ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory security audit console showing Event Viewer with security logs and group management interface
Event ID 4757InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4757 – Microsoft-Windows-Security-Auditing : Membre du groupe de sécurité universel supprimé

L'ID d'événement 4757 se déclenche lorsqu'un membre est retiré d'un groupe de sécurité universel dans Active Directory. Cet événement d'audit suit les changements d'appartenance aux groupes pour la conformité de sécurité et la surveillance du contrôle d'accès.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4757Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4757 représente un mécanisme d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsqu'un groupe de sécurité universel perd un membre, Windows génère cet événement pour maintenir une piste d'audit complète des modifications de l'appartenance au groupe. Les groupes universels diffèrent des groupes globaux et locaux de domaine car ils peuvent s'étendre sur plusieurs domaines au sein d'une forêt, rendant leurs changements d'appartenance particulièrement significatifs d'un point de vue sécurité.

La structure de l'événement comprend plusieurs champs de données qui fournissent des détails de niveau forensic sur la suppression de l'appartenance. Les champs Sujet identifient qui a effectué l'action, y compris leur nom de compte, domaine, ID de connexion et identifiant de sécurité. Les champs Membre spécifient quel compte a été supprimé, fournissant à la fois le nom de compte et le SID pour une identification précise. Les champs Groupe détaillent le groupe universel cible, y compris son nom, domaine et SID.

Windows génère cet événement sur le contrôleur de domaine qui traite la demande de modification de groupe. Dans les environnements à contrôleurs de domaine multiples, l'événement apparaît sur le DC spécifique qui a traité l'opération de modification LDAP. L'horodatage de l'événement reflète le moment où le service d'annuaire a validé le changement, et non le moment où l'outil administratif a initié la demande. Cette distinction devient importante lors de l'enquête sur des incidents de sécurité sensibles au temps ou de la corrélation d'événements sur plusieurs systèmes.

L'événement d'audit prend en charge les opérations réussies et échouées, bien que l'ID d'événement 4757 indique spécifiquement une suppression de membre réussie. Les tentatives échouées génèrent différents ID d'événements dans la plage 4750-4799, permettant aux administrateurs de distinguer entre les changements réussis et les scénarios d'accès refusé.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur supprimant manuellement un utilisateur ou un groupe d'un groupe de sécurité universel via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant des cmdlets Remove-ADGroupMember sur des groupes universels
  • Systèmes de provisionnement automatisés supprimant des comptes des groupes universels lors des workflows de déprovisionnement
  • Préférences de stratégie de groupe supprimant des membres des groupes de sécurité universels lors de l'application de la stratégie
  • Systèmes de gestion d'identité tiers synchronisant les appartenances aux groupes et supprimant les membres obsolètes
  • Exchange Server supprimant les membres de groupes de distribution qui sont également des groupes de sécurité universels
  • Comptes de service d'application supprimés des groupes universels lors de la désinstallation de logiciels
  • Opérations administratives en masse utilisant des outils comme les commandes csvde, ldifde ou dsmod
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez Observateur d'événements sur le contrôleur de domaine et accédez à Journaux WindowsSécurité. Filtrez pour l'ID d'événement 4757 pour examiner les suppressions récentes d'appartenance à un groupe.

# Filtrer le journal de sécurité pour l'ID d'événement 4757
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4757} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Examinez les détails de l'événement pour identifier :

  • Sujet : Qui a effectué la suppression (Nom du compte, Domaine du compte, ID de connexion)
  • Membre : Quel compte a été supprimé (Nom du membre, SID du membre)
  • Groupe : Groupe universel cible (Nom du groupe, Domaine du groupe, SID du groupe)
  • Informations supplémentaires : Privilèges utilisés pour l'opération

Recoupez l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour déterminer le poste de travail source et la méthode d'authentification utilisée par l'administrateur.

02

Interroger plusieurs contrôleurs de domaine pour un suivi d'audit complet

Les modifications de groupe universel peuvent se produire sur n'importe quel contrôleur de domaine dans la forêt. Interrogez tous les DCs pour construire une chronologie complète des modifications d'appartenance au groupe.

# Obtenez tous les contrôleurs de domaine dans la forêt
$DCs = (Get-ADForest).Domains | ForEach-Object { Get-ADDomainController -Filter * -Server $_ }

# Interrogez chaque DC pour l'ID d'événement 4757
$Results = @()
foreach ($DC in $DCs) {
    try {
        $Events = Get-WinEvent -ComputerName $DC.HostName -FilterHashtable @{LogName='Security'; Id=4757; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
        $Results += $Events | Select-Object @{n='DomainController';e={$DC.HostName}}, TimeCreated, Id, Message
    }
    catch {
        Write-Warning "Impossible d'interroger $($DC.HostName): $($_.Exception.Message)"
    }
}

# Affichez les résultats triés par heure
$Results | Sort-Object TimeCreated -Descending | Format-Table DomainController, TimeCreated, Message -Wrap

Cet approche garantit que vous capturez toutes les suppressions d'appartenance aux groupes universels à travers l'ensemble de la forêt Active Directory, ce qui est crucial pour les enquêtes de sécurité.

03

Corréler avec l'utilisation des outils administratifs

Identifiez quels outils d'administration ont été utilisés pour supprimer des membres de groupe en corrélant l'ID d'événement 4757 avec les événements de création de processus et les journaux d'authentification.

# Trouver les événements d'authentification liés pour le même ID de connexion
$GroupEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4757} -MaxEvents 1
$LogonId = ($GroupEvent.Message | Select-String 'Logon ID:\s+(\S+)').Matches[0].Groups[1].Value

# Trouver l'événement de connexion initial
$LogonEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {
    $_.Message -match "Logon ID:\s+$LogonId"
} | Select-Object -First 1

Write-Host "Détails de la modification du groupe :" -ForegroundColor Green
Write-Host "Heure : $($GroupEvent.TimeCreated)"
Write-Host "ID de connexion : $LogonId"

if ($LogonEvent) {
    Write-Host "\nDétails de l'authentification :" -ForegroundColor Green
    Write-Host "Heure de connexion : $($LogonEvent.TimeCreated)"
    Write-Host "Source : $($LogonEvent.Message | Select-String 'Source Network Address:\s+(\S+)' | ForEach-Object {$_.Matches[0].Groups[1].Value})"
    Write-Host "Processus : $($LogonEvent.Message | Select-String 'Process Name:\s+(.+)' | ForEach-Object {$_.Matches[0].Groups[1].Value})"
}

Vérifiez les événements concurrents d'ID d'événement 4688 (création de processus) pour identifier des outils d'administration spécifiques comme dsa.msc, powershell.exe, ou des applications de gestion tierces.

04

Analyser l'historique d'appartenance au groupe avec PowerShell

Créer un rapport d'audit complet montrant la chronologie des changements d'appartenance aux groupes universels pour des groupes ou utilisateurs spécifiques.

# Fonction pour analyser les changements d'appartenance aux groupes universels
function Get-UniversalGroupAudit {
    param(
        [string]$GroupName,
        [string]$MemberName,
        [int]$Days = 30
    )
    
    $StartTime = (Get-Date).AddDays(-$Days)
    $Events = @()
    
    # Obtenir les événements d'ajout (4756) et de suppression (4757)
    $EventIds = @(4756, 4757)
    
    foreach ($EventId in $EventIds) {
        $EventData = Get-WinEvent -FilterHashtable @{
            LogName = 'Security'
            Id = $EventId
            StartTime = $StartTime
        } -ErrorAction SilentlyContinue
        
        foreach ($Event in $EventData) {
            $Message = $Event.Message
            $GroupNameMatch = ($Message | Select-String 'Group Name:\s+(.+)').Matches[0].Groups[1].Value
            $MemberNameMatch = ($Message | Select-String 'Member Name:\s+(.+)').Matches[0].Groups[1].Value
            
            # Filtrer par groupe ou membre si spécifié
            if (($GroupName -and $GroupNameMatch -notlike "*$GroupName*") -or 
                ($MemberName -and $MemberNameMatch -notlike "*$MemberName*")) {
                continue
            }
            
            $Events += [PSCustomObject]@{
                Time = $Event.TimeCreated
                Action = if ($EventId -eq 4756) { "Ajouté" } else { "Supprimé" }
                Group = $GroupNameMatch
                Member = $MemberNameMatch
                Subject = ($Message | Select-String 'Account Name:\s+(.+)').Matches[0].Groups[1].Value
                EventId = $EventId
            }
        }
    }
    
    return $Events | Sort-Object Time -Descending
}

# Exemples d'utilisation
Get-UniversalGroupAudit -GroupName "Domain Admins" | Format-Table -AutoSize
Get-UniversalGroupAudit -MemberName "john.doe" | Format-Table -AutoSize

Ce script fournit une vue complète des changements d'appartenance aux groupes universels, aidant à identifier les modèles et les modifications non autorisées.

05

Configurer la surveillance avancée et les alertes

Configurez la surveillance proactive des changements critiques d'appartenance aux groupes universels en utilisant le transfert d'événements Windows et des scripts de surveillance PowerShell personnalisés.

# Créer une tâche planifiée pour surveiller les groupes universels critiques
$TaskName = "Monitor-CriticalUniversalGroups"
$ScriptPath = "C:\Scripts\Monitor-UniversalGroups.ps1"

# Créer le script de surveillance
$MonitorScript = @'
$CriticalGroups = @("Domain Admins", "Enterprise Admins", "Schema Admins")
$Events = Get-WinEvent -FilterHashtable @{LogName="Security"; Id=@(4756,4757); StartTime=(Get-Date).AddMinutes(-5)} -ErrorAction SilentlyContinue

foreach ($Event in $Events) {
    $GroupName = ($Event.Message | Select-String "Group Name:\s+(.+)").Matches[0].Groups[1].Value
    if ($CriticalGroups -contains $GroupName) {
        $Action = if ($Event.Id -eq 4756) { "ADDED TO" } else { "REMOVED FROM" }
        $Member = ($Event.Message | Select-String "Member Name:\s+(.+)").Matches[0].Groups[1].Value
        $Subject = ($Event.Message | Select-String "Account Name:\s+(.+)").Matches[0].Groups[1].Value
        
        $AlertMessage = "CRITICAL: $Member was $Action $GroupName by $Subject at $($Event.TimeCreated)"
        Write-EventLog -LogName Application -Source "UniversalGroupMonitor" -EventId 1001 -EntryType Warning -Message $AlertMessage
        
        # Envoyer une alerte par email (configurer les paramètres SMTP)
        # Send-MailMessage -To "admin@company.com" -Subject "Critical Group Change" -Body $AlertMessage -SmtpServer "smtp.company.com"
    }
}
'@

# Enregistrer le script
$MonitorScript | Out-File -FilePath $ScriptPath -Encoding UTF8

# Créer une source d'événements pour les alertes personnalisées
New-EventLog -LogName Application -Source "UniversalGroupMonitor" -ErrorAction SilentlyContinue

# Créer une tâche planifiée pour s'exécuter toutes les 5 minutes
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File $ScriptPath"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount

Register-ScheduledTask -TaskName $TaskName -Action $Action -Trigger $Trigger -Settings $Settings -Principal $Principal -Description "Monitor critical universal group membership changes"

Astuce pro : Configurez le transfert d'événements Windows pour centraliser l'ID d'événement 4757 de tous les contrôleurs de domaine vers un collecteur de journaux dédié pour une surveillance et une corrélation plus faciles.

Aperçu

L'ID d'événement 4757 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un membre est retiré d'un groupe de sécurité universel dans Active Directory. Cet événement fait partie de la politique d'audit avancée de Windows et n'apparaît que lorsque l'audit d'accès aux objets est activé pour les modifications du service d'annuaire. Les groupes universels sont essentiels dans les forêts Active Directory multi-domaines car ils peuvent contenir des membres de n'importe quel domaine et se voir attribuer des autorisations dans l'ensemble de la forêt.

Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a retiré le membre, quel groupe a été modifié et quel compte a été retiré. L'événement se déclenche immédiatement lorsque le changement de membre du groupe se produit, ce qui le rend précieux pour la surveillance de la sécurité en temps réel et l'audit de conformité.

Les administrateurs système s'appuient sur l'ID d'événement 4757 pour suivre les changements non autorisés de membres de groupe, enquêter sur les incidents de sécurité et maintenir des pistes d'audit pour les exigences de conformité telles que SOX, HIPAA ou PCI-DSS. L'événement contient des détails cruciaux, y compris l'identifiant de sécurité (SID) du groupe et du membre retiré, le contrôleur de domaine qui a traité le changement, et le contexte d'authentification de l'utilisateur qui a effectué l'action.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4757 et des événements similaires d'appartenance à un groupe ?+
L'ID d'événement 4757 suit spécifiquement la suppression de membres des groupes de sécurité universels. L'ID d'événement 4756 suit les ajouts de membres aux groupes universels, tandis que 4728/4729 gèrent les groupes globaux et 4732/4733 gèrent les groupes locaux. Les groupes universels sont uniques car ils peuvent contenir des membres de n'importe quel domaine de la forêt et peuvent se voir attribuer des autorisations dans toute la forêt, rendant leurs événements d'audit particulièrement importants pour la surveillance de la sécurité.
Pourquoi ne vois-je pas l'ID d'événement 4757 dans mon journal de sécurité ?+
L'ID d'événement 4757 n'apparaît que lorsque la stratégie d'audit avancée est activée pour les modifications du service d'annuaire. Vérifiez vos paramètres de stratégie de groupe sous Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée → Accès DS. Activez 'Audit des modifications du service d'annuaire' pour les événements de réussite. De plus, assurez-vous de vérifier le journal de sécurité sur les contrôleurs de domaine, pas sur les serveurs membres ou les postes de travail.
L'ID d'événement 4757 peut-il aider à identifier les changements non autorisés d'appartenance à un groupe ?+
Oui, l'ID d'événement 4757 est excellent pour détecter les modifications non autorisées. L'événement inclut les champs Sujet indiquant qui a effectué la suppression, y compris leur nom de compte, domaine et ID de connexion. Recoupez cela avec l'ID d'événement 4624 (événements de connexion) pour déterminer la station de travail source et la méthode d'authentification. Recherchez les suppressions effectuées en dehors des heures de bureau normales, à partir d'IPs sources inhabituelles, ou par des comptes qui ne devraient pas avoir de privilèges administratifs.
Comment puis-je corréler l'ID d'événement 4757 avec les outils d'administration utilisés ?+
Corrélez l'ID de connexion de l'ID d'événement 4757 avec l'ID d'événement 4624 (connexion réussie) pour identifier la session d'authentification. Ensuite, vérifiez les événements d'ID d'événement 4688 (création de processus) avec le même ID de connexion pour voir quels processus ont été lancés. Les outils courants incluent dsa.msc (Utilisateurs et ordinateurs Active Directory), powershell.exe avec les cmdlets AD, ou des applications tierces de gestion des identités. Les événements de création de processus montreront la ligne de commande complète utilisée.
Que dois-je faire si je trouve des entrées d'ID d'événement 4757 suspectes ?+
Tout d'abord, vérifiez la légitimité en consultant le propriétaire du compte indiqué dans les champs Sujet. Examinez le timing et le contexte - cela s'est-il produit pendant une fenêtre de maintenance planifiée ou un départ d'utilisateur ? Vérifiez si le membre supprimé a encore besoin d'accès en examinant son rôle et ses responsabilités actuels. Enquêtez sur le poste de travail source en utilisant les événements d'authentification et recherchez d'autres activités suspectes provenant du même compte ou de l'adresse IP. Envisagez de désactiver temporairement le compte qui a effectué la suppression s'il semble compromis, et examinez tous les changements récents d'appartenance au groupe effectués par ce compte.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4757 and related directory service audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies required to generate Event ID 4757 and other directory service audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4757

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...