe) pour comprendre si le groupe était activement utilisé avant la suppression. Les suppressions non autorisées montrent souvent des schémas tels que des accès en dehors des heures de travail, des emplacements sources inhabituels ou la suppression de plusieurs groupes en succession rapide.
Puis-je récupérer un groupe global supprimé et comment ?+
La récupération des groupes globaux supprimés dépend de votre configuration Active Directory. Si la fonctionnalité Corbeille Active Directory est activée (disponible dans Windows Server 2008 R2 et versions ultérieures), vous pouvez restaurer les groupes supprimés en utilisant PowerShell. Tout d'abord, vérifiez si la fonctionnalité est activée avec 'Get-ADOptionalFeature -Filter "Name -like 'Recycle Bin Feature'"'. Si elle est activée, recherchez les groupes supprimés en utilisant 'Get-ADObject -Filter {isDeleted -eq $true -and ObjectClass -eq "group"} -IncludeDeletedObjects' et restaurez avec 'Restore-ADObject'. Si la Corbeille n'est pas activée, la récupération devient plus complexe et peut nécessiter une restauration à partir d'une sauvegarde de l'état du système ou une restauration autoritaire d'Active Directory. Cependant, cette approche nécessite une planification minutieuse car elle affecte l'ensemble de l'annuaire. Le groupe restauré conservera son SID d'origine, préservant les autorisations existantes et les appartenances aux groupes, mais toutes les modifications apportées après la sauvegarde seront perdues.
Quelles implications de sécurité devrais-je considérer lorsque l'ID d'événement 4749 se produit ?+
L'ID d'événement 4749 a des implications de sécurité significatives qui nécessitent une attention immédiate. Lorsqu'un groupe global est supprimé, toutes les autorisations ou droits attribués à ce groupe deviennent orphelins, créant potentiellement des lacunes de sécurité ou empêchant un accès légitime. La suppression peut indiquer une menace interne, un compte administratif compromis ou une tentative de dissimuler des traces après un accès non autorisé. Les acteurs malveillants peuvent supprimer des groupes pour perturber les opérations, supprimer les pistes d'audit ou éliminer les contrôles de sécurité. D'un point de vue conformité, les suppressions de groupes non autorisées peuvent violer les exigences réglementaires en matière de documentation de contrôle d'accès et de gestion des changements. Vous devez immédiatement vérifier la légitimité de la suppression, évaluer l'impact sur les autorisations et droits d'accès actuels, vérifier d'autres activités suspectes par le même compte et assurer une documentation appropriée de l'incident. Envisagez de mettre en œuvre une surveillance supplémentaire pour les comptes avec des privilèges de gestion de groupe et de revoir vos processus de gestion des changements pour prévenir les modifications non autorisées.
Comment configurer la surveillance et les alertes pour l'ID d'événement 4749 ?+
La mise en place d'une surveillance efficace pour l'ID d'événement 4749 nécessite plusieurs approches. Tout d'abord, assurez-vous que la stratégie d'audit avancée est correctement configurée en utilisant 'auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable' pour capturer tous les événements de gestion de groupe. Mettez en œuvre une surveillance en temps réel en utilisant PowerShell avec Register-WmiEvent pour surveiller les nouveaux événements 4749 et déclencher des alertes immédiates. Configurez votre solution SIEM pour collecter et corréler ces événements avec d'autres journaux de sécurité, en créant des règles qui signalent des modèles inhabituels comme plusieurs suppressions de groupes, des suppressions par des comptes non administratifs ou des suppressions en dehors des heures de bureau. Configurez des notifications par e-mail ou SMS pour les suppressions de groupes critiques, en particulier pour les groupes à privilèges élevés. Envisagez d'utiliser le transfert d'événements Windows (WEF) pour centraliser la collecte à partir de tous les contrôleurs de domaine. Pour les environnements d'entreprise, mettez en œuvre des scripts PowerShell personnalisés qui interrogent l'ID d'événement 4749 sur tous les contrôleurs de domaine et génèrent des rapports montrant les tendances de suppression de groupes, ce qui peut aider à identifier à la fois les activités de nettoyage légitimes et les incidents de sécurité potentiels.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive documentation covering Windows security audit events including Event ID 4749 and related group management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial guide for configuring advanced audit policies to capture detailed security events in Active Directory environments.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4749

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...