ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows domain controller displaying security audit logs and Active Directory group management interface
Event ID 4753InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4753 – Microsoft-Windows-Security-Auditing : Membre de groupe global activé pour la sécurité supprimé

L'ID d'événement 4753 enregistre lorsqu'un membre est retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement d'audit de sécurité suit les changements d'appartenance aux groupes pour la conformité et la surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4753Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4753 est un événement d'audit de sécurité généré par le fournisseur Microsoft-Windows-Security-Auditing lorsqu'un membre est retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement se produit exclusivement sur les contrôleurs de domaine et est enregistré dans le journal des événements de sécurité dans le cadre de la configuration avancée de la politique d'audit de Windows.

L'événement contient des informations détaillées sur le changement d'appartenance au groupe, y compris l'ID de sécurité (SID) et le nom de compte de l'utilisateur effectuant l'action et de l'utilisateur retiré du groupe. Il enregistre également le nom distingué du groupe cible, les informations de domaine et l'horodatage précis de la modification.

Cet événement d'audit est crucial pour les organisations mettant en œuvre des systèmes de surveillance de la sécurité, des cadres de conformité comme SOX ou HIPAA, et des capacités d'analyse médico-légale. L'événement aide les administrateurs à suivre les modifications des groupes de sécurité qui peuvent affecter les autorisations d'accès, à identifier les modifications non autorisées des appartenances aux groupes et à maintenir des pistes d'audit complètes pour les exigences réglementaires.

L'ID d'événement 4753 est généré par le sous-système de l'Autorité de sécurité locale (LSA) lorsque Active Directory traite les opérations de suppression d'appartenance à un groupe. L'événement se déclenche indépendamment du fait que la suppression ait été effectuée via des outils graphiques, des utilitaires en ligne de commande ou des interfaces programmatiques comme les modules Active Directory LDAP ou PowerShell.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Domain Controllers
Analyse

Causes possibles

  • Administrateur supprimant manuellement un utilisateur d'un groupe global activé pour la sécurité via Utilisateurs et ordinateurs Active Directory
  • Scripts automatisés ou cmdlets PowerShell exécutant des opérations Remove-ADGroupMember
  • Systèmes de gestion d'identité tiers effectuant la synchronisation des appartenances aux groupes
  • Processus de suppression de compte utilisateur qui suppriment automatiquement l'utilisateur de toutes les appartenances aux groupes
  • Stratégie de groupe ou scripts de connexion modifiant les appartenances aux groupes de manière programmatique
  • Exchange Server ou d'autres applications supprimant des utilisateurs des groupes de sécurité activés pour la messagerie
  • Examens d'accès à la sécurité entraînant une réduction des privilèges et un nettoyage des appartenances aux groupes
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4753 pour comprendre quel changement d'appartenance au groupe a eu lieu.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement a été enregistré
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal pour l'ID d'événement 4753 en utilisant Filtrer le journal actuelIDs d'événements : 4753
  4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Sujet : Compte qui a effectué la suppression
    • Membre : Compte qui a été retiré du groupe
    • Groupe : Informations sur le groupe de sécurité cible
    • Informations supplémentaires : Privilèges utilisés pour l'opération
  5. Notez l'horodatage, la station de travail source et l'ID de connexion pour la corrélation avec d'autres événements
Astuce pro : Faites une référence croisée de l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour identifier la session qui a effectué la modification du groupe.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement l'ID d'événement 4753 sur plusieurs contrôleurs de domaine ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les événements récents 4753 avec un filtrage de base :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4753} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Recherchez des suppressions spécifiques d'appartenance à un groupe :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4753; StartTime=(Get-Date).AddDays(-7)}
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Subject = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $Member = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'MemberName'} | Select-Object -ExpandProperty '#text'
    $Group = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Subject = $Subject
        RemovedMember = $Member
        FromGroup = $Group
    }
}
  4. Exportez les résultats pour analyse :
    $Results | Export-Csv -Path "C:\Temp\GroupMembershipRemovals.csv" -NoTypeInformation
03

Corréler avec des événements de sécurité connexes

Enquêter sur l'ID d'événement 4753 dans le contexte des événements de sécurité connexes pour obtenir une image complète du changement d'appartenance au groupe.

  1. Identifier la session de connexion qui a effectué la modification du groupe :
    $Event4753 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4753} -MaxEvents 1
$EventXML = [xml]$Event4753.ToXml()
$LogonId = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'
Write-Host "Logon ID: $LogonId"
  2. Trouver l'événement de connexion correspondant (4624) pour la même session :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {
    $LogonXML = [xml]$_.ToXml()
    $SessionLogonId = $LogonXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetLogonId'} | Select-Object -ExpandProperty '#text'
    $SessionLogonId -eq $LogonId
} | Select-Object TimeCreated, @{Name='LogonType';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'LogonType'} | Select-Object -ExpandProperty '#text'}}, @{Name='WorkstationName';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'WorkstationName'} | Select-Object -ExpandProperty '#text'}}
  3. Vérifier d'autres modifications de groupe dans la même période :
    $TimeWindow = $Event4753.TimeCreated
$StartTime = $TimeWindow.AddMinutes(-5)
$EndTime = $TimeWindow.AddMinutes(5)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4729,4732,4733,4756,4757; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Id, @{Name='EventType';Expression={switch($_.Id){4728{'User added to global group'};4729{'User removed from global group'};4732{'User added to local group'};4733{'User removed from local group'};4756{'User added to universal group'};4757{'User removed from universal group'}}}}
Avertissement : Les environnements Active Directory de grande taille peuvent générer des milliers d'événements d'appartenance à des groupes. Utilisez des filtres temporels appropriés et tenez compte de l'impact sur les performances lors de la requête des événements.
04

Enquêter sur les changements non autorisés de groupe

Lorsque l'ID d'événement 4753 indique une suppression potentielle non autorisée de l'appartenance à un groupe, effectuez une analyse médico-légale détaillée.

  1. Vérifiez la légitimité du changement d'appartenance au groupe en vérifiant les demandes de changement récentes ou les tickets
  2. Examinez le compte sujet qui a effectué la suppression :
    $Event4753 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4753} -MaxEvents 1
$EventXML = [xml]$Event4753.ToXml()
$SubjectAccount = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
$SubjectDomain = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
Get-ADUser -Identity $SubjectAccount -Server $SubjectDomain -Properties LastLogonDate, PasswordLastSet, MemberOf | Select-Object Name, LastLogonDate, PasswordLastSet, @{Name='Groups';Expression={$_.MemberOf -join '; '}}
  3. Vérifiez si l'utilisateur supprimé existe toujours et examinez ses appartenances actuelles aux groupes :
    $RemovedMember = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'MemberName'} | Select-Object -ExpandProperty '#text'
try {
    $User = Get-ADUser -Identity $RemovedMember -Properties MemberOf, LastLogonDate
    Write-Host "User still exists. Current groups: $($User.MemberOf -join '; ')"
    Write-Host "Last logon: $($User.LastLogonDate)"
} catch {
    Write-Host "User account no longer exists or cannot be found"
}
  4. Auditez l'appartenance actuelle du groupe cible et les changements récents :
    $TargetGroup = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
$Group = Get-ADGroup -Identity $TargetGroup -Properties Members, Description
Write-Host "Group: $($Group.Name)"
Write-Host "Description: $($Group.Description)"
Write-Host "Current member count: $($Group.Members.Count)"
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4753; StartTime=(Get-Date).AddDays(-30)} | Where-Object {
    $XML = [xml]$_.ToXml()
    $GroupName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    $GroupName -eq $TargetGroup
} | Select-Object TimeCreated, Id, @{Name='Action';Expression={if($_.Id -eq 4728){'Added'}else{'Removed'}}}
05

Configurer la surveillance avancée et les alertes

Configurez une surveillance proactive pour l'ID d'événement 4753 afin de détecter et de répondre aux changements d'appartenance à des groupes en temps réel.

  1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance de l'appartenance à des groupes:
    • Ouvrez Visualiseur d'événementsVues personnaliséesCréer une vue personnalisée
    • Définissez Niveau d'événement: Information
    • Définissez Journaux d'événements: Sécurité
    • Définissez IDs d'événements: 4728,4729,4732,4733,4753,4756,4757
    • Enregistrez sous "Changements d'appartenance à des groupes"
  2. Configurez le transfert d'événements Windows pour centraliser les événements de changement de groupe:
    # Sur le serveur collecteur
wecutil cs GroupMembershipSubscription.xml

# Contenu XML d'abonnement exemple:
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>GroupMembershipChanges</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer les événements de changement d'appartenance à des groupes</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[(EventID=4728 or EventID=4729 or EventID=4732 or EventID=4733 or EventID=4753 or EventID=4756 or EventID=4757)]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  3. Créez un script de surveillance PowerShell pour les groupes critiques:
    # Monitor-CriticalGroups.ps1
$CriticalGroups = @('Domain Admins', 'Enterprise Admins', 'Schema Admins')
$LastCheck = (Get-Date).AddMinutes(-5)

foreach ($Group in $CriticalGroups) {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4753; StartTime=$LastCheck} | Where-Object {
        $XML = [xml]$_.ToXml()
        $TargetGroup = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        $TargetGroup -like "*$Group*"
    }
    
    if ($Events) {
        foreach ($Event in $Events) {
            $XML = [xml]$Event.ToXml()
            $Subject = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
            $Member = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'MemberName'} | Select-Object -ExpandProperty '#text'
            
            # Envoyer une alerte (personnaliser si nécessaire)
            Write-Warning "CRITIQUE: Utilisateur $Member retiré de $Group par $Subject à $($Event.TimeCreated)"
            # Ajouter notification par email, intégration SIEM, etc.
        }
    }
}
  4. Planifiez le script de surveillance pour s'exécuter toutes les 5 minutes à l'aide du Planificateur de tâches
Conseil pro: Intégrez la surveillance de l'ID d'événement 4753 avec votre solution SIEM ou Microsoft Sentinel pour des capacités avancées de détection des menaces et de réponse automatisée.

Aperçu

L'ID d'événement 4753 se déclenche lorsqu'un membre est retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement fait partie de l'audit de sécurité Windows et apparaît dans le journal de sécurité sur les contrôleurs de domaine lorsque des modifications d'appartenance à un groupe se produisent. L'événement capture des détails critiques, y compris qui a effectué l'action, quel utilisateur a été retiré, de quel groupe, et quand le changement a eu lieu.

Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. Les organisations utilisent les événements 4753 pour suivre les changements non autorisés d'appartenance à des groupes, surveiller les modifications d'accès privilégié et maintenir des pistes d'audit pour la conformité réglementaire. L'événement se déclenche immédiatement lorsque des modifications d'appartenance à un groupe se produisent par n'importe quelle méthode - Utilisateurs et ordinateurs Active Directory, cmdlets PowerShell ou interfaces programmatiques.

Les administrateurs de domaine voient généralement cet événement lors du nettoyage des comptes d'utilisateurs, de la suppression d'utilisateurs des listes de distribution ou de l'ajustement des appartenances à des groupes de sécurité lors des revues d'accès. L'événement fournit une responsabilité et aide à détecter les incidents de sécurité potentiels impliquant la manipulation de l'appartenance à des groupes.

Questions Fréquentes

Que signifie l'ID d'événement 4753 et quand se produit-il ?+
L'ID d'événement 4753 indique qu'un membre a été retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement se produit chaque fois que quelqu'un retire un utilisateur, un ordinateur ou un autre principal de sécurité d'un groupe de sécurité global par n'importe quelle méthode - Utilisateurs et ordinateurs Active Directory, cmdlets PowerShell, ou interfaces programmatiques. L'événement est enregistré sur les contrôleurs de domaine dans le journal de sécurité et fournit des informations détaillées sur qui a effectué le retrait, quel compte a été retiré, et de quel groupe.
Comment puis-je identifier qui a supprimé un utilisateur d'un groupe de sécurité ?+
L'ID d'événement 4753 contient des informations détaillées sur le sujet qui identifient qui a effectué la suppression de l'appartenance au groupe. Dans les détails de l'événement, recherchez la section 'Sujet' qui inclut le SubjectUserName, le SubjectDomainName et le SubjectLogonId. Vous pouvez corréler le SubjectLogonId avec l'ID d'événement 4624 (connexion réussie) pour déterminer la station de travail source et la méthode de connexion utilisée. Utilisez PowerShell pour analyser le XML de l'événement et extraire ces informations : les champs Sujet montrent le compte qui a initié la suppression, tandis que les champs Membre montrent quel compte a été retiré du groupe.
Pourquoi est-ce que je vois l'ID d'événement 4753 pour des groupes que je n'ai pas modifiés manuellement ?+
L'ID d'événement 4753 peut être généré par divers processus automatisés au-delà des actions administratives manuelles. Les causes courantes incluent les processus de suppression de comptes utilisateur qui retirent automatiquement les utilisateurs de tous les groupes, les opérations d'Exchange Server modifiant les groupes de sécurité activés pour la messagerie, les systèmes de gestion d'identité tiers effectuant la synchronisation, les scripts automatisés ou les tâches planifiées gérant les adhésions aux groupes, et les scripts de stratégie de groupe ou de connexion exécutant des modifications de groupe. De plus, certaines applications et services peuvent gérer de manière programmatique les adhésions aux groupes dans le cadre de leurs opérations normales.
Comment puis-je surveiller l'ID d'événement 4753 pour les groupes sensibles à la sécurité ?+
Pour surveiller l'ID d'événement 4753 pour des groupes critiques comme Domain Admins ou Enterprise Admins, implémentez plusieurs stratégies de surveillance. Créez des vues personnalisées dans l'Observateur d'événements en filtrant pour l'ID d'événement 4753 et d'autres événements de modification de groupe (4728, 4729, 4732, 4733, 4756, 4757). Utilisez des scripts PowerShell pour interroger les événements et filtrer pour des groupes à privilèges élevés spécifiques, puis planifiez ces scripts pour s'exécuter régulièrement. Configurez le transfert d'événements Windows pour centraliser les événements de changement de groupe vers un serveur collecteur. Pour les environnements d'entreprise, intégrez avec des solutions SIEM ou Microsoft Sentinel pour créer des alertes automatisées lorsque des changements de membres se produisent dans des groupes sensibles. Configurez des notifications par e-mail ou d'autres mécanismes d'alerte pour une notification immédiate des modifications de groupes critiques.
Que dois-je faire si je trouve des entrées non autorisées d'ID d'événement 4753 ?+
Si vous découvrez des entrées non autorisées d'ID d'événement 4753 indiquant des suppressions suspectes d'appartenance à un groupe, commencez immédiatement les procédures de réponse aux incidents. Tout d'abord, vérifiez la légitimité du changement en consultant les enregistrements de gestion des changements et en contactant le propriétaire du compte concerné. Examinez le compte concerné pour détecter des signes de compromission - vérifiez les modèles de connexion récents, les changements de mot de passe et les appartenances actuelles aux groupes. Déterminez si le compte utilisateur supprimé existe toujours et examinez ses autorisations d'accès actuelles. Corrélez l'événement avec d'autres événements de sécurité en utilisant le LogonId pour comprendre le contexte complet de la session. Si le changement semble malveillant, envisagez de désactiver temporairement le compte concerné, de restaurer l'utilisateur supprimé dans les groupes appropriés si nécessaire, et d'escalader à votre équipe de sécurité pour une enquête plus approfondie. Documentez toutes les constatations et mettez en œuvre une surveillance supplémentaire pour les comptes et groupes affectés.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive documentation covering Windows security auditing events including Event ID 4753 and related group membership audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial guide to configuring advanced audit policies for tracking security group membership changes and other security events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4753

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...