ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with security audit logs for account management events
Event ID 4755InformationSecurityWindows

ID d'événement Windows 4755 – Sécurité : Compte utilisateur activé

L'ID d'événement 4755 enregistre lorsqu'un compte utilisateur est activé dans Active Directory ou la base de données de sécurité locale. Cet événement d'audit de sécurité suit les activités de gestion des comptes à des fins de conformité et de surveillance.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4755Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4755 représente un événement d'audit de sécurité fondamental qui suit l'activation des comptes utilisateurs dans les environnements Windows. Lorsqu'un compte utilisateur passe d'un état désactivé à un état activé, le sous-système de l'Autorité de Sécurité Locale (LSA) génère cet événement et l'écrit dans le journal des événements de sécurité.

La structure de l'événement inclut des données forensiques critiques : le nom et le domaine du compte cible, le sujet qui a effectué l'action, les détails de la session de connexion et les informations de l'horodatage. Cette journalisation granulaire aide les équipes de sécurité à suivre la gestion du cycle de vie des comptes et à détecter les manipulations non autorisées des comptes.

Dans les environnements Active Directory, les contrôleurs de domaine génèrent l'ID d'événement 4755 lorsque les administrateurs utilisent des outils comme Utilisateurs et ordinateurs Active Directory, le cmdlet Enable-ADAccount de PowerShell, ou des systèmes de gestion d'identité tiers pour activer des comptes utilisateurs. Les systèmes locaux produisent cet événement lorsque des comptes utilisateurs locaux sont activés via la Gestion de l'ordinateur, les commandes net user, ou des interfaces programmatiques.

L'événement s'avère particulièrement précieux lors d'incidents de sécurité où des attaquants pourraient activer des comptes dormants pour persister. Les équipes de sécurité peuvent corréler l'ID d'événement 4755 avec les événements de connexion (4624) pour identifier des modèles d'activation de comptes suspects. Les solutions SIEM modernes analysent ces événements pour créer des alertes automatisées lorsque des comptes à privilèges élevés sont activés en dehors des heures normales de travail.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur activant manuellement un compte utilisateur désactivé via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell utilisant les cmdlets Enable-ADAccount ou Set-ADUser pour activer des comptes de domaine
  • Activation de compte local via la console de gestion de l'ordinateur ou les commandes net user
  • Systèmes de gestion d'identité automatisés réactivant des comptes en fonction des flux de travail RH
  • Traitement des stratégies de groupe modifiant les états des comptes lors du démarrage du système
  • Outils de gouvernance d'identité tiers effectuant des opérations de compte en masse
  • Comptes de service activés après des fenêtres de maintenance ou des mises à jour système
  • Acteurs malveillants activant des comptes dormants pour la persistance ou l'escalade de privilèges
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner l'entrée spécifique de l'ID d'événement 4755 pour comprendre quel compte a été activé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en cliquant sur OK
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 4755 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée de l'ID d'événement 4755 pour voir les détails
  6. Examinez les champs clés suivants :
    • Sujet : Indique qui a activé le compte (Nom du compte, Domaine du compte, ID de connexion)
    • Compte cible : Affiche les détails du compte activé (Nom du compte, Domaine du compte, ID de sécurité)
    • Informations supplémentaires : Contient les privilèges utilisés pour l'opération

La description de l'événement montrera exactement quel compte a été activé et fournira le contexte de sécurité de l'opération.

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4755 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents d'activation de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data[1].'#text'
        SubjectDomainName = $Event.Event.EventData.Data[2].'#text'
        TargetUserName = $Event.Event.EventData.Data[4].'#text'
        TargetDomainName = $Event.Event.EventData.Data[5].'#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755} | Export-Csv -Path "C:\Temp\AccountEnabled_Events.csv" -NoTypeInformation
03

Enquêter sur le statut du compte dans Active Directory

Vérifiez l'état actuel du compte activé et examinez ses propriétés pour l'évaluation de la sécurité.

  1. Ouvrez Active Directory Users and Computers à partir des Outils d'administration
  2. Accédez à l'unité organisationnelle contenant le compte cible
  3. Cliquez avec le bouton droit sur le compte utilisateur et sélectionnez Propriétés
  4. Vérifiez l'onglet Compte pour vérifier l'état actuel du compte
  5. Examinez les propriétés du compte pour des changements suspects:
    • Dernière heure de connexion et poste de travail
    • Paramètres d'expiration du compte
    • Appartenances aux groupes et permissions déléguées
    • Date de dernier changement de mot de passe
  6. Utilisez PowerShell pour obtenir des détails complets sur le compte:
    Get-ADUser -Identity "username" -Properties * | Select-Object Name, Enabled, LastLogonDate, PasswordLastSet, MemberOf, AccountExpirationDate
  7. Vérifiez les modifications récentes du compte:
    Get-ADUser -Identity "username" -Properties whenChanged, whenCreated | Select-Object Name, whenCreated, whenChanged
  8. Examinez les changements d'appartenance aux groupes:
    Get-ADPrincipalGroupMembership -Identity "username" | Select-Object Name, GroupScope, GroupCategory
Astuce pro : Recoupez l'heure d'activation avec d'autres événements de sécurité comme 4728 (membre ajouté au groupe) pour détecter les tentatives d'escalade de privilèges.
04

Corréler avec les événements d'authentification

Analyser les schémas d'authentification après l'activation du compte pour détecter les tentatives d'accès non autorisées.

  1. Rechercher les événements de connexion après l'activation du compte :
    $EnableTime = (Get-Date "2026-03-18 10:30:00")
$SearchEnd = $EnableTime.AddHours(24)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$EnableTime; EndTime=$SearchEnd} | Where-Object {$_.Message -like "*username*"}
  2. Vérifier les tentatives de connexion échouées avant l'activation :
    $SearchStart = $EnableTime.AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$SearchStart; EndTime=$EnableTime} | Where-Object {$_.Message -like "*username*"}
  3. Examiner les types de connexion et les stations de travail source :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | ForEach-Object {
    $Event = [xml]$_.ToXml()
    if ($Event.Event.EventData.Data[5].'#text' -eq "username") {
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            LogonType = $Event.Event.EventData.Data[8].'#text'
            WorkstationName = $Event.Event.EventData.Data[11].'#text'
            SourceIP = $Event.Event.EventData.Data[18].'#text'
        }
    }
}
  4. Générer un rapport chronologique :
    $Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755} | Where-Object {$_.Message -like "*username*"}
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.Message -like "*username*"}
$Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id, Message -Wrap
Avertissement : Une activité de connexion immédiate après l'activation du compte, en particulier depuis des emplacements inhabituels ou en dehors des heures de bureau, peut indiquer un compromis.
05

Mettre en œuvre la surveillance et l'alerte

Configurez une surveillance proactive pour détecter les activités d'activation de compte non autorisées en temps réel.

  1. Créez une vue personnalisée dans l'Observateur d'événements pour l'ID d'événement 4755:
    • Dans l'Observateur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Sélectionnez Par journal et cochez Sécurité
    • Entrez 4755 dans le champ ID d'événements
    • Nommer la vue "Événements d'activation de compte" et enregistrez
  2. Configurez le transfert d'événements Windows pour la journalisation centralisée:
    # Sur le serveur collecteur
wecutil qc
wecutil cs subscription.xml
  3. Créez un script de surveillance PowerShell:
    # Monitor-AccountEnablement.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
$NewEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4755; StartTime=$LastCheck}

foreach ($Event in $NewEvents) {
    $EventXML = [xml]$Event.ToXml()
    $TargetUser = $EventXML.Event.EventData.Data[4].'#text'
    $SubjectUser = $EventXML.Event.EventData.Data[1].'#text'
    
    # Envoyer une alerte pour les comptes à privilèges élevés
    if ($TargetUser -match "admin|service|sql") {
        Send-MailMessage -To "security@company.com" -Subject "Compte à privilèges élevés activé" -Body "Compte $TargetUser activé par $SubjectUser à $($Event.TimeCreated)"
    }
}
  4. Planifiez le script de surveillance:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-AccountEnablement.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "MonitorAccountEnablement" -Action $Action -Trigger $Trigger
  5. Configurez la stratégie d'audit pour garantir la génération de l'ID d'événement 4755:
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
Conseil pro : Intégrez avec des solutions SIEM comme Microsoft Sentinel ou Splunk pour des capacités avancées de corrélation et de réponse automatisée.

Aperçu

L'ID d'événement 4755 se déclenche chaque fois qu'un compte utilisateur est activé dans Windows, que ce soit via Active Directory Users and Computers, des commandes PowerShell ou des modifications programmatiques. Cet événement d'audit de sécurité apparaît dans le journal de sécurité et fournit des informations cruciales sur qui a activé le compte, quand cela s'est produit et quel compte a été affecté.

L'événement capture les activités d'activation de compte à la fois de domaine et local. Lorsqu'un compte utilisateur désactivé est réactivé, Windows génère cet événement pour maintenir une trace d'audit des opérations de gestion des comptes. Cela s'avère essentiel pour les cadres de conformité de sécurité comme SOX, HIPAA et PCI-DSS qui exigent une journalisation détaillée des activités des comptes privilégiés.

Les contrôleurs de domaine enregistrent cet événement lorsque les administrateurs activent des comptes d'utilisateurs de domaine, tandis que les serveurs membres et les stations de travail le génèrent pour les modifications de comptes locaux. L'événement inclut l'identifiant de sécurité (SID) à la fois du compte cible et du compte effectuant l'action, ce qui le rend précieux pour les enquêtes judiciaires et les examens d'accès.

Questions Fréquentes

Que signifie l'ID d'événement 4755 et quand se produit-il ?+
L'ID d'événement 4755 indique qu'un compte utilisateur a été activé dans Windows. Cet événement d'audit de sécurité se déclenche chaque fois qu'un compte passe de l'état désactivé à l'état activé, qu'il s'agisse d'un compte de domaine géré via Active Directory ou d'un compte local sur un système autonome. L'événement capture qui a effectué l'action, quel compte a été activé et quand cela s'est produit. Cela est crucial pour maintenir des pistes d'audit des activités de gestion des comptes et détecter les manipulations de comptes non autorisées qui pourraient indiquer des violations de sécurité ou des menaces internes.
Comment puis-je déterminer qui a activé un compte utilisateur en utilisant l'ID d'événement 4755 ?+
L'entrée de l'ID d'événement 4755 contient des informations détaillées sur le sujet (qui a effectué l'action) et le compte cible. Dans les détails de l'événement, recherchez la section 'Sujet' qui montre le nom du compte, le domaine du compte et l'ID de connexion de la personne qui a activé le compte. Vous pouvez également utiliser PowerShell pour extraire ces informations de manière programmatique en analysant les données XML de l'événement. Les champs SubjectUserName et SubjectDomainName identifient spécifiquement qui a initié l'opération d'activation du compte, ce qui facilite le suivi de la responsabilité des actions de gestion des comptes.
Dois-je m'inquiéter de l'apparition de l'ID d'événement 4755 dans mes journaux de sécurité ?+
L'ID d'événement 4755 n'est pas intrinsèquement préoccupant car il fait partie intégrante de la gestion du cycle de vie des comptes. Cependant, vous devriez enquêter si l'activation se produit en dehors des processus commerciaux normaux, implique des comptes à privilèges élevés, se produit en dehors des heures de bureau, ou est suivie immédiatement par une activité de connexion suspecte. Portez une attention particulière aux comptes de service, aux comptes administratifs ou aux comptes d'utilisateurs inactifs activés de manière inattendue. Corrélez ces événements avec les journaux d'authentification (ID d'événements 4624/4625) pour identifier les incidents de sécurité potentiels où des attaquants pourraient activer des comptes pour la persistance ou l'escalade de privilèges.
Comment configurer Windows pour générer l'ID d'événement 4755 pour l'audit de gestion des comptes ?+
Pour garantir que l'ID d'événement 4755 est généré, vous devez activer l'audit de la gestion des comptes utilisateurs dans votre stratégie d'audit. Utilisez la commande 'auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable' pour configurer ce paramètre. Dans les environnements de stratégie de groupe, accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Gestion des comptes et activez 'Audit de la gestion des comptes utilisateurs' pour les événements de réussite et d'échec. Cela garantit une journalisation complète de toutes les activités d'activation de compte dans votre environnement Windows.
L'ID d'événement 4755 peut-il aider à détecter des violations de sécurité ou des menaces internes ?+
Oui, l'ID d'événement 4755 est précieux pour détecter les violations de sécurité et les menaces internes. Les attaquants activent souvent des comptes dormants ou de service pour maintenir la persistance dans des environnements compromis. Surveillez les schémas inhabituels tels que les comptes activés en dehors des heures de bureau, les comptes à privilèges élevés activés sans approbation appropriée de gestion des changements, ou l'activation suivie d'une authentification immédiate depuis des emplacements inhabituels. Créez des alertes automatisées pour les activations de comptes critiques et établissez des bases de référence pour les activités normales de gestion des comptes. Corréler l'ID d'événement 4755 avec d'autres événements de sécurité comme les échecs de connexion (4625) avant l'activation ou les événements d'escalade de privilèges (4728) peut révéler des schémas d'attaque sophistiqués.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4755 and account management monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring audit policies to capture account management events like Event ID 4755https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4755

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...