ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Active Directory computer account events and audit logs
Event ID 4750InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4750 – Microsoft-Windows-Security-Auditing : Mot de passe du compte d'ordinateur modifié

L'ID d'événement 4750 enregistre lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement d'audit de sécurité suit les mises à jour de mot de passe de compte machine, se produisant généralement automatiquement tous les 30 jours ou lors de réinitialisations manuelles.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4750Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4750 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsqu'un mot de passe de compte d'ordinateur change, que ce soit par des processus automatiques ou une intervention manuelle, le contrôleur de domaine génère cet événement et l'enregistre dans le journal des événements de sécurité. L'événement fournit des détails complets sur l'opération de changement de mot de passe, y compris l'identifiant de sécurité (SID) du compte d'ordinateur cible, le compte qui a initié le changement et les informations de session de connexion.

Les comptes d'ordinateur dans les domaines Active Directory rafraîchissent automatiquement leurs mots de passe tous les 30 jours par défaut, contrôlés par le paramètre de registre MaximumPasswordAge. Ce processus automatique assure la sécurité tout en maintenant les relations de confiance du domaine. L'ID d'événement 4750 capture ces opérations de routine ainsi que les réinitialisations de mot de passe manuelles effectuées par les administrateurs à l'aide d'outils comme Utilisateurs et ordinateurs Active Directory ou les cmdlets PowerShell.

La structure de l'événement comprend plusieurs champs clés : le nom et le domaine du compte cible, le compte sujet effectuant le changement, les informations de privilège et les détails du processus. Les équipes de sécurité utilisent ces informations pour établir des bases de référence pour le comportement normal des comptes d'ordinateur et identifier les écarts qui pourraient indiquer une compromission ou une mauvaise configuration. Les systèmes modernes de gestion des informations et des événements de sécurité (SIEM) analysent ces événements pour créer des alertes automatisées pour les activités suspectes des comptes d'ordinateur.

Dans les environnements d'entreprise, le volume de l'ID d'événement 4750 peut être important en raison du nombre d'ordinateurs joints au domaine changeant automatiquement de mot de passe. Une gestion et un filtrage appropriés des journaux deviennent cruciaux pour une surveillance de sécurité efficace sans submerger les administrateurs avec des événements de routine.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Changement automatique du mot de passe du compte d'ordinateur (cycle par défaut de 30 jours)
  • Réinitialisation manuelle du mot de passe à l'aide de Utilisateurs et ordinateurs Active Directory
  • Exécution de cmdlet PowerShell (Reset-ComputerMachinePassword, Set-ADAccountPassword)
  • Déclenchement de la synchronisation des mots de passe par la réplication du contrôleur de domaine
  • Réintégration de l'ordinateur dans le domaine après avoir été retiré
  • Opérations de réparation de la relation de confiance
  • Outils de gestion Active Directory tiers effectuant des opérations en masse
  • Scripts automatisés ou tâches planifiées gérant les comptes d'ordinateur
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez le Visualiseur d'événements et accédez au journal de sécurité pour examiner les détails de l'ID d'événement 4750 :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4750 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 4750 pour voir les détails
  6. Examinez les champs clés suivants :
    • Nom du compte sujet : Qui a effectué le changement de mot de passe
    • Nom du compte cible : Quel compte d'ordinateur a été modifié
    • Domaine cible : Domaine contenant le compte d'ordinateur
    • ID de connexion : Identifiant de session pour la corrélation
Conseil pro : Recherchez des motifs dans le champ Nom du compte sujet. Les changements automatiques montrent généralement le compte d'ordinateur lui-même comme sujet, tandis que les changements manuels montrent des comptes administrateurs.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser les occurrences de l'ID d'événement 4750 dans votre environnement :

# Obtenez les changements récents de mot de passe de compte d'ordinateur
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750} -MaxEvents 50 | 
    Select-Object TimeCreated, @{Name='Computer';Expression={$_.Properties[0].Value}}, 
    @{Name='Subject';Expression={$_.Properties[1].Value}} | Format-Table -AutoSize

# Filtrer pour un compte d'ordinateur spécifique
$ComputerName = "WORKSTATION01$"
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750} | 
    Where-Object {$_.Properties[0].Value -like "*$ComputerName*"} | 
    Select-Object TimeCreated, Message

# Vérifiez les changements de mot de passe manuels (sujets non comptes d'ordinateur)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750} -MaxEvents 100 | 
    Where-Object {$_.Properties[1].Value -notlike "*$"} | 
    Format-List TimeCreated, @{Name='Target';Expression={$_.Properties[0].Value}}, 
    @{Name='ChangedBy';Expression={$_.Properties[1].Value}}

Pour les contrôleurs de domaine, interrogez plusieurs serveurs simultanément :

$DomainControllers = @("DC01", "DC02", "DC03")
$Results = @()
foreach ($DC in $DomainControllers) {
    $Events = Get-WinEvent -ComputerName $DC -FilterHashtable @{LogName='Security'; Id=4750} -MaxEvents 20 -ErrorAction SilentlyContinue
    $Results += $Events | Select-Object @{Name='DC';Expression={$DC}}, TimeCreated, @{Name='Computer';Expression={$_.Properties[0].Value}}
}
$Results | Sort-Object TimeCreated -Descending | Format-Table -AutoSize
03

Analyser les paramètres de la stratégie de mot de passe du compte d'ordinateur

Vérifiez et ajustez les paramètres de la politique de mot de passe des comptes d'ordinateur qui contrôlent la fréquence de l'ID d'événement 4750 :

  1. Vérifiez les paramètres actuels de la politique de domaine :
    # Interroger la politique de mot de passe du domaine
Get-ADDefaultDomainPasswordPolicy | Select-Object MaxPasswordAge, MinPasswordAge

# Vérifiez le paramètre d'âge du mot de passe du compte d'ordinateur
$Domain = Get-ADDomain
$DomainDN = $Domain.DistinguishedName
Get-ADObject -Filter {objectClass -eq "domainDNS"} -SearchBase $DomainDN -Properties ms-DS-MachineAccountQuota, maxPwdAge
  2. Examinez les paramètres du registre sur les contrôleurs de domaine :
    # Vérifiez l'âge maximum du mot de passe (par défaut 2592000 secondes = 30 jours)
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name MaximumPasswordAge -ErrorAction SilentlyContinue

# Vérifiez le paramètre de désactivation du changement de mot de passe
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name DisablePasswordChange -ErrorAction SilentlyContinue
  3. Pour des comptes d'ordinateur spécifiques, vérifiez le dernier changement de mot de passe :
    Get-ADComputer -Identity "WORKSTATION01" -Properties PasswordLastSet, whenChanged | 
    Select-Object Name, PasswordLastSet, whenChanged, @{Name='DaysOld';Expression={(Get-Date) - $_.PasswordLastSet | Select-Object -ExpandProperty Days}}
Avertissement : Modifier les politiques de mot de passe des comptes d'ordinateur peut affecter la sécurité du domaine et les relations de confiance. Testez les modifications dans un environnement de laboratoire d'abord.
04

Enquêter sur les activités suspectes des comptes d'ordinateur

Corréler l'ID d'événement 4750 avec d'autres événements de sécurité pour identifier les problèmes de sécurité potentiels :

  1. Rechercher des événements d'authentification liés :
    # Rechercher les échecs d'authentification de compte d'ordinateur autour des changements de mot de passe
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date

# Obtenir les changements de mot de passe de compte d'ordinateur
$PasswordChanges = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750; StartTime=$StartTime; EndTime=$EndTime}

# Vérifier les échecs d'authentification (ID d'événement 4625) pour les mêmes comptes
foreach ($Event in $PasswordChanges) {
    $ComputerAccount = $Event.Properties[0].Value
    $ChangeTime = $Event.TimeCreated
    
    $AuthFailures = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$ChangeTime.AddHours(-2); EndTime=$ChangeTime.AddHours(2)} | 
        Where-Object {$_.Properties[5].Value -eq $ComputerAccount}
    
    if ($AuthFailures) {
        Write-Output "Problème potentiel avec $ComputerAccount à $ChangeTime"
        $AuthFailures | Select-Object TimeCreated, @{Name='FailureReason';Expression={$_.Properties[8].Value}}
    }
}
  2. Vérifier les modèles de changement de mot de passe inhabituels :
    # Identifier les ordinateurs avec des changements de mot de passe fréquents (problème de sécurité potentiel)
$RecentChanges = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750; StartTime=(Get-Date).AddDays(-30)}
$ChangesByComputer = $RecentChanges | Group-Object {$_.Properties[0].Value} | 
    Where-Object {$_.Count -gt 5} | 
    Select-Object Name, Count, @{Name='LastChange';Expression={($_.Group | Sort-Object TimeCreated -Descending)[0].TimeCreated}}

$ChangesByComputer | Format-Table -AutoSize
  3. Vérifier les relations de confiance pour les ordinateurs affectés :
    # Tester le canal sécurisé pour les ordinateurs avec des changements de mot de passe récents
$ComputerNames = $PasswordChanges | ForEach-Object {($_.Properties[0].Value -replace '\$$', '')}
foreach ($Computer in $ComputerNames) {
    try {
        $TrustTest = Test-ComputerSecureChannel -ComputerName $Computer -ErrorAction Stop
        Write-Output "$Computer`: Confiance OK - $TrustTest"
    } catch {
        Write-Warning "$Computer`: Problème de confiance - $($_.Exception.Message)"
    }
}
05

Configurer la surveillance avancée et les alertes

Configurez une surveillance complète pour l'ID d'événement 4750 afin de détecter les anomalies et les problèmes de sécurité :

  1. Créez une vue personnalisée dans l'Observateur d'événements pour la surveillance des comptes d'ordinateur :
    • Ouvrez l'Observateur d'événements et cliquez avec le bouton droit sur Vues personnalisées
    • Sélectionnez Créer une vue personnalisée
    • Définissez le niveau d'événement sur Information
    • Entrez 4750,4740,4767 dans les ID d'événements (changement de mot de passe, compte verrouillé, échec de mot de passe)
    • Définissez les journaux d'événements sur Sécurité
    • Nommer la vue "Événements de sécurité des comptes d'ordinateur"
  2. Configurez le script de surveillance basé sur PowerShell :
    # Script de surveillance avancée pour les changements de mot de passe des comptes d'ordinateur
param(
    [int]$MaxEvents = 100,
    [int]$AlertThreshold = 3,
    [string]$SMTPServer = "mail.company.com",
    [string]$AlertEmail = "security@company.com"
)

$StartTime = (Get-Date).AddHours(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4750; StartTime=$StartTime} -MaxEvents $MaxEvents -ErrorAction SilentlyContinue

if ($Events) {
    # Regrouper par ordinateur et vérifier les changements excessifs
    $SuspiciousActivity = $Events | Group-Object {$_.Properties[0].Value} | 
        Where-Object {$_.Count -ge $AlertThreshold}
    
    if ($SuspiciousActivity) {
        $AlertBody = "Activité suspecte de mot de passe de compte d'ordinateur détectée :`n`n"
        foreach ($Activity in $SuspiciousActivity) {
            $AlertBody += "Ordinateur : $($Activity.Name) - $($Activity.Count) changements de mot de passe dans la dernière heure`n"
        }
        
        # Envoyer un e-mail d'alerte (configurer les paramètres SMTP si nécessaire)
        Send-MailMessage -To $AlertEmail -From "monitoring@company.com" -Subject "Alerte de sécurité du compte d'ordinateur" -Body $AlertBody -SmtpServer $SMTPServer
    }
    
    # Enregistrer le résumé dans le journal des événements Windows
    $EventCount = $Events.Count
    Write-EventLog -LogName Application -Source "Computer Account Monitor" -EventId 1001 -EntryType Information -Message "Traitement de $EventCount changements de mot de passe de compte d'ordinateur dans la dernière heure"
}
  3. Configurez le Planificateur de tâches Windows pour exécuter le script de surveillance :
    # Créer une tâche planifiée pour la surveillance
$TaskName = "Surveillance du mot de passe du compte d'ordinateur"
$ScriptPath = "C:\Scripts\ComputerAccountMonitor.ps1"

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File `"$ScriptPath`""
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable

Register-ScheduledTask -TaskName $TaskName -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM" -RunLevel Highest
Conseil pro : Intégrez la surveillance de l'ID d'événement 4750 avec votre solution SIEM en utilisant le Transfert d'événements Windows (WEF) pour centraliser la surveillance de la sécurité des comptes d'ordinateur sur l'ensemble de votre domaine.

Aperçu

L'ID d'événement 4750 se déclenche lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur les modifications de mot de passe de compte machine. Les comptes d'ordinateur changent automatiquement leurs mots de passe tous les 30 jours par défaut, ce qui en fait un événement courant et attendu dans des environnements Active Directory sains.

L'événement capture des détails critiques, y compris le compte d'ordinateur cible, le compte qui a effectué le changement, et les informations de timestamp. Les administrateurs de domaine s'appuient sur cet événement pour suivre les activités de sécurité des comptes machine et identifier les changements de mot de passe non autorisés. Dans Windows Server 2025 et les environnements modernes, cet événement s'intègre aux systèmes de protection avancée contre les menaces pour détecter les activités anormales des comptes d'ordinateur.

Comprendre l'ID d'événement 4750 est essentiel pour la surveillance de la sécurité, l'audit de conformité et le dépannage des problèmes de confiance de domaine. L'événement aide à distinguer entre les changements automatiques normaux de mot de passe et les modifications manuelles potentiellement suspectes qui pourraient indiquer des violations de sécurité ou des erreurs administratives.

Questions Fréquentes

Que signifie l'ID d'événement 4750 et pourquoi apparaît-il si fréquemment ?+
L'ID d'événement 4750 indique qu'un mot de passe de compte d'ordinateur a été modifié dans Active Directory. Il apparaît fréquemment car les ordinateurs joints au domaine changent automatiquement leurs mots de passe tous les 30 jours par défaut comme mesure de sécurité. Ce processus automatique garantit que les comptes de machines maintiennent une authentification sécurisée avec les contrôleurs de domaine tout en empêchant l'obsolescence des mots de passe qui pourrait compromettre les relations de confiance du domaine.
Comment puis-je distinguer entre les changements de mot de passe de compte d'ordinateur automatiques et manuels dans l'ID d'événement 4750 ?+
Vérifiez le champ 'Nom du compte sujet' dans les détails de l'événement. Les changements de mot de passe automatiques montrent généralement le compte de l'ordinateur lui-même (se terminant par $) comme le sujet effectuant le changement. Les changements manuels montrent des comptes d'administrateurs humains ou des comptes de service. De plus, les changements automatiques se produisent environ tous les 30 jours, tandis que les changements manuels se produisent de manière irrégulière et sont souvent corrélés avec des activités administratives ou des efforts de dépannage.
Dois-je m'inquiéter de plusieurs entrées d'ID d'événement 4750 pour le même ordinateur en peu de temps ?+
Oui, plusieurs changements de mot de passe pour le même compte informatique dans un court laps de temps peuvent indiquer des problèmes. Les causes potentielles incluent des problèmes de relation de confiance, des problèmes de synchronisation temporelle, des conflits de réplication du contrôleur de domaine ou des violations de sécurité. Enquêter en vérifiant les échecs d'authentification associés (ID d'événement 4625), en vérifiant le canal sécurisé avec Test-ComputerSecureChannel, et en examinant les comptes qui ont initié les changements.
L'ID d'événement 4750 peut-il aider à détecter des comptes d'ordinateur compromis ?+
Absolument. L'ID d'événement 4750 est précieux pour la surveillance de la sécurité lorsqu'il est analysé avec d'autres événements. Recherchez des schémas inhabituels tels que des changements de mot de passe initiés par des comptes inattendus, des changements se produisant en dehors des heures de bureau normales, ou des ordinateurs changeant de mot de passe plus fréquemment que le délai par défaut de 30 jours. Corrélez avec les tentatives d'authentification échouées, les événements d'escalade de privilèges et les journaux d'accès réseau pour identifier les compromissions potentielles.
Comment puis-je réduire le volume de journaux de l'ID d'événement 4750 sans compromettre la surveillance de la sécurité ?+
Mettre en œuvre des stratégies de journalisation sélective : configurer les politiques d'audit pour enregistrer uniquement les changements de mot de passe manuels en filtrant les changements automatiques initiés par l'ordinateur, utiliser les abonnements au journal des événements pour transmettre uniquement les modèles suspects aux systèmes de surveillance centraux, configurer la rotation des journaux avec des périodes de rétention appropriées, et utiliser des outils SIEM pour agréger et analyser les modèles plutôt que les événements individuels. Vous pouvez également ajuster le paramètre MaximumPasswordAge pour réduire la fréquence, mais cela peut affecter la posture de sécurité.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4750 and related computer account security events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Computer Account ManagementOfficial documentation covering computer account security, password policies, and trust relationship management in Active Directory environments.https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-identifiers
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4750

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...