ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Active Directory security audit logs for group membership monitoring
Event ID 4756InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4756 – Microsoft-Windows-Security-Auditing : Membre ajouté au groupe de sécurité universel

L'ID d'événement 4756 se déclenche lorsqu'un membre est ajouté à un groupe de sécurité universel dans Active Directory. Cet événement d'audit de sécurité suit les changements d'appartenance aux groupes pour la conformité et la surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4756Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4756 est généré par le sous-système d'audit de sécurité Windows lorsque Active Directory traite une demande d'ajout d'un membre à un groupe de sécurité universel. Les groupes universels peuvent contenir des membres de n'importe quel domaine de la forêt et peuvent se voir accorder des autorisations pour des ressources dans n'importe quel domaine, rendant leurs changements de membres particulièrement significatifs d'un point de vue sécurité.

L'événement contient plusieurs champs clés, y compris le nom distingué et le SID du groupe cible, le SID et le nom de compte du membre ajouté, ainsi que le sujet qui a effectué l'action. L'événement inclut également l'ID de connexion et le package d'authentification utilisé, fournissant une piste d'audit complète pour l'analyse judiciaire.

Cet événement ne se déclenche que lorsque la politique d'audit pour la gestion des comptes est activée sur les contrôleurs de domaine. L'événement apparaît en temps réel lorsque des changements de groupe se produisent et est répliqué sur tous les contrôleurs de domaine du domaine. Les équipes de sécurité utilisent cet événement pour détecter les ajouts non autorisés à des groupes sensibles, suivre les actions administratives et maintenir la conformité avec les exigences réglementaires qui imposent l'audit de l'appartenance aux groupes.

L'événement est particulièrement précieux pour surveiller les administrateurs d'entreprise, les administrateurs de schéma et les groupes universels personnalisés qui ont reçu des autorisations sensibles à travers la forêt. Les systèmes de surveillance automatisés déclenchent souvent des alertes lorsque des membres sont ajoutés à ces groupes à haut privilège en dehors des fenêtres de changement approuvées.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur ajoutant manuellement un utilisateur ou un ordinateur à un groupe de sécurité universel via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell utilisant la cmdlet Add-ADGroupMember pour modifier l'appartenance à un groupe universel
  • Systèmes de provisionnement automatisés ajoutant des comptes à des groupes universels lors de l'intégration des utilisateurs
  • Préférences de stratégie de groupe ou scripts de démarrage modifiant les appartenances aux groupes
  • Outils de gestion d'identité tiers synchronisant les appartenances aux groupes
  • Exchange Server ajoutant des comptes à des groupes de distribution universels convertis en groupes de sécurité
  • Comptes de service d'application ajoutés à des groupes universels pour un accès inter-domaines
  • Ajouts de groupes imbriqués où un groupe global est ajouté à un groupe universel
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails de l'événement pour comprendre quel groupe a été modifié et par qui.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4756 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les détails
  5. Examinez la section Sujet pour identifier qui a effectué le changement
  6. Vérifiez la section Groupe pour les détails du groupe universel cible
  7. Examinez la section Membre pour voir quel compte a été ajouté
  8. Notez l'horodatage et corrélez avec toute demande de changement approuvée

Champs clés à examiner :

  • Nom du compte sujet : Qui a effectué l'action
  • Nom du groupe : Quel groupe universel a été modifié
  • Nom du membre : Quel compte a été ajouté
  • SID du membre : Identifiant de sécurité du membre ajouté
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser l'ID d'événement 4756 sur plusieurs contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les ajouts récents de membres de groupe :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4756} -MaxEvents 50 | Select-Object TimeCreated, @{Name='Subject';Expression={($_.Properties[1].Value)}}, @{Name='GroupName';Expression={($_.Properties[5].Value)}}, @{Name='MemberName';Expression={($_.Properties[8].Value)}}
  1. Filtrer pour des groupes universels spécifiques :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4756} | Where-Object {$_.Message -like '*Enterprise Admins*'} | Format-Table TimeCreated, Id, LevelDisplayName
  1. Interroger sur plusieurs contrôleurs de domaine :
$DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)"
    Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4756; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
}
  1. Exporter les résultats pour analyse :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4756; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\GroupMembershipChanges.csv" -NoTypeInformation
03

Vérifier l'appartenance au groupe et les autorisations

Valider l'appartenance actuelle au groupe et évaluer l'impact de sécurité de l'ajout.

  1. Vérifier l'appartenance actuelle au groupe universel :
Get-ADGroup -Identity "GroupName" -Properties Members | Select-Object -ExpandProperty Members | Get-ADObject
  1. Vérifier les détails du compte ajouté :
Get-ADUser -Identity "AddedUserName" -Properties MemberOf, LastLogonDate, PasswordLastSet | Select-Object Name, SamAccountName, MemberOf, LastLogonDate, PasswordLastSet
  1. Vérifier les permissions du groupe à travers la forêt :
$Group = Get-ADGroup -Identity "GroupName"
Get-ADObject -Filter {nTSecurityDescriptor -like "*$($Group.SID)*"} -Properties nTSecurityDescriptor
  1. Examiner les appartenances aux groupes imbriqués :
Get-ADPrincipalGroupMembership -Identity "AddedUserName" | Where-Object {$_.GroupScope -eq "Universal"}
  1. Valider par rapport aux listes d'accès approuvées :
  • Comparer l'appartenance actuelle avec les utilisateurs autorisés documentés
  • Vérifier si l'ajout suit les procédures de gestion des changements
  • Vérifier la justification commerciale pour l'appartenance au groupe
Avertissement : Les groupes universels avec des privilèges d'Enterprise Admin ou de Schema Admin nécessitent une validation immédiate de tout changement d'appartenance.
04

Enquêter sur les modifications non autorisées

Effectuer une analyse médico-légale détaillée lorsque des changements suspects d'appartenance à un groupe sont détectés.

  1. Corréler avec les événements de connexion pour le compte sujet :
$SubjectSID = "S-1-5-21-..."
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like "*$SubjectSID*"}
  1. Vérifier les événements de sécurité liés :
$TimeWindow = (Get-Date).AddMinutes(-30)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4729,4732,4733,4756,4757; StartTime=$TimeWindow} | Sort-Object TimeCreated
  1. Examiner les journaux d'authentification sur le système source :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4648} | Where-Object {$_.Properties[5].Value -eq "SubjectAccountName"}
  1. Examiner les événements de création de processus si disponibles :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*dsa.msc*" -or $_.Message -like "*powershell*"}
  1. Vérifier les indicateurs d'escalade de privilèges :
  • Vérifier si le compte sujet a récemment acquis des privilèges administratifs
  • Vérifier les schémas d'accès normaux et les responsabilités du compte
  • Vérifier les activités suspectes simultanées du même compte
  • Valider l'adresse IP source et la méthode d'authentification utilisée
  1. Documenter les résultats et prendre des mesures correctives :
  • Retirer l'appartenance non autorisée au groupe si confirmée malveillante
  • Réinitialiser les mots de passe des comptes compromis
  • Mettre en place une surveillance supplémentaire pour les groupes affectés
  • Mettre à jour les politiques de sécurité pour prévenir des incidents similaires
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance proactive pour détecter et répondre aux changements d'appartenance aux groupes universels en temps réel.

  1. Créez un script de surveillance PowerShell :
# Monitor-UniversalGroupChanges.ps1
$SensitiveGroups = @("Enterprise Admins", "Schema Admins", "Domain Admins")
$LastCheck = (Get-Date).AddMinutes(-5)

foreach ($Group in $SensitiveGroups) {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4756; StartTime=$LastCheck} | Where-Object {$_.Message -like "*$Group*"}
    if ($Events) {
        Send-MailMessage -To "security@company.com" -Subject "ALERT: $Group membership changed" -Body $Events.Message -SmtpServer "mail.company.com"
    }
}
  1. Configurez le transfert d'événements Windows (WEF) :
  • Configurez un collecteur de journaux central pour tous les contrôleurs de domaine
  • Configurez l'abonnement pour transférer l'ID d'événement 4756
  • Créez des vues personnalisées pour les changements de groupes universels
  1. Implémentez l'intégration SIEM :
# Export events in JSON format for SIEM ingestion
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4756} -MaxEvents 100 | ConvertTo-Json | Out-File "C:\Logs\GroupChanges.json"
  1. Configurez une tâche planifiée pour la surveillance :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-UniversalGroupChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "MonitorUniversalGroups" -Action $Action -Trigger $Trigger -RunLevel Highest
  1. Créez des vues personnalisées dans l'Observateur d'événements :
  • Ouvrez l'Observateur d'événements et créez une vue personnalisée
  • Filtrez pour l'ID d'événement 4756 à partir du journal de sécurité
  • Enregistrez la vue sous "Universal Group Changes"
  • Configurez les notifications par email via le Planificateur de tâches
Astuce pro : Utilisez la stratégie de groupe pour activer les politiques d'audit avancées sur tous les contrôleurs de domaine afin d'assurer une journalisation cohérente de l'ID d'événement 4756.

Aperçu

L'ID d'événement 4756 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est ajouté à un groupe de sécurité universel dans Active Directory. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a ajouté le membre, quel groupe a été modifié et quel compte a été ajouté. Les groupes universels sont utilisés à travers les domaines dans une forêt, rendant cet événement crucial pour suivre les changements de sécurité inter-domaines.

L'événement se déclenche immédiatement lorsque des changements d'appartenance à un groupe se produisent via Utilisateurs et ordinateurs Active Directory, les cmdlets PowerShell ou les interfaces programmatiques. Il capture à la fois les comptes d'utilisateur et d'ordinateur ajoutés aux groupes de sécurité universels. Cet événement est essentiel pour l'audit de sécurité, le rapport de conformité et la détection des modifications non autorisées de groupes qui pourraient conduire à une élévation de privilèges.

Les administrateurs de domaine comptent sur cet événement pour surveiller les changements apportés aux groupes universels à privilèges élevés comme les Administrateurs de l'entreprise ou les groupes de sécurité personnalisés avec des permissions élevées. L'événement fournit l'identifiant de sécurité (SID) à la fois du groupe et du membre ajouté, ainsi que le compte qui a effectué l'action.

Questions Fréquentes

Que signifie l'ID d'événement 4756 et quand se produit-il ?+
L'ID d'événement 4756 indique qu'un membre a été ajouté à un groupe de sécurité universel dans Active Directory. Cet événement se déclenche immédiatement lorsqu'un administrateur, un script ou une application ajoute un utilisateur, un ordinateur ou un groupe à un groupe de sécurité universel. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations d'audit détaillées, y compris qui a effectué le changement, quel groupe a été modifié et quel compte a été ajouté. Les groupes universels sont importants car ils peuvent contenir des membres de n'importe quel domaine de la forêt et peuvent se voir accorder des permissions à travers les domaines.
Comment puis-je identifier quel groupe universel spécifique a été modifié dans l'ID d'événement 4756 ?+
Les informations du groupe universel sont contenues dans les détails de l'événement sous la section 'Groupe'. Vous pouvez trouver le nom du groupe dans le champ 'Nom du groupe' et le nom distingué du groupe dans le champ 'Domaine du groupe'. Lors de la visualisation de l'événement dans l'Observateur d'événements, recherchez des champs comme 'ID de sécurité' et 'Nom du groupe' qui montreront le groupe universel exact qui a été modifié. Dans les requêtes PowerShell, vous pouvez extraire cette information en utilisant $_.Properties[5].Value pour obtenir le nom du groupe à partir du tableau des propriétés de l'événement.
Pourquoi ne vois-je pas l'ID d'événement 4756 dans mes journaux de sécurité ?+
L'ID d'événement 4756 nécessite l'activation de paramètres spécifiques de stratégie d'audit. Vous devez configurer 'Audit de la gestion des comptes' sous Configuration avancée de la stratégie d'audit sur vos contrôleurs de domaine. Cela peut être fait via la stratégie de groupe à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des groupes de sécurité. Réglez ceci sur 'Succès' pour enregistrer les ajouts réussis d'appartenance à un groupe. De plus, assurez-vous de vérifier le journal de sécurité sur les contrôleurs de domaine, pas sur les serveurs membres, car cet événement n'apparaît que sur les DC.
Comment puis-je différencier les changements d'appartenance à un groupe universel autorisés et non autorisés ?+
Pour identifier les changements non autorisés, corrélez l'ID d'événement 4756 avec vos processus de gestion des changements et les modèles administratifs normaux. Vérifiez le champ 'Sujet' pour voir qui a effectué le changement et comparez cela avec les demandes de changement approuvées. Regardez l'horodatage pour voir si les changements ont eu lieu pendant les heures de bureau normales ou les fenêtres de maintenance. Examinez le poste de travail source et la méthode d'authentification utilisée. Pour les groupes à privilèges élevés comme les Administrateurs d'entreprise, toute addition inattendue doit être immédiatement investiguée. Mettez en œuvre une surveillance de base pour comprendre les modèles normaux d'appartenance aux groupes et alerter sur les écarts.
L'ID d'événement 4756 peut-il aider à détecter les attaques d'escalade de privilèges ?+
Oui, l'ID d'événement 4756 est crucial pour détecter les attaques d'escalade de privilèges ciblant les groupes universels. Les attaquants ajoutent souvent des comptes compromis à des groupes universels à haut privilège pour obtenir un accès à l'ensemble de la forêt. Surveillez les ajouts à des groupes sensibles comme Enterprise Admins, Schema Admins, ou des groupes personnalisés avec des permissions élevées. Recherchez des modèles tels que des comptes de service ajoutés à des groupes administratifs, des ajouts en dehors des heures ouvrables, ou plusieurs changements de groupe rapides. Corrélez ces événements avec les journaux d'authentification (ID d'événement 4624) et les événements de création de processus (ID d'événement 4688) pour construire une chronologie complète de l'attaque. L'alerte automatisée sur les changements de groupes sensibles permet une réponse rapide aux incidents.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4756 and related group management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies required for Event ID 4756 logging.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4756

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...