ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory Users and Computers console showing computer account group membership management
Event ID 4751InformationSecurityWindows

ID d'événement Windows 4751 – Sécurité : Compte d'ordinateur ajouté à un groupe global activé pour la sécurité

L'ID d'événement 4751 se déclenche lorsqu'un compte d'ordinateur est ajouté à un groupe global activé pour la sécurité dans Active Directory. Cet événement d'audit de sécurité suit les modifications de l'appartenance aux groupes pour les objets ordinateurs.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4751Security 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4751 représente un événement d'audit de sécurité critique qui suit lorsque des comptes d'ordinateur sont ajoutés à des groupes globaux activés pour la sécurité dans Active Directory. Cet événement est généré par le sous-système de l'Autorité de sécurité locale (LSA) et enregistré dans le journal des événements de sécurité sur les contrôleurs de domaine où le changement d'appartenance au groupe se produit.

L'événement fournit des détails complets, y compris l'identifiant de sécurité (SID) du compte d'ordinateur ajouté et du groupe cible, les informations de session de connexion de l'utilisateur qui a effectué l'action, et les données de l'horodatage. Ces informations sont essentielles pour maintenir la conformité en matière de sécurité et mener des enquêtes judiciaires lorsque des modifications non autorisées se produisent.

Les comptes d'ordinateur dans Active Directory représentent des machines jointes au domaine et leur appartenance à des groupes détermine souvent les droits d'accès aux ressources réseau, l'application des stratégies de groupe et les frontières de sécurité. Les modifications de ces appartenances peuvent avoir un impact significatif sur la sécurité et la fonctionnalité du système. L'ID d'événement 4751 garantit que les administrateurs ont une visibilité sur ces modifications critiques.

La structure de l'événement comprend des champs pour le sujet (qui a effectué le changement), le membre (compte d'ordinateur ajouté), et le groupe (groupe de sécurité cible). Un contexte supplémentaire inclut le nom et l'ID du processus appelant, fournissant une piste d'audit complète pour les modifications d'appartenance à des groupes impliquant des comptes d'ordinateur.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11
Analyse

Causes possibles

  • Administrateur ajoutant manuellement un compte d'ordinateur à un groupe global activé pour la sécurité à l'aide de Utilisateurs et ordinateurs Active Directory
  • Scripts ou commandes PowerShell utilisant le cmdlet Add-ADGroupMember pour modifier l'appartenance au groupe
  • Processus automatisés ou préférences de stratégie de groupe ajoutant des ordinateurs aux groupes
  • Outils de gestion d'identité tiers modifiant les appartenances aux groupes Active Directory
  • Applications basées sur LDAP ajoutant programmatiquement des comptes d'ordinateur aux groupes
  • Outils ou scripts de migration déplaçant des comptes d'ordinateur entre les groupes lors de changements d'infrastructure
  • Comptes de service ou applications avec des permissions déléguées modifiant les appartenances aux groupes
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4751 pour comprendre quel changement s'est produit et qui l'a initié.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement a été enregistré
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4751 ou recherchez les occurrences récentes
  4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Sujet : Compte utilisateur qui a effectué le changement
    • Membre : Compte d'ordinateur qui a été ajouté
    • Groupe : Groupe de sécurité cible
    • Nom du processus appelant : Application qui a initié le changement
  5. Notez l'horodatage et corrélez-le avec toute maintenance programmée ou activité administrative connue
Astuce pro : Vérifiez le champ Nom du processus appelant pour identifier si le changement a été effectué via des outils standard comme dsa.msc ou des méthodes programmatiques.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4751 sur vos contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les entrées récentes de l'ID d'événement 4751 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4751} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Pour une analyse plus détaillée, extrayez des champs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4751} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data[1].'#text'
        MemberName = $xml.Event.EventData.Data[6].'#text'
        GroupName = $xml.Event.EventData.Data[8].'#text'
        CallerProcessName = $xml.Event.EventData.Data[11].'#text'
    }
}
  4. Interrogez les événements de plusieurs contrôleurs de domaine :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Invoke-Command -ComputerName $DC.Name -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4751} -MaxEvents 10 -ErrorAction SilentlyContinue
    }
}
03

Vérifier les modifications d'appartenance aux groupes dans Active Directory

Confirmez les changements réels d'appartenance au groupe et validez s'ils ont été autorisés.

  1. Ouvrez Active Directory Users and Computers (dsa.msc)
  2. Localisez le compte d'ordinateur mentionné dans l'événement :
    • Accédez à l'UO appropriée ou utilisez la fonction de recherche
    • Cliquez avec le bouton droit sur le compte d'ordinateur et sélectionnez Propriétés
    • Cliquez sur l'onglet Membre de pour voir les appartenances actuelles aux groupes
  3. Vérifiez que le groupe mentionné dans l'événement est maintenant listé dans les appartenances de l'ordinateur
  4. Vérifiez les propriétés du groupe pour voir quand l'ordinateur a été ajouté :
    • Accédez au groupe de sécurité mentionné dans l'événement
    • Cliquez avec le bouton droit et sélectionnez Propriétés
    • Cliquez sur l'onglet Membres pour confirmer que le compte d'ordinateur est présent
  5. Utilisez PowerShell pour obtenir des informations détaillées sur l'appartenance :
    Get-ADComputer "ComputerName" -Properties MemberOf | Select-Object Name, @{Name="Groups";Expression={$_.MemberOf -replace '^CN=([^,]+),.*','$1'}}
Avertissement : Les ajouts non autorisés de comptes d'ordinateur à des groupes privilégiés comme Domain Admins ou Enterprise Admins nécessitent une enquête immédiate.
04

Enquêter à l'aide des journaux d'audit avancés

Effectuez une analyse médico-légale plus approfondie en corrélant l'ID d'événement 4751 avec les événements de sécurité associés.

  1. Activez l'audit avancé si ce n'est pas déjà configuré :
    auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
  2. Recherchez les événements connexes survenus à peu près au même moment :
    $StartTime = (Get-Date).AddHours(-2)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4625,4648,4672,4751,4752,4756,4757
    StartTime=$StartTime
    EndTime=$EndTime
} | Sort-Object TimeCreated
  3. Vérifiez les événements de connexion (4624) de l'utilisateur concerné autour du moment du changement de groupe
  4. Cherchez les événements d'utilisation de privilèges (4672) qui pourraient indiquer que des permissions élevées ont été utilisées
  5. Examinez les tentatives échouées (4625) qui pourraient indiquer des tentatives d'accès non autorisées
  6. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4751} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event4751_Analysis.csv" -NoTypeInformation
05

Mettre en œuvre la surveillance et l'alerte

Configurez une surveillance proactive pour détecter et alerter sur les futures occurrences de l'ID d'événement 4751, en particulier pour les groupes sensibles.

  1. Créez une tâche planifiée pour surveiller l'ID d'événement 4751 :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-Event4751.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Monitor-Event4751" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  2. Créez le script de surveillance (C:\Scripts\Monitor-Event4751.ps1) :
    # Monitor-Event4751.ps1
$LastCheck = (Get-Date).AddMinutes(-15)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4751; StartTime=$LastCheck} -ErrorAction SilentlyContinue

if ($Events) {
    foreach ($Event in $Events) {
        $xml = [xml]$Event.ToXml()
        $GroupName = $xml.Event.EventData.Data[8].'#text'
        $ComputerName = $xml.Event.EventData.Data[6].'#text'
        
        # Alerte pour les groupes sensibles
        $SensitiveGroups = @("Domain Admins", "Enterprise Admins", "Schema Admins")
        if ($GroupName -in $SensitiveGroups) {
            Send-MailMessage -To "admin@company.com" -From "security@company.com" -Subject "ALERTE : Ordinateur ajouté à un groupe privilégié" -Body "L'ordinateur $ComputerName a été ajouté à $GroupName à $($Event.TimeCreated)" -SmtpServer "mail.company.com"
        }
    }
}
  3. Configurez le transfert d'événements Windows (WEF) pour centraliser l'ID d'événement 4751 de tous les contrôleurs de domaine
  4. Configurez l'intégration SIEM pour corréler l'ID d'événement 4751 avec d'autres événements de sécurité
Astuce pro : Envisagez de mettre en œuvre un accès juste-à-temps (JIT) pour les modifications de groupe de comptes d'ordinateur afin de réduire la surface d'attaque.

Aperçu

L'ID d'événement 4751 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte d'ordinateur est ajouté à un groupe global activé pour la sécurité dans Active Directory. Cet événement fait partie de la catégorie d'audit de gestion des comptes et fournit un suivi détaillé des changements d'appartenance aux groupes pour les objets ordinateurs. L'événement capture qui a effectué le changement, quel compte d'ordinateur a été ajouté et à quel groupe il a été ajouté.

Cet événement ne se déclenche que lorsque la sous-catégorie de stratégie d'audit avancée 'Audit de la gestion des groupes de sécurité' est activée. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations cruciales pour la surveillance de la sécurité et les exigences de conformité. Contrairement aux changements de groupe de comptes d'utilisateur, les modifications de groupe de comptes d'ordinateur sont moins fréquentes mais tout aussi importantes pour le suivi de la sécurité.

L'événement inclut des informations détaillées sur le sujet qui a effectué l'action, le compte d'ordinateur cible et le groupe qui a été modifié. Cela le rend précieux pour l'analyse judiciaire et la compréhension des changements dans les appartenances aux groupes de sécurité des ordinateurs dans votre environnement Active Directory.

Questions Fréquentes

Que signifie l'ID d'événement 4751 et pourquoi est-il important ?+
L'ID d'événement 4751 indique qu'un compte d'ordinateur a été ajouté à un groupe global activé pour la sécurité dans Active Directory. Cet événement est important car les appartenances aux groupes d'ordinateurs déterminent les droits d'accès, l'application des stratégies de groupe et les limites de sécurité. Des modifications non autorisées des appartenances aux groupes d'ordinateurs peuvent entraîner une élévation de privilèges, un contournement des politiques de sécurité ou un accès non autorisé aux ressources du réseau. La surveillance de cet événement aide à maintenir la conformité en matière de sécurité et à détecter les menaces internes potentielles ou les comptes compromis.
Comment puis-je savoir si un ID d'événement 4751 représente une activité légitime ou suspecte ?+
Pour déterminer la légitimité, examinez les détails de l'événement, y compris l'utilisateur sujet qui a effectué le changement, l'heure de l'occurrence et le nom du processus appelant. Les activités légitimes se déroulent généralement pendant les heures de bureau par des administrateurs autorisés utilisant des outils standard comme Active Directory Users and Computers (dsa.msc) ou PowerShell. Les indicateurs suspects incluent des changements effectués en dehors des heures de bureau, par des comptes non administratifs, utilisant des processus inhabituels, ou des ajouts à des groupes hautement privilégiés. Recoupez le timing avec les enregistrements de gestion des changements et vérifiez avec l'administrateur responsable.
Pourquoi ne vois-je pas l'ID d'événement 4751 dans mon journal de sécurité ?+
L'ID d'événement 4751 n'apparaît que lorsque la sous-catégorie 'Audit de la gestion des groupes de sécurité' est activée dans votre politique d'audit. Vérifiez vos paramètres d'audit actuels en utilisant 'auditpol /get /subcategory:"Security Group Management"'. Si cela indique 'Pas d'audit', activez-le avec 'auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable'. De plus, cet événement ne se déclenche que pour les groupes globaux activés pour la sécurité, pas pour les groupes de distribution ou d'autres types de groupes. L'événement est enregistré sur le contrôleur de domaine où le changement d'appartenance au groupe se produit.
L'ID d'événement 4751 peut-il m'aider à suivre qui a ajouté un ordinateur à un groupe spécifique ?+
Oui, l'ID d'événement 4751 fournit des informations détaillées sur qui a effectué le changement d'appartenance au groupe. L'événement inclut les champs Sujet montrant l'ID de sécurité, le nom du compte, le domaine du compte et l'ID de connexion de l'utilisateur qui a effectué l'action. Il inclut également le nom du processus appelant et l'ID du processus, ce qui aide à identifier l'outil ou l'application utilisé pour effectuer le changement. Ces informations créent une piste d'audit complète à des fins d'analyse judiciaire et de responsabilité.
Comment dois-je répondre à l'ID d'événement 4751 pour les groupes d'ordinateurs sensibles ?+
Pour les groupes sensibles comme ceux avec des privilèges administratifs, vérifiez immédiatement que le changement a été autorisé en consultant l'administrateur responsable et en examinant les enregistrements de gestion des changements. Si non autorisé, retirez immédiatement l'ordinateur du groupe et enquêtez sur la manière dont le changement s'est produit. Examinez les événements de sécurité liés autour de la même période, vérifiez les signes de compromission de compte et envisagez de réinitialiser les mots de passe des comptes impliqués. Mettez en place des flux de travail de surveillance et d'approbation supplémentaires pour les futurs changements aux groupes d'ordinateurs sensibles. Documentez l'incident et mettez à jour les procédures de sécurité si nécessaire.
Documentation

Références (1)

1
Microsoft Security Auditing Events ReferenceOfficial Microsoft documentation covering Windows security auditing events including Event ID 4751 and related group management audit events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4751

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...