ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory Users and Computers console showing computer account management interface
Event ID 4761InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4761 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur créé

L'ID d'événement 4761 enregistre la création d'un compte d'ordinateur dans Active Directory. Cet événement d'audit de sécurité suit les ajouts d'ordinateurs de domaine à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4761Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4761 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsque cet événement se déclenche, il indique qu'un nouveau compte d'ordinateur a été créé avec succès au sein de la structure de domaine. L'événement est généré par le fournisseur Microsoft-Windows-Security-Auditing et apparaît exclusivement dans le journal des événements de sécurité sur les contrôleurs de domaine.

L'événement contient des informations complètes sur le processus de création de compte, y compris le contexte de sécurité de l'utilisateur ou du service qui a initié la création, les détails du compte d'ordinateur cible et l'emplacement dans Active Directory où le compte a été placé. Cette journalisation granulaire permet aux administrateurs de maintenir des pistes d'audit détaillées de toutes les modifications de comptes d'ordinateur au sein de leur infrastructure de domaine.

D'un point de vue sécurité, l'ID d'événement 4761 sert de point de surveillance critique pour détecter les ajouts non autorisés d'ordinateurs au domaine. Les attaquants qui obtiennent des privilèges suffisants pourraient tenter de créer des comptes d'ordinateur malveillants pour établir une persistance ou faciliter un mouvement latéral. Une surveillance régulière de ces événements aide les équipes de sécurité à identifier ces activités et à réagir de manière appropriée.

L'événement joue également un rôle essentiel dans les cadres de conformité qui exigent une journalisation détaillée des changements de services d'annuaire. Les organisations soumises à des réglementations comme SOX, HIPAA ou PCI-DSS s'appuient souvent sur les journaux de l'ID d'événement 4761 pour démontrer des contrôles d'accès appropriés et des procédures de gestion des changements pour leur infrastructure Active Directory.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Opérations de jonction de domaine lorsque des ordinateurs sont ajoutés au domaine Active Directory
  • Création manuelle de comptes d'ordinateur via la console Utilisateurs et ordinateurs Active Directory
  • Systèmes de provisionnement automatisés créant des comptes d'ordinateur via PowerShell ou d'autres outils de gestion
  • System Center Configuration Manager ou des outils de déploiement similaires pré-stagiaires de comptes d'ordinateur
  • Exchange Server créant des comptes d'ordinateur pour certains rôles ou services
  • Outils de gestion de répertoire tiers effectuant la création en masse de comptes d'ordinateur
  • Scripts PowerShell utilisant la cmdlet New-ADComputer ou des modules Active Directory similaires
  • Applications basées sur LDAP créant des comptes d'ordinateur de manière programmatique
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre le contexte de la création du compte d'ordinateur.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4761 en utilisant l'option de filtre
  4. Double-cliquez sur une entrée récente de l'ID d'événement 4761
  5. Examinez les champs clés suivants dans les détails de l'événement:
    • Sujet: Indique qui a créé le compte (ID de sécurité, Nom du compte, Domaine)
    • Nouveau compte d'ordinateur: Affiche le nom de l'ordinateur créé et le domaine
    • Attributs: Liste le nom distingué et d'autres propriétés du compte
  6. Vérifiez l'horodatage pour le corréler avec les activités système connues
  7. Notez l'ID de connexion pour retracer les événements d'authentification associés
Astuce pro : Faites une référence croisée de l'ID de sécurité du sujet avec l'ID d'événement 4624 (événements de connexion) pour comprendre le contexte complet de l'authentification.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4761 sur vos contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine
  2. Interrogez les événements récents de création de compte d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='Computer';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*New Computer Account:*'} | Select-Object -First 1) -replace '.*Account Name:\s*(.*)','$1'}}, @{Name='Creator';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'} -A 3 | Where-Object {$_ -like '*Account Name:*'}) -replace '.*Account Name:\s*(.*)','$1'}}
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761; StartTime=$StartTime}
$Events | Format-Table TimeCreated, Id, MachineName -AutoSize
  4. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761} -MaxEvents 100 | Export-Csv -Path "C:\Temp\ComputerAccountCreation.csv" -NoTypeInformation
  5. Recherchez des modèles spécifiques de comptes d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761} | Where-Object {$_.Message -like '*WORKSTATION*'} | Select-Object TimeCreated, Message
03

Corréler avec les journaux Active Directory

Recoupez l'ID d'événement 4761 avec d'autres événements Active Directory pour obtenir une image complète des activités de gestion des comptes d'ordinateur.

  1. Vérifiez les journaux du service d'annuaire pour un contexte supplémentaire :
    Get-WinEvent -FilterHashtable @{LogName='Directory Service'; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*computer*'}
  2. Cherchez des événements de sécurité liés autour de la même période :
    $TimeWindow = 5 # minutes
$Event4761 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761} -MaxEvents 1
$StartTime = $Event4761.TimeCreated.AddMinutes(-$TimeWindow)
$EndTime = $Event4761.TimeCreated.AddMinutes($TimeWindow)
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Id -in @(4624,4625,4768,4769)} | Format-Table TimeCreated, Id, Message -Wrap
  3. Interrogez les journaux DNS pour l'enregistrement de l'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='DNS Server'} | Where-Object {$_.Message -like '*computer_name*'}
  4. Vérifiez les journaux de stratégie de groupe si des comptes d'ordinateur sont ajoutés à des UO spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object {$_.Id -eq 1006 -and $_.Message -like '*Group Policy*'}
  5. Utilisez le module PowerShell Active Directory pour vérifier les détails du compte :
    Import-Module ActiveDirectory
Get-ADComputer -Filter "Created -gt '$((Get-Date).AddDays(-1).ToString('yyyy-MM-dd'))'" -Properties Created, CreatedBy | Format-Table Name, Created, CreatedBy
04

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance complète pour suivre les modèles de création de comptes d'ordinateur et détecter les anomalies.

  1. Créez un abonnement personnalisé de transfert d'événements Windows :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>ComputerAccountCreation</SubscriptionId>
  <SubscriptionType>SourceInitiated</SubscriptionType>
  <Description>Surveiller les événements de création de comptes d'ordinateur</Description>
  <Enabled>true</Enabled>
  <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
  <Query><![CDATA[
    <QueryList>
      <Query Id="0">
        <Select Path="Security">*[System[EventID=4761]]</Select>
      </Query>
    </QueryList>
  ]]></Query>
</Subscription>
  2. Configurez un script d'alerte basé sur PowerShell :
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4761" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = "Compte d'ordinateur créé : $($Event.Message)"
    Write-EventLog -LogName Application -Source "CustomMonitoring" -EventId 1001 -Message $Message
    # Ajoutez ici la notification par email ou l'intégration SIEM
}
  3. Configurez une tâche planifiée pour analyser les modèles :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\AnalyzeComputerCreation.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "ComputerAccountAnalysis" -Action $Action -Trigger $Trigger -Settings $Settings
  4. Créez des métriques de référence pour les taux normaux de création de comptes d'ordinateur
  5. Configurez l'intégration SIEM pour corréler avec d'autres événements de sécurité
Avertissement : Assurez-vous que les autorisations appropriées sont configurées pour le transfert d'événements et les scripts de surveillance afin de prévenir les failles de sécurité.
05

Analyse Forensique et Réponse aux Incidents

Effectuer une analyse médico-légale détaillée lors de l'enquête sur des activités suspectes de création de comptes informatiques.

  1. Extraire des informations détaillées sur les événements pour l'analyse médico-légale :
    $SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761; StartTime=(Get-Date).AddDays(-30)}
$DetailedAnalysis = foreach ($Event in $SuspiciousEvents) {
    $EventXML = [xml]$Event.ToXml()
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        SubjectUserSid = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserSid'} | Select-Object -ExpandProperty '#text'
        SubjectUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetDomainName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
$DetailedAnalysis | Export-Csv -Path "C:\Forensics\Event4761_Analysis.csv" -NoTypeInformation
  2. Corréler avec les événements d'authentification pour retracer la chaîne d'attaque :
    $TimeRange = 30 # minutes avant et après
foreach ($Event in $SuspiciousEvents) {
    $StartTime = $Event.TimeCreated.AddMinutes(-$TimeRange)
    $EndTime = $Event.TimeCreated.AddMinutes($TimeRange)
    $RelatedEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime; Id=@(4624,4625,4648,4672)}
    Write-Output "Événements autour de $($Event.TimeCreated) :"
    $RelatedEvents | Format-Table TimeCreated, Id, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'} | Select-Object -First 1) -replace '.*Account Name:\s*(.*)','$1'}}
}
  3. Vérifier les indicateurs d'escalade de privilèges :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)} | Format-Table TimeCreated, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'} -A 3 | Where-Object {$_ -like '*Account Name:*'}) -replace '.*Account Name:\s*(.*)','$1'}}
  4. Générer un rapport d'incident complet :
    $IncidentReport = @{
    'Investigation_Date' = Get-Date
    'Suspicious_Events' = $SuspiciousEvents.Count
    'Affected_Computers' = ($DetailedAnalysis | Select-Object -Unique TargetUserName).Count
    'Unique_Creators' = ($DetailedAnalysis | Select-Object -Unique SubjectUserName).Count
    'Time_Range' = "$($SuspiciousEvents | Measure-Object TimeCreated -Minimum | Select-Object -ExpandProperty Minimum) to $($SuspiciousEvents | Measure-Object TimeCreated -Maximum | Select-Object -ExpandProperty Maximum)"
}
$IncidentReport | ConvertTo-Json | Out-File "C:\Forensics\Event4761_IncidentReport.json"
  5. Documenter les conclusions et préserver les preuves pour d'éventuelles procédures judiciaires

Aperçu

L'ID d'événement 4761 se déclenche chaque fois qu'un compte d'ordinateur est créé dans Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a créé le compte d'ordinateur, quand il a été créé et dans quelle unité organisationnelle il a été placé. L'événement fait partie du cadre d'audit de sécurité complet de Windows et est essentiel pour suivre les ajouts d'ordinateurs au domaine.

Cet événement se produit généralement lors des opérations de jonction de domaine, lorsque les administrateurs créent manuellement des comptes d'ordinateur via Utilisateurs et ordinateurs Active Directory, ou lorsque des systèmes automatisés provisionnent de nouvelles machines. L'événement capture des détails critiques, y compris l'identifiant de sécurité du créateur, le nom du compte d'ordinateur et le nom distingué de l'emplacement cible dans Active Directory.

Les administrateurs système s'appuient sur l'ID d'événement 4761 pour la conformité de sécurité, le suivi des modifications et l'enquête sur la création non autorisée de comptes d'ordinateur. L'événement fonctionne en conjonction avec d'autres événements d'audit de sécurité pour fournir une image complète des modifications d'Active Directory. Comprendre cet événement est crucial pour maintenir une surveillance de sécurité appropriée dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 4761 et quand se produit-il ?+
L'ID d'événement 4761 indique qu'un compte d'ordinateur a été créé dans Active Directory. Cet événement se déclenche chaque fois qu'un nouvel objet ordinateur est ajouté au domaine, que ce soit par des opérations de jonction de domaine, une création manuelle via des outils administratifs ou des systèmes de provisionnement automatisés. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a créé le compte, quand il a été créé et où il a été placé dans la structure du répertoire. Il s'agit d'un événement opérationnel normal qui se produit lors du déploiement légitime d'ordinateurs et des activités de gestion de domaine.
Comment puis-je identifier qui a créé un compte d'ordinateur spécifique en utilisant l'ID d'événement 4761 ?+
L'ID d'événement 4761 contient des informations détaillées sur le sujet qui identifient le créateur du compte d'ordinateur. Dans les détails de l'événement, recherchez la section 'Sujet' qui inclut l'ID de sécurité, le nom du compte, le domaine du compte et l'ID de connexion de l'utilisateur ou du service qui a créé le compte. Vous pouvez utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4761} | ForEach-Object {$_.Message -split '\n' | Where-Object {$_ -like '*Subject:*' -or $_ -like '*Account Name:*'}}. L'ID de connexion peut être croisé avec l'ID d'événement 4624 (connexion réussie) pour obtenir un contexte supplémentaire sur la session d'authentification.
L'ID d'événement 4761 est-il une préoccupation de sécurité nécessitant une attention immédiate ?+
L'ID d'événement 4761 est en soi un événement informatif qui représente les opérations normales d'Active Directory. Cependant, il devient une préoccupation de sécurité lorsque des comptes d'ordinateur sont créés de manière inattendue, en dehors des processus commerciaux normaux, ou par des utilisateurs non autorisés. Surveillez les modèles tels que les comptes d'ordinateur créés en dehors des heures de travail, par des comptes de service qui ne devraient pas avoir ce privilège, ou dans des unités organisationnelles inhabituelles. Établissez des bases de référence pour les taux normaux de création de comptes d'ordinateur et enquêtez sur les écarts. L'événement devrait faire partie de votre stratégie de surveillance de la sécurité mais n'indique pas intrinsèquement une activité malveillante.
Comment configurer l'audit pour s'assurer que l'ID d'événement 4761 est correctement enregistré ?+
L'ID d'événement 4761 est généré lorsque la politique 'Audit de la gestion des comptes d'ordinateur' est activée. Pour configurer cela : Ouvrez la Gestion des stratégies de groupe, modifiez la stratégie des contrôleurs de domaine par défaut, accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Gestion des comptes, et activez 'Audit de la gestion des comptes d'ordinateur' pour les événements de réussite et d'échec. Appliquez la politique en utilisant gpupdate /force. Vous pouvez vérifier les paramètres d'audit actuels en utilisant auditpol /get /subcategory:'Computer Account Management'. Cela garantit que toutes les activités de création, de modification et de suppression de comptes d'ordinateur sont enregistrées.
L'ID d'événement 4761 peut-il m'aider à suivre les adhésions de domaine non autorisées ou les ordinateurs malveillants ?+
Oui, l'ID d'événement 4761 est essentiel pour suivre les adhésions non autorisées au domaine et identifier les ordinateurs malveillants. Lorsqu'un ordinateur rejoint le domaine, cet événement enregistre la création du compte ordinateur ainsi que des détails sur la personne ayant initié l'opération de jonction. Surveillez les comptes ordinateurs créés par des utilisateurs inattendus, à des heures inhabituelles, ou avec des schémas de nommage qui ne correspondent pas aux normes de votre organisation. Corrélez l'ID d'événement 4761 avec les événements d'enregistrement DNS et les journaux DHCP pour obtenir une vue complète des nouveaux systèmes rejoignant votre réseau. Configurez des alertes automatisées pour la création de comptes ordinateurs en dehors des fenêtres de déploiement approuvées ou par du personnel non autorisé afin d'identifier rapidement les incidents de sécurité potentiels.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4761 and related computer account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for Active Directory computer account management monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4761

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...