ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with account deletion events on a monitoring dashboard
Event ID 4759InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4759 – Microsoft-Windows-Security-Auditing : Compte utilisateur supprimé

L'ID d'événement 4759 se déclenche lorsqu'un compte utilisateur est supprimé de la base de données locale du Gestionnaire de comptes de sécurité (SAM), fournissant une piste d'audit pour les activités de gestion des comptes.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4759Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4759 représente un composant fondamental du cadre d'audit de sécurité Windows, spécifiquement conçu pour suivre les suppressions de comptes d'utilisateurs locaux. Lorsque cet événement se déclenche, il indique qu'un compte utilisateur a été supprimé avec succès de la base de données SAM locale, qui stocke les informations des comptes utilisateurs sur les ordinateurs autonomes et les serveurs membres.

La structure de l'événement comprend plusieurs champs de données qui fournissent des informations d'audit complètes. La section Sujet identifie qui a effectué la suppression, y compris leur nom de compte, domaine, ID de connexion et SID. La section Compte Cible détaille le compte supprimé, y compris son nom, domaine et SID. Cette approche de suivi double garantit une responsabilité complète pour les actions de gestion des comptes.

D'un point de vue sécurité, l'ID d'événement 4759 sert de point de contrôle critique pour détecter les suppressions de comptes non autorisées. Les acteurs malveillants tentent souvent de couvrir leurs traces en supprimant les comptes qu'ils ont compromis ou créés. La surveillance régulière de ces événements aide les équipes de sécurité à identifier rapidement de telles activités. L'événement soutient également les exigences de conformité dans les environnements réglementés où la gestion du cycle de vie des comptes doit être soigneusement documentée.

Le timing de cet événement est crucial - il se déclenche après que la suppression du compte soit terminée avec succès mais avant que toute opération de nettoyage ne se produise. Cela garantit que la piste d'audit capture l'action même si les opérations ultérieures échouent. L'événement apparaît dans le journal de sécurité avec un niveau d'Information, le rendant facilement filtrable pour les systèmes de surveillance automatisés.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur supprimant manuellement un compte utilisateur via la console de gestion de l'ordinateur
  • Cmdlets PowerShell comme Remove-LocalUser exécutant la suppression de compte
  • Outils en ligne de commande tels que 'net user [username] /delete' supprimant des comptes
  • Scripts automatisés ou outils de gestion effectuant un nettoyage massif de comptes
  • Politiques de gestion de comptes pilotées par les stratégies de groupe déclenchant des suppressions
  • Systèmes de gestion d'identité tiers supprimant des comptes locaux
  • Administrateurs système nettoyant des comptes temporaires ou de service
  • Acteurs malveillants tentant de couvrir leurs traces en supprimant des comptes compromis
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre le contexte de la suppression du compte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4759 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4759 pour voir des informations détaillées
  6. Examinez la section Sujet pour identifier qui a supprimé le compte
  7. Vérifiez la section Compte cible pour voir quel compte a été supprimé
  8. Notez l'horodatage et corrélez-le avec toute maintenance planifiée ou activité administrative
Astuce pro : L'ID de connexion dans la section Sujet peut être corrélé avec les événements de connexion (4624) pour retracer la session complète qui a effectué la suppression.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser de manière programmatique les événements de suppression de compte sur plusieurs systèmes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de suppression de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrait des informations détaillées des événements :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data[1].'#text'
        SubjectDomainName = $Event.Event.EventData.Data[2].'#text'
        TargetUserName = $Event.Event.EventData.Data[5].'#text'
        TargetDomainName = $Event.Event.EventData.Data[6].'#text'
    }
}
  5. Exportez les résultats au format CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\AccountDeletions.csv" -NoTypeInformation
03

Corréler avec des événements de sécurité connexes

Enquêtez sur le contexte plus large en examinant les événements connexes qui se sont produits autour de la même période que la suppression du compte.

  1. Identifiez l'ID de connexion à partir des détails de l'événement 4759
  2. Recherchez des événements de connexion utilisant le même ID de connexion :
    $LogonId = "0x3e7"  # Remplacez par l'ID de connexion réel de l'événement 4759
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.Message -like "*$LogonId*"}
  3. Cherchez des événements d'escalade de privilèges (4672) associés à la session :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.Message -like "*$LogonId*"}
  4. Vérifiez d'autres événements de gestion de compte dans la même période :
    $TimeWindow = (Get-Date).AddHours(-2)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720,4722,4724,4726,4738,4740,4767,4781; StartTime=$TimeWindow}
  5. Examinez les événements de création de processus (4688) pour identifier les outils utilisés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$TimeWindow} | Where-Object {$_.Message -like "*net.exe*" -or $_.Message -like "*powershell*"}
Avertissement : Les environnements à fort volume peuvent générer des milliers d'événements. Utilisez des plages horaires spécifiques et tenez compte de l'impact sur les performances lors de l'exécution de ces requêtes.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance proactive pour détecter et alerter sur les activités suspectes de suppression de compte.

  1. Créez une tâche planifiée pour surveiller l'ID d'événement 4759:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorAccountDeletions.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Monitor Account Deletions" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  2. Créez le script de surveillance à C:\Scripts\MonitorAccountDeletions.ps1:
    # Surveiller les suppressions de compte récentes
$LastCheck = (Get-Date).AddMinutes(-20)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759; StartTime=$LastCheck} -ErrorAction SilentlyContinue

if ($Events) {
    foreach ($Event in $Events) {
        $EventXML = [xml]$Event.ToXml()
        $Subject = $EventXML.Event.EventData.Data[1].'#text'
        $DeletedAccount = $EventXML.Event.EventData.Data[5].'#text'
        
        # Envoyer une alerte (personnaliser si nécessaire)
        Write-EventLog -LogName Application -Source "Account Monitor" -EventId 1001 -EntryType Warning -Message "Suppression de compte détectée: $DeletedAccount supprimé par $Subject à $($Event.TimeCreated)"
    }
}
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée:
    winrm quickconfig
wecutil qc
  4. Créez un fichier XML de souscription d'événements personnalisé pour la collecte de l'ID d'événement 4759
  5. Configurez les notifications par email en utilisant PowerShell et SMTP pour les suppressions critiques
05

Analyse Forensique et Planification de Récupération

Effectuez une analyse médico-légale détaillée lorsque des suppressions de comptes non autorisées sont suspectées.

  1. Exportez tous les événements de sécurité pour la période concernée :
    $StartTime = (Get-Date "2026-03-15 00:00:00")
$EndTime = (Get-Date "2026-03-18 23:59:59")
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime} | Export-Clixml -Path "C:\Forensics\SecurityEvents_$(Get-Date -Format 'yyyyMMdd').xml"
  2. Analysez la ruche du registre SAM pour les artefacts de comptes supprimés :
    # Vérifiez le registre SAM pour les restes de comptes
Get-ChildItem "HKLM:\SAM\SAM\Domains\Account\Users" -ErrorAction SilentlyContinue
  3. Examinez les systèmes de sauvegarde pour identifier quand le compte était présent pour la dernière fois :
    # Interrogez les métadonnées de sauvegarde si disponibles
Get-WBBackupSet | Where-Object {$_.BackupTime -ge $StartTime}
  4. Documentez la chronologie de l'incident en utilisant la corrélation des événements :
    # Créez la chronologie de l'incident
$IncidentEvents = @(4624, 4625, 4648, 4672, 4720, 4726, 4759, 4688)
$Timeline = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$IncidentEvents; StartTime=$StartTime; EndTime=$EndTime} | Sort-Object TimeCreated
$Timeline | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='Summary';Expression={$_.Message.Split("`n")[0]}} | Export-Csv -Path "C:\Forensics\IncidentTimeline.csv"
  5. Préparez les procédures de récupération de compte si la suppression était non autorisée :
    • Restaurez à partir de la corbeille Active Directory si joint au domaine
    • Recréez le compte avec les autorisations et appartenances aux groupes appropriées
    • Examinez et restaurez toutes les données de profil utilisateur associées à partir des sauvegardes
    • Mettez à jour les politiques de sécurité pour prévenir des incidents similaires
Astuce pro : Conservez toujours les journaux d'événements originaux avant l'analyse. Utilisez wevtutil epl Security C:\Forensics\Security_Original.evtx pour créer une copie de sauvegarde.

Aperçu

L'ID d'événement 4759 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est supprimé de la base de données locale du Security Accounts Manager (SAM). Cet événement apparaît dans le journal de sécurité et fournit des informations d'audit critiques pour suivre les activités de gestion des comptes sur les systèmes Windows.

L'événement capture des détails essentiels, y compris qui a effectué la suppression, quel compte a été supprimé et quand l'action a eu lieu. Cela le rend inestimable pour la surveillance de la sécurité, l'audit de conformité et les enquêtes judiciaires. L'événement se déclenche immédiatement après la suppression réussie d'un compte par n'importe quelle méthode - que ce soit via la gestion de l'ordinateur, les cmdlets PowerShell ou les outils en ligne de commande comme net user.

Contrairement aux suppressions de comptes au niveau du domaine qui génèrent des ID d'événements différents, 4759 suit spécifiquement les suppressions de comptes locaux. L'événement inclut l'ID de sécurité (SID) du compte supprimé et du compte qui a effectué la suppression, ainsi que des informations détaillées sur la session de connexion. Cette journalisation complète aide les administrateurs à maintenir une supervision adéquate des activités de gestion des comptes locaux et à détecter les suppressions de comptes non autorisées.

Questions Fréquentes

Que signifie l'ID d'événement 4759 et quand se produit-il ?+
L'ID d'événement 4759 indique qu'un compte utilisateur a été supprimé avec succès de la base de données locale du Gestionnaire de Comptes de Sécurité (SAM). Cet événement se déclenche immédiatement après toute suppression de compte utilisateur local, qu'elle soit effectuée via la Gestion de l'ordinateur, des cmdlets PowerShell comme Remove-LocalUser, ou des outils en ligne de commande tels que 'net user /delete'. L'événement fournit des informations d'audit complètes, y compris qui a effectué la suppression, quel compte a été supprimé, et quand l'action a eu lieu. C'est crucial pour la surveillance de la sécurité et l'audit de conformité car cela crée un enregistrement immuable des activités de gestion des comptes.
Comment puis-je identifier qui a supprimé un compte utilisateur en utilisant l'ID d'événement 4759 ?+
La section Sujet de l'ID d'événement 4759 contient des informations détaillées sur qui a effectué la suppression du compte. Cela inclut le nom du compte de sécurité, le domaine du compte, l'ID de connexion et l'ID de sécurité (SID) de l'utilisateur qui a exécuté la suppression. Vous pouvez corréler l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour retracer la session complète. Utilisez PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4759} | ForEach-Object { $Event = [xml]$_.ToXml(); Write-Host "Supprimé par : $($Event.Event.EventData.Data[1].'#text')" }. L'événement inclut également les détails du compte cible dans la section Compte cible.
L'ID d'événement 4759 peut-il aider à détecter les suppressions de comptes malveillantes ?+
Oui, l'ID d'événement 4759 est excellent pour détecter les suppressions de comptes malveillantes. Les attaquants suppriment souvent des comptes pour couvrir leurs traces après avoir compromis des systèmes. Surveillez les schémas inhabituels tels que les suppressions de comptes en dehors des heures de bureau, les suppressions par des comptes qui ne gèrent normalement pas les utilisateurs, ou les suppressions en masse sur de courtes périodes. Configurez une surveillance automatisée à l'aide de tâches planifiées ou de systèmes SIEM pour alerter sur ces événements. Corrélez les événements 4759 avec d'autres activités suspectes comme les tentatives de connexion échouées (4625), les escalades de privilèges (4672), ou les exécutions de processus inhabituelles (4688) pour identifier des incidents de sécurité potentiels.
Quelle est la différence entre l'ID d'événement 4759 et les autres événements liés aux comptes ?+
L'ID d'événement 4759 suit spécifiquement les suppressions de comptes d'utilisateurs locaux, tandis que d'autres événements couvrent différentes activités de compte. L'ID d'événement 4720 enregistre la création de compte, 4722 suit l'activation de compte, 4725 couvre la désactivation de compte, et 4726 indique les tentatives de suppression de compte qui ont échoué. Pour les environnements de domaine, différents ID d'événements s'appliquent - les suppressions de comptes de domaine génèrent l'ID d'événement 4743. L'ID d'événement 4759 n'apparaît que lorsque les comptes locaux sont supprimés avec succès de la base de données SAM. Comprendre ces distinctions aide les administrateurs à interpréter correctement les journaux d'audit et à mettre en œuvre des stratégies de surveillance de compte complètes.
Combien de temps les enregistrements d'ID d'événement 4759 sont-ils conservés et peuvent-ils être récupérés ?+
Les enregistrements d'ID d'événement 4759 sont conservés en fonction de la configuration de votre journal de sécurité, généralement jusqu'à ce que le journal atteigne sa taille maximale et commence à écraser les entrées plus anciennes. La rétention par défaut varie selon la version de Windows mais est souvent de 20 Mo avec l'écrasement activé. Pour prolonger la rétention, augmentez la taille du journal de sécurité via la stratégie de groupe ou les propriétés de l'Observateur d'événements. Une fois écrasés, les événements ne peuvent pas être récupérés du système local. Cependant, si vous avez mis en œuvre le transfert d'événements Windows, la journalisation centralisée ou des solutions SIEM, les événements peuvent être conservés plus longtemps. Pour les environnements de conformité, envisagez d'archiver les journaux de sécurité pour répondre aux exigences réglementaires. Utilisez wevtutil pour exporter les journaux : wevtutil epl Security C:\Archive\Security_$(Get-Date -Format 'yyyyMMdd').evtx.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including account management events like 4759https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Event Log Management Best PracticesOfficial Microsoft documentation on event log configuration, retention, and monitoring strategieshttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging-best-practices
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4759

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...