ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs for Active Directory group management
Event ID 4754InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4754 – Microsoft-Windows-Security-Auditing : Membre ajouté au groupe universel activé pour la sécurité

L'ID d'événement 4754 se déclenche lorsqu'un membre est ajouté à un groupe universel activé pour la sécurité dans Active Directory. Cet événement d'audit suit les changements d'appartenance au groupe pour la conformité et la surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4754Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4754 représente un point d'audit de sécurité critique dans les environnements Active Directory. Lorsque cet événement se déclenche, il indique que quelqu'un avec les permissions appropriées a ajouté avec succès un nouveau membre à un groupe universel activé pour la sécurité. L'événement contient des informations médico-légales détaillées, y compris l'identifiant de sécurité (SID) du sujet qui a effectué l'action, le nom distingué du groupe cible et le SID du membre nouvellement ajouté.

La structure de l'événement comprend plusieurs champs clés : la section Sujet identifie qui a effectué le changement (y compris le Nom du compte, le Domaine du compte et l'ID de connexion), la section Groupe spécifie quel groupe universel a été modifié (Nom du groupe, Domaine du groupe et SID du groupe), et la section Membre détaille ce qui a été ajouté (Nom du membre, SID du membre et Type de membre). Le contexte supplémentaire inclut les Informations sur le processus montrant quel processus a initié le changement et les Informations sur le réseau indiquant le poste de travail source.

Cet événement d'audit est généré uniquement lorsque la politique d'audit appropriée est activée via la stratégie de groupe ou la politique de sécurité locale. Par défaut, Windows Server 2019 et les versions ultérieures incluent cela dans la sous-catégorie de politique d'audit avancée 'Audit de la gestion des groupes de sécurité' sous Gestion des comptes. L'événement aide les organisations à maintenir la conformité avec des cadres de sécurité comme SOX, HIPAA et PCI-DSS qui nécessitent un audit détaillé du contrôle d'accès.

Comprendre cet événement est crucial pour détecter des incidents de sécurité potentiels tels que des tentatives d'escalade de privilèges, des menaces internes ou des comptes administratifs compromis utilisés pour accorder un accès non autorisé par la manipulation de l'appartenance à un groupe.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur ajoutant manuellement un utilisateur ou un ordinateur à un groupe universel activé pour la sécurité via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell ou processus automatisés utilisant la cmdlet Add-ADGroupMember pour modifier l'appartenance au groupe universel
  • Systèmes de gestion d'identité tiers synchronisant les appartenances aux groupes avec Active Directory
  • Exchange Server ajoutant automatiquement des objets activés pour la messagerie à des groupes de distribution universels également activés pour la sécurité
  • Préférences de stratégie de groupe configurées pour gérer les appartenances aux groupes locaux qui ciblent les groupes universels
  • Applications LDAP ou outils personnalisés effectuant des modifications d'appartenance aux groupes via les API de service d'annuaire
  • Outils de migration ou services de synchronisation d'annuaire ajoutant des membres lors de changements organisationnels
  • Comptes de service se voyant accorder l'appartenance à des groupes universels pour l'accès aux ressources inter-domaines
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre ce qui s'est passé et qui était impliqué.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4754 en utilisant l'option de filtre dans le volet Actions
  4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Sujet : Compte qui a effectué l'action
    • Groupe : Groupe universel qui a été modifié
    • Membre : Objet qui a été ajouté au groupe
    • Informations sur le processus : Application qui a initié le changement
  5. Notez l'horodatage, la station de travail source et les détails de la session de connexion pour la corrélation avec d'autres événements
  6. Vérifiez si le changement était attendu en le comparant aux enregistrements de gestion des changements
Astuce pro : Recherchez le SID du membre dans les détails de l'événement - cela identifie de manière unique ce qui a été ajouté même si le nom de l'objet a changé.
02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser plusieurs occurrences de l'ID d'événement 4754 et identifier des modèles ou des activités suspectes.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les ajouts récents de membres de groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4754} -MaxEvents 50 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $xml.Event.EventData.Data[0].'#text'
        SubjectDomainName = $xml.Event.EventData.Data[1].'#text'
        GroupName = $xml.Event.EventData.Data[5].'#text'
        GroupDomain = $xml.Event.EventData.Data[6].'#text'
        MemberName = $xml.Event.EventData.Data[8].'#text'
        MemberSid = $xml.Event.EventData.Data[9].'#text'
    }
} | Format-Table -AutoSize
  3. Filtrez pour des groupes spécifiques d'intérêt :
    $TargetGroups = @('Domain Admins', 'Enterprise Admins', 'Schema Admins')
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4754} -MaxEvents 100 | Where-Object {
    $xml = [xml]$_.ToXml()
    $groupName = $xml.Event.EventData.Data[5].'#text'
    $TargetGroups -contains $groupName
}
  4. Exportez les résultats pour une analyse ou un rapport ultérieur :
    $Results | Export-Csv -Path "C:\Temp\GroupMembershipChanges.csv" -NoTypeInformation
03

Corréler avec des événements de sécurité connexes

Enquêter sur les événements connexes pour obtenir une image complète de l'activité de changement d'appartenance au groupe.

  1. Rechercher les événements de connexion correspondants autour de la même période :
    $StartTime = (Get-Date).AddHours(-2)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4625,4648
    StartTime=$StartTime
    EndTime=$EndTime
} | Where-Object {$_.Message -like '*SubjectUserName*'}
  2. Vérifier l'ID d'événement 4728 (membre ajouté à un groupe global activé pour la sécurité) et l'ID d'événement 4732 (membre ajouté à un groupe local activé pour la sécurité) pour un suivi complet des changements de groupe
  3. Rechercher l'ID d'événement 4756 (membre supprimé d'un groupe universel activé pour la sécurité) pour voir si cela faisait partie d'un transfert d'appartenance
  4. Examiner l'ID d'événement 4672 (privilèges spéciaux attribués à une nouvelle connexion) pour identifier si des privilèges administratifs ont été utilisés
  5. Faire une référence croisée avec l'ID d'événement 5136 (objet de service d'annuaire modifié) pour un contexte supplémentaire de changement Active Directory
  6. Utiliser l'ID de connexion de l'événement 4754 pour corréler avec d'autres activités dans la même session :
    $LogonId = "0x3e7"  # Remplacer par l'ID de connexion réel de l'événement 4754
Get-WinEvent -FilterHashtable @{LogName='Security'} | Where-Object {
    $_.Message -like "*$LogonId*"
} | Select-Object TimeCreated, Id, LevelDisplayName, Message
04

Vérifier l'appartenance au groupe et l'impact des autorisations

Valider l'état actuel du groupe et évaluer les implications de sécurité de l'ajout de membres.

  1. Vérifiez l'appartenance actuelle du groupe universel affecté :
    Get-ADGroupMember -Identity "GroupName" -Recursive | Select-Object Name, ObjectClass, SamAccountName, DistinguishedName
  2. Vérifiez les autorisations et droits attribués au groupe universel :
    Get-ADGroup -Identity "GroupName" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object {
    Get-ADGroup -Identity $_ | Select-Object Name, GroupScope, GroupCategory
}
  3. Vérifiez si le groupe a des privilèges spéciaux ou est imbriqué dans des groupes privilégiés :
    $Group = Get-ADGroup -Identity "GroupName" -Properties MemberOf
$PrivilegedGroups = @('Domain Admins', 'Enterprise Admins', 'Schema Admins', 'Administrators')
$Group.MemberOf | ForEach-Object {
    $ParentGroup = Get-ADGroup -Identity $_
    if ($PrivilegedGroups -contains $ParentGroup.Name) {
        Write-Warning "Group $($Group.Name) is member of privileged group: $($ParentGroup.Name)"
    }
}
  4. Auditez les appartenances aux groupes existants du nouveau membre ajouté :
    Get-ADUser -Identity "NewMemberName" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object {
    Get-ADGroup -Identity $_ | Select-Object Name, GroupScope, GroupCategory
}
  5. Examinez tous les objets de stratégie de groupe qui pourraient être affectés par ce changement d'appartenance
Avertissement : Les groupes universels peuvent avoir un impact significatif sur le trafic réseau lors de la réplication. Surveillez la santé de la réplication après des changements d'appartenance importants.
05

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance proactive pour détecter et alerter sur les futurs changements d'appartenance aux groupes universels.

  1. Créez un abonnement personnalisé de transfert d'événements Windows pour centraliser l'ID d'événement 4754 de tous les contrôleurs de domaine
  2. Configurez un script PowerShell pour la surveillance en temps réel:
    # Enregistrez sous Monitor-UniversalGroupChanges.ps1
Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4754" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = "Membre ajouté au groupe universel : $($Event.Message)"
    Write-EventLog -LogName Application -Source "GroupMonitor" -EventId 1001 -Message $Message -EntryType Information
    # Ajoutez ici la notification par email ou l'intégration SIEM
}
  3. Configurez le Planificateur de tâches Windows pour exécuter les scripts de surveillance à intervalles réguliers
  4. Créez des vues personnalisées dans l'Observateur d'événements pour les équipes de sécurité:
    • Filtre : ID d'événement 4754, 4756 (membre supprimé), 4728, 4732
    • Grouper par : Nom du groupe ou Nom de l'utilisateur sujet
    • Période : Dernières 24 heures ou 7 jours
  5. Configurez l'intégration SIEM en utilisant le transfert d'événements Windows ou des agents d'expédition de journaux
  6. Mettez en œuvre des procédures de réponse automatisées pour les changements de groupes à haut risque:
    # Exemple de réponse automatisée
if ($GroupName -in @('Domain Admins', 'Enterprise Admins')) {
    Send-MailMessage -To "security@company.com" -Subject "ALERTE : Groupe privilégié modifié" -Body $AlertMessage
    # Désactiver éventuellement le compte en attente d'enquête
    # Disable-ADAccount -Identity $SubjectUserName
}

Aperçu

L'ID d'événement 4754 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est ajouté à un groupe universel activé pour la sécurité dans Active Directory. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a ajouté quel membre à quel groupe, ainsi que des horodatages et des détails d'authentification.

Les groupes universels sont des groupes de sécurité Active Directory qui peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes de n'importe quel domaine de la forêt. Lorsque les organisations activent des politiques d'audit avancées pour la gestion des groupes, Windows génère cet événement pour maintenir une trace d'audit des modifications d'appartenance aux groupes. L'événement capture le sujet qui a effectué l'action, le groupe cible qui a été modifié et le membre qui a été ajouté.

Cet événement est particulièrement précieux pour les équipes de sécurité surveillant les changements de groupes privilégiés, les auditeurs de conformité suivant les modifications de contrôle d'accès, et les administrateurs enquêtant sur les ajouts non autorisés d'appartenance à des groupes. L'événement se déclenche sur le contrôleur de domaine qui a traité la demande de modification de groupe, ce qui rend essentiel la collecte des journaux de tous les DC pour une visibilité complète.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4754 et les autres événements d'appartenance à un groupe ?+
L'ID d'événement 4754 suit spécifiquement les ajouts aux groupes universels activés pour la sécurité. L'ID d'événement 4728 couvre les groupes globaux, l'ID d'événement 4732 couvre les groupes locaux, et l'ID d'événement 4756 suit les suppressions des groupes universels. Les groupes universels sont uniques car ils peuvent contenir des membres de n'importe quel domaine dans la forêt et leur appartenance est répliquée à tous les catalogues globaux, rendant les changements plus impactants sur le trafic réseau et la réplication.
Pourquoi ne vois-je pas l'ID d'événement 4754 dans mon journal de sécurité ?+
L'ID d'événement 4754 nécessite que la politique 'Audit de la gestion des groupes de sécurité' soit activée. Vérifiez la Console de gestion des stratégies de groupe sous Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des groupes de sécurité. Assurez-vous qu'elle est définie sur 'Succès' ou 'Succès et échec'. Vérifiez également que le groupe en question est effectivement un groupe universel activé pour la sécurité, et non un groupe de distribution ou un autre type de groupe.
L'ID d'événement 4754 peut-il aider à détecter les attaques d'escalade de privilèges ?+
Oui, l'ID d'événement 4754 est crucial pour détecter les tentatives d'escalade de privilèges. Les attaquants ajoutent souvent des comptes compromis à des groupes universels privilégiés pour obtenir un accès élevé à travers les domaines. Surveillez les ajouts inattendus à des groupes à haut privilège, surtout en dehors des heures de travail ou par des comptes qui ne gèrent normalement pas les adhésions aux groupes. Corrélez avec les événements de connexion et recherchez des motifs tels que des ajouts de groupe successifs rapides ou des ajouts par des comptes récemment compromis.
Comment puis-je automatiser l'analyse de l'ID d'événement 4754 sur plusieurs contrôleurs de domaine ?+
Utilisez le transfert d'événements Windows pour centraliser les journaux de tous les contrôleurs de domaine vers un serveur collecteur. Créez des scripts PowerShell avec les cmdlets Get-WinEvent qui interrogent plusieurs ordinateurs en utilisant le paramètre -ComputerName. Mettez en œuvre des tâches planifiées ou utilisez des outils comme System Center Operations Manager ou des solutions SIEM tierces. Pour la surveillance en temps réel, envisagez des workflows PowerShell ou des tâches en arrière-plan qui surveillent en continu les journaux d'événements et déclenchent des alertes basées sur des critères prédéfinis.
Quelles informations dois-je documenter lors de l'enquête sur l'ID d'événement 4754 ?+
Documentez les détails complets de l'événement, y compris l'horodatage, le compte du sujet (qui a effectué la modification), le nom et le SID du groupe cible, le nom et le SID du membre ajouté, le poste de travail source et les informations sur le processus. Enregistrez la justification commerciale de la modification, si elle a été autorisée par la gestion des changements, et tout événement connexe dans la même période. Incluez la composition actuelle du groupe avant et après la modification, toute relation de groupe imbriquée et l'impact potentiel sur la sécurité. Cette documentation est essentielle pour les audits de conformité et les procédures de réponse aux incidents.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4754 and related group management eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for security group management monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4754

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...