ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event ID 4758 account management logs in a professional SOC environment
Event ID 4758InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4758 – Microsoft-Windows-Security-Auditing : Compte utilisateur activé

L'ID d'événement 4758 se déclenche lorsqu'un compte utilisateur est activé dans Active Directory ou la base de données SAM locale. Cet événement d'audit de sécurité suit les changements d'état des comptes à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4758Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4758 représente un mécanisme fondamental d'audit de sécurité dans les environnements Windows. Lorsqu'un compte utilisateur passe de l'état désactivé à l'état activé, Windows génère cet événement pour maintenir une trace d'audit des activités de gestion des comptes. L'événement contient des données structurées, y compris l'identifiant de sécurité (SID) du compte modifié et du compte effectuant la modification.

Dans les environnements Active Directory, cet événement se déclenche sur les contrôleurs de domaine lorsque les comptes sont activés via diverses interfaces de gestion. L'événement capture non seulement le changement de compte mais aussi des informations contextuelles telles que le poste de travail d'où provient le changement et les détails de la session de connexion de l'administrateur effectuant l'action. Cette journalisation complète soutient à la fois la surveillance de la sécurité et les exigences de conformité.

La structure de l'événement inclut des champs pour le nom du compte cible, le domaine, le SID, et le sujet (administrateur) effectuant l'action. Des champs supplémentaires capturent l'ID de connexion, le package d'authentification utilisé, et les informations du processus. Ce détail granulaire permet aux équipes de sécurité de corréler les activités d'activation de compte avec d'autres événements de sécurité, créant une image complète des actions administratives au sein de l'environnement.

Les organisations surveillent généralement cet événement dans le cadre de programmes de gestion de comptes privilégiés, de détection de menaces internes, et de cadres de conformité nécessitant des traces d'audit des modifications de compte. L'événement s'intègre aux systèmes de gestion des informations et des événements de sécurité (SIEM) et peut déclencher des réponses automatisées lorsque des modèles suspects d'activation de compte sont détectés.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • L'administrateur active manuellement un compte utilisateur désactivé via Active Directory Users and Computers
  • Des scripts PowerShell ou cmdlets comme Enable-ADAccount sont exécutés pour activer des comptes
  • Des outils en ligne de commande tels que net user ou dsmod sont utilisés pour activer des comptes
  • Des systèmes automatisés ou des comptes de service activent des comptes utilisateurs dans le cadre de flux de travail de provisionnement
  • Des stratégies de groupe ou des scripts de connexion qui activent des comptes de manière programmatique en fonction de conditions
  • Des systèmes de gestion d'identité tiers effectuant des changements d'état de compte via LDAP ou d'autres protocoles
  • Procédures de récupération où les comptes désactivés sont réactivés après des incidents de sécurité
  • Opérations de compte en masse utilisant des importations CSV ou des outils de traitement par lots
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4758 pour comprendre le contexte de l'action d'activation du compte.

  1. Ouvrez Observateur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4758 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4758 pour voir des informations détaillées
  6. Examinez l'onglet Général pour obtenir des informations de base sur l'événement et l'horodatage
  7. Cliquez sur l'onglet Détails et sélectionnez Vue XML pour des données structurées
  8. Documentez les champs clés suivants :
    • Sujet : Le compte qui a effectué l'action d'activation
    • Compte cible : Le compte qui a été activé
    • ID de connexion : Identifiant de session pour la corrélation avec les événements de connexion
    • Informations sur le processus : L'outil ou le processus utilisé pour activer le compte
Astuce pro : Recoupez l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour identifier le poste de travail source et la méthode d'authentification utilisée par l'administrateur.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4758 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents d'activation de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez les propriétés détaillées de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetDomainName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758} | Export-Csv -Path "C:\Temp\AccountEnabled_Events.csv" -NoTypeInformation
Astuce pro : Utilisez Get-WinEvent avec des paramètres d'ordinateur distant pour interroger plusieurs contrôleurs de domaine simultanément pour un suivi complet de l'activation des comptes.
03

Corréler avec les changements d'Active Directory

Enquêter sur le contexte Active Directory et vérifier l'action d'activation du compte via les journaux des services d'annuaire.

  1. Vérifiez le journal du service d'annuaire pour les événements liés :
    Get-WinEvent -FilterHashtable @{LogName='Directory Service'; StartTime=(Get-Date).AddHours(-1)} | Where-Object {$_.Message -like '*account*'}
  2. Interroger Active Directory pour connaître l'état actuel du compte :
    Import-Module ActiveDirectory
$TargetUser = "username_from_event"
Get-ADUser -Identity $TargetUser -Properties Enabled, whenChanged, whenCreated, LastLogonDate | Format-List Name, Enabled, whenChanged, whenCreated, LastLogonDate
  3. Examiner l'historique des modifications du compte :
    Get-ADUser -Identity $TargetUser -Properties * | Select-Object Name, whenChanged, modifyTimeStamp, uSNChanged
  4. Vérifiez les changements récents de mot de passe qui pourraient être liés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} | Where-Object {$_.Message -like "*$TargetUser*"} | Select-Object TimeCreated, Message
  5. Vérifiez les changements d'appartenance à des groupes autour de la même période :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4732,4756} | Where-Object {$_.Message -like "*$TargetUser*"} | Format-Table TimeCreated, Id, Message -Wrap
Avertissement : Vérifiez toujours que les actions d'activation de compte sont conformes aux processus de gestion des changements approuvés et aux politiques de sécurité avant de conclure l'enquête.
04

Mettre en œuvre la surveillance et l'alerte

Configurez une surveillance proactive pour détecter et alerter sur les activités futures d'activation de compte pour la supervision de la sécurité.

  1. Créez une vue personnalisée dans le Visualiseur d'événements pour une surveillance continue:
    • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Sélectionnez Par journal et choisissez Sécurité
    • Entrez 4758 dans le champ ID d'événements
    • Nommer la vue "Événements d'activation de compte" et enregistrer
  2. Configurez le transfert d'événements Windows (WEF) pour une collecte centralisée:
    # Sur le serveur collecteur
wecutil qc /q
# Créer une souscription
wecutil cs AccountEnabledSubscription.xml
  3. Configurez un script de surveillance basé sur PowerShell:
    # Script de surveillance à exécuter en tant que tâche planifiée
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758; StartTime=(Get-Date).AddMinutes(-5)}
if ($Events) {
    $Events | ForEach-Object {
        $Event = [xml]$_.ToXml()
        $Subject = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        $Target = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        Send-MailMessage -To "security@company.com" -Subject "Alerte d'activation de compte" -Body "L'utilisateur $Target a été activé par $Subject à $($_.TimeCreated)"
    }
}
  4. Configurez la stratégie d'audit pour garantir que les événements sont générés:
    # Activer l'audit de gestion des comptes
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
  5. Créez une tâche planifiée pour une surveillance continue:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorAccountEnabled.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "Surveiller l'activation de compte" -Action $Action -Trigger $Trigger -RunLevel Highest
Astuce pro : Intégrez la surveillance de l'ID d'événement 4758 avec votre solution SIEM en utilisant le transfert d'événements Windows ou des agents d'expédition de journaux pour une surveillance de sécurité à l'échelle de l'entreprise.
05

Analyse et réponse médico-légale avancée

Effectuez une analyse médico-légale complète lorsque l'ID d'événement 4758 indique des incidents de sécurité potentiels ou des violations de politique.

  1. Collectez un contexte d'événement complet en utilisant une analyse PowerShell avancée:
    # Script de corrélation d'événements avancé
$TargetEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758} -MaxEvents 1
$EventXML = [xml]$TargetEvent.ToXml()
$LogonID = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'

# Trouver des événements de connexion liés
$RelatedLogons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {
    $LogonXML = [xml]$_.ToXml()
    $LogonXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetLogonId' -and $_.'#text' -eq $LogonID}
}

$RelatedLogons | Format-Table TimeCreated, Id, @{Name='SourceIP';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'IpAddress'} | Select-Object -ExpandProperty '#text'}}
  2. Analysez le contexte d'exécution des processus:
    # Vérifiez les noms ou chemins de processus suspects
$ProcessInfo = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
Write-Host "Processus utilisé: $ProcessInfo"

# Recouper avec les événements de création de processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*$ProcessInfo*"} | Select-Object TimeCreated, Message
  3. Enquêtez sur les schémas d'escalade de privilèges:
    # Vérifiez les événements d'utilisation de privilèges autour du même moment
$TimeWindow = $TargetEvent.TimeCreated
$StartTime = $TimeWindow.AddMinutes(-10)
$EndTime = $TimeWindow.AddMinutes(10)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Id, Message -Wrap
  4. Documentez les résultats et créez une chronologie de réponse à l'incident:
    # Générer un rapport d'incident complet
$Report = @{
    EventTime = $TargetEvent.TimeCreated
    EventID = $TargetEvent.Id
    SubjectUser = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    TargetUser = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    ProcessUsed = $ProcessInfo
    RelatedEvents = $RelatedLogons.Count
}

$Report | ConvertTo-Json | Out-File "C:\Temp\AccountEnabled_Investigation_$(Get-Date -Format 'yyyyMMdd_HHmmss').json"
  5. Mettez en œuvre des actions de réponse immédiates si non autorisé:
    # Si l'enquête révèle un accès non autorisé
$UnauthorizedUser = "suspicious_account"

# Désactiver immédiatement le compte
Disable-ADAccount -Identity $UnauthorizedUser

# Forcer la réinitialisation du mot de passe
Set-ADAccountPassword -Identity $UnauthorizedUser -Reset -NewPassword (ConvertTo-SecureString "TempPassword123!" -AsPlainText -Force)

# Consigner l'action de réponse
Write-EventLog -LogName Application -Source "Security Response" -EventId 1001 -Message "Compte $UnauthorizedUser désactivé en raison d'une activation non autorisée détectée lors de l'enquête sur l'ID d'événement 4758"
Avertissement : Suivez toujours les procédures de réponse aux incidents de votre organisation et les exigences légales lors de l'analyse médico-légale. Préservez l'intégrité des preuves et maintenez une documentation appropriée de la chaîne de garde.

Aperçu

L'ID d'événement 4758 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est activé dans Windows. Cet événement se produit à la fois dans les environnements Active Directory et les systèmes autonomes utilisant la base de données locale Security Account Manager (SAM). L'événement capture des détails critiques, y compris qui a activé le compte, quel compte a été activé et quand l'action a eu lieu.

Cet événement fait partie de la politique d'audit avancée de Windows sous la sous-catégorie Gestion des comptes. Par défaut, cet audit est désactivé sur les postes de travail mais activé sur les contrôleurs de domaine. L'événement fournit une visibilité essentielle pour les équipes de sécurité surveillant les changements de cycle de vie des comptes, en particulier lors de l'enquête sur des modifications de compte non autorisées ou du suivi de la conformité avec les politiques de sécurité.

L'événement se déclenche immédiatement lorsqu'un administrateur utilise des outils comme Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des utilitaires en ligne de commande pour changer le statut désactivé d'un compte en activé. Chaque instance génère un événement unique avec des informations d'attribution détaillées, ce qui le rend précieux pour l'analyse judiciaire et les flux de travail de surveillance de la sécurité.

Questions Fréquentes

Que signifie l'ID d'événement 4758 et quand se produit-il ?+
L'ID d'événement 4758 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est activé dans Windows. Cela se produit lorsqu'un administrateur change le statut d'un compte de désactivé à activé en utilisant des outils comme Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des utilitaires en ligne de commande. L'événement capture des informations détaillées sur qui a effectué l'action, quel compte a été activé et quand cela s'est produit. Cet événement est essentiel pour la surveillance de la sécurité et le suivi de la conformité dans les environnements d'entreprise.
Comment activer l'audit pour l'ID d'événement 4758 s'il n'apparaît pas dans mes journaux ?+
L'ID d'événement 4758 nécessite que la sous-catégorie d'audit Gestion des comptes soit activée. Utilisez la commande auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable pour activer cet audit. Sur les contrôleurs de domaine, cela est généralement activé par défaut, mais sur les stations de travail et les serveurs membres, vous devrez peut-être le configurer via la stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des comptes d'utilisateur.
L'ID d'événement 4758 peut-il aider à détecter un accès non autorisé aux comptes ou des menaces internes ?+
Oui, l'ID d'événement 4758 est précieux pour détecter les modifications de compte non autorisées et les menaces internes potentielles. En surveillant quand les comptes sont activés, surtout en dehors des heures de bureau normales ou par des administrateurs inattendus, les équipes de sécurité peuvent identifier des activités suspectes. En corrélant cet événement avec les événements de connexion (4624), les événements d'utilisation des privilèges (4672) et d'autres événements de gestion de compte, on crée une piste d'audit complète qui aide à détecter les schémas d'accès non autorisés, les tentatives d'escalade de privilèges et les violations de politiques.
Quelles informations sont incluses dans l'ID d'événement 4758 et comment puis-je les extraire par programmation ?+
L'ID d'événement 4758 contient des données structurées incluant le Sujet (qui a effectué l'action), le Compte Cible (quel compte a été activé), l'ID de connexion pour la corrélation de session, les Informations sur le processus et les horodatages. Vous pouvez extraire ces données en utilisant PowerShell en analysant l'XML de l'événement : $Event = [xml](Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4758} -MaxEvents 1).ToXml() puis en accédant à des champs spécifiques comme $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} pour obtenir le nom du compte activé.
Comment devrais-je réagir si je trouve des entrées inattendues d'ID d'événement 4758 dans mes journaux de sécurité ?+
Lorsque vous découvrez des événements d'activation de compte inattendus, enquêtez immédiatement sur le contexte en vérifiant qui a effectué l'action, quand elle a eu lieu et depuis quel système. Vérifiez la légitimité en consultant les enregistrements de gestion des changements et en confirmant avec l'administrateur responsable. Si l'action semble non autorisée, désactivez immédiatement le compte affecté, réinitialisez son mot de passe, examinez les activités de connexion récentes, vérifiez d'autres modifications suspectes de compte et escaladez vers votre équipe de réponse aux incidents. Documentez toutes les constatations et mettez en place une surveillance supplémentaire pour prévenir de futurs changements non autorisés.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including account management events like 4758https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for account management monitoringhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4758

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...