ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Security log with Event ID 4762 user account enabled events on a cybersecurity monitoring dashboard
Event ID 4762InformationSecurityWindows

ID d'événement Windows 4762 – Sécurité : Compte utilisateur activé

L'ID d'événement 4762 enregistre lorsqu'un compte utilisateur est activé dans Active Directory ou la base de données de sécurité locale. Cet événement d'audit de sécurité suit les changements d'état des comptes à des fins de conformité et de surveillance.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4762Security 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4762 représente un événement d'audit de sécurité fondamental qui documente les opérations d'activation de comptes utilisateur dans les environnements Windows. L'événement se déclenche immédiatement lorsque l'attribut userAccountControl du compte change pour supprimer le drapeau ACCOUNTDISABLE, passant le compte de l'état désactivé à l'état actif.

La structure de l'événement inclut des métadonnées complètes sur l'opération : l'ID de sécurité (SID) et le nom du compte cible ainsi que de l'administrateur effectuant l'action, les détails de la session de connexion et les informations sur le poste de travail source. Pour les environnements de domaine, cet événement est généré sur le contrôleur de domaine traitant le changement, tandis que les modifications de comptes locaux déclenchent l'événement sur le poste de travail respectif.

D'un point de vue sécurité, l'ID d'événement 4762 offre une visibilité cruciale sur la gestion du cycle de vie des comptes. L'activation non autorisée de comptes représente un risque de sécurité significatif, car les attaquants ciblent souvent les comptes désactivés pour établir une persistance ou escalader les privilèges. La journalisation détaillée de l'événement permet aux équipes de sécurité de corréler les changements de compte avec le comportement des utilisateurs, de détecter des actions administratives anormales et de maintenir des pistes d'audit pour des cadres de conformité comme SOX, HIPAA et PCI-DSS.

L'événement s'intègre parfaitement avec la configuration avancée de la politique d'audit de Windows, spécifiquement sous la sous-catégorie "Audit de la gestion des comptes utilisateur". Les organisations configurent généralement une collecte centralisée des journaux pour agréger ces événements à partir de plusieurs contrôleurs de domaine et postes de travail, permettant une surveillance de sécurité complète et une alerte automatisée sur les activités de compte suspectes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • L'administrateur active manuellement un compte utilisateur désactivé via la console Utilisateurs et ordinateurs Active Directory
  • Les commandes PowerShell comme Enable-ADAccount ou Set-ADUser modifient le statut du compte
  • Des scripts automatisés ou des outils de gestion activent les comptes en fonction de la logique métier ou de tâches planifiées
  • Le traitement des stratégies de groupe active les comptes via des applications de modèles de sécurité
  • Les systèmes de gestion d'identité tiers synchronisent les états des comptes et activent les comptes précédemment désactivés
  • Exchange Server ou d'autres applications activent les comptes de service lors de l'installation ou de la configuration
  • Les politiques de verrouillage de compte réactivent automatiquement les comptes après des périodes de temps spécifiées
  • Les opérations de gestion d'utilisateurs en masse activent plusieurs comptes simultanément via des importations CSV ou des scripts batch
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre qui a activé le compte et d'où :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4762 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4762 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'événement pour voir des informations détaillées incluant :
    • Sujet : Administrateur qui a effectué l'action
    • Compte cible : Compte utilisateur qui a été activé
    • ID de connexion : Identifiant de session pour la corrélation
    • Nom de la station de travail : Ordinateur source pour l'opération
Astuce pro : Notez l'horodatage et corrélez avec d'autres événements de sécurité utilisant le même ID de connexion pour construire une image complète de la session administrative.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4762 dans votre environnement :

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents d'activation de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements pour des comptes d'utilisateur spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762} | Where-Object {$_.Message -like '*TargetUserName*'} | Format-Table TimeCreated, Message -Wrap
  4. Exportez les événements pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762} | Export-Csv -Path "C:\Temp\AccountEnabled_Events.csv" -NoTypeInformation
  5. Interrogez les contrôleurs de domaine distants :
    Invoke-Command -ComputerName DC01,DC02 -ScriptBlock {Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762} -MaxEvents 10}
Avertissement : Les journaux de sécurité volumineux peuvent avoir un impact sur les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats et envisagez un filtrage basé sur le temps pour les environnements de production.
03

Enquêter sur le statut du compte avec les outils Active Directory

Vérifiez l'état actuel du compte et les modifications récentes à l'aide des outils d'administration Active Directory :

  1. Ouvrez Utilisateurs et ordinateurs Active Directory depuis Outils d'administration
  2. Accédez à l'unité organisationnelle contenant le compte utilisateur cible
  3. Cliquez avec le bouton droit sur le compte utilisateur et sélectionnez Propriétés
  4. Vérifiez l'onglet Compte pour vérifier l'état et les paramètres actuels du compte
  5. Utilisez PowerShell pour interroger les détails du compte :
    Get-ADUser -Identity "username" -Properties Enabled, LastLogonDate, PasswordLastSet, WhenChanged | Format-List
  6. Examinez l'historique des modifications du compte :
    Get-ADUser -Identity "username" -Properties * | Select-Object Name, Enabled, WhenCreated, WhenChanged, ModifiedCount
  7. Vérifiez les changements récents de mot de passe qui pourraient correspondre à l'activation du compte :
    Search-ADAccount -AccountDisabled | Where-Object {$_.PasswordLastSet -gt (Get-Date).AddDays(-7)}
Astuce pro : Recoupez l'horodatage WhenChanged avec l'occurrence de l'ID d'événement 4762 pour confirmer la corrélation entre les événements d'audit et les modifications réelles du compte.
04

Configurer la surveillance d'audit avancée

Implémentez une surveillance complète pour suivre les événements futurs d'activation de compte et établir des bases de sécurité :

  1. Configurez la stratégie d'audit avancée à l'aide de la stratégie de groupe :
    • Ouvrez Group Policy Management Console
    • Modifiez le GPO approprié et accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration de la stratégie d'audit avancée
    • Activez Audit de la gestion des comptes d'utilisateur pour les réussites et les échecs
  2. Configurez le script de surveillance PowerShell :
    # Créer un script de surveillance pour l'ID d'événement 4762
$Action = {
    $Event = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762} -MaxEvents 1
    $Message = "Compte activé : " + $Event.Message
    Write-EventLog -LogName Application -Source "Security Monitor" -EventId 1001 -Message $Message
}
Register-WMIEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4762" -Action $Action
  3. Configurez le transfert d'événements Windows (WEF) pour la collecte centralisée :
    winrm quickconfig
wecutil cs subscription.xml
  4. Créez un fichier d'abonnement XML personnalisé pour la collecte de l'ID d'événement 4762 ciblant les contrôleurs de domaine et les serveurs critiques
Avertissement : Un audit excessif peut affecter les performances du système et générer de grands fichiers journaux. Surveillez l'espace disque et configurez les stratégies de rotation des journaux de manière appropriée.
05

Mettre en œuvre l'intégration de la gestion des informations et des événements de sécurité (SIEM)

Établir une surveillance et une alerte au niveau de l'entreprise pour l'ID d'événement 4762 via l'intégration SIEM :

  1. Configurer le service de collecte d'événements Windows sur les serveurs collecteurs :
    Start-Service Wecsvc
Set-Service Wecsvc -StartupType Automatic
  2. Créer des règles de détection personnalisées dans votre plateforme SIEM pour les modèles d'ID d'événement 4762 :
    • Activations multiples de comptes à partir d'une seule session administrateur
    • Activation de compte en dehors des heures de bureau
    • Activation de compte privilégié par du personnel non autorisé
    • Opérations d'activation de compte en masse
  3. Configurer la corrélation automatisée avec d'autres événements de sécurité :
    # Script PowerShell pour la corrélation d'événements
$EnableEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4762; StartTime=(Get-Date).AddHours(-1)}
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddHours(-1)}
# Corréler les événements par LogonId pour une analyse complète de la session
  4. Configurer les seuils d'alerte et les canaux de notification pour la réponse de l'équipe de sécurité
  5. Mettre en œuvre des flux de travail de réponse automatisée pour les scénarios à haut risque comme l'activation de comptes privilégiés
  6. Créer des rapports de conformité combinant l'ID d'événement 4762 avec des événements de gestion de compte connexes (4720, 4722, 4725, 4767)
Conseil pro : Établir des métriques de référence pour les modèles normaux d'activation de compte dans votre environnement afin d'améliorer la précision de la détection et de réduire les faux positifs dans les systèmes d'alerte automatisés.

Aperçu

L'ID d'événement 4762 se déclenche chaque fois qu'un compte utilisateur passe de l'état désactivé à l'état activé dans le sous-système de sécurité Windows. Cet événement d'audit apparaît dans le journal de sécurité lorsque les administrateurs activent des comptes utilisateur précédemment désactivés via Active Directory Users and Computers, des commandes PowerShell ou des outils de gestion des utilisateurs locaux.

L'événement capture des détails critiques, y compris le nom du compte cible, l'administrateur qui a effectué l'action et le poste de travail d'où provient le changement. Windows génère cet événement sur les contrôleurs de domaine pour les comptes AD et sur les machines locales pour les comptes utilisateur locaux lorsque la politique d'audit pour la gestion des comptes utilisateur est activée.

Cet événement sert de pierre angulaire pour la surveillance de la sécurité, aidant les administrateurs à suivre les changements de cycle de vie des comptes et à détecter les activations de comptes non autorisées. Les équipes de sécurité s'appuient sur les événements 4762 pour maintenir la conformité avec les exigences réglementaires et enquêter sur les incidents de sécurité potentiels impliquant la manipulation de comptes.

Questions Fréquentes

Que signifie l'ID d'événement 4762 et quand se produit-il ?+
L'ID d'événement 4762 indique qu'un compte utilisateur a été activé dans le sous-système de sécurité Windows. Cet événement se déclenche chaque fois qu'un administrateur change un compte de l'état désactivé à l'état activé via Active Directory Users and Computers, des commandes PowerShell comme Enable-ADAccount, ou des outils de gestion des utilisateurs locaux. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine pour les comptes AD et sur les machines locales pour les comptes d'utilisateurs locaux, à condition que la stratégie d'audit pour la gestion des comptes utilisateurs soit activée.
Comment puis-je identifier qui a activé un compte utilisateur en utilisant l'ID d'événement 4762 ?+
L'ID d'événement 4762 contient des informations détaillées sur l'opération d'activation de compte. Dans les détails de l'événement, recherchez la section 'Sujet' qui identifie l'administrateur ayant effectué l'action, y compris leur ID de sécurité (SID), nom de compte et domaine. L'événement inclut également l'ID de connexion qui peut être utilisé pour corréler avec les événements de connexion (ID d'événement 4624) afin de déterminer la station de travail source et les détails de la session. De plus, la section 'Compte cible' montre quel compte utilisateur spécifique a été activé.
L'ID d'événement 4762 est-il une préoccupation de sécurité nécessitant une attention immédiate ?+
L'ID d'événement 4762 est en soi un événement d'audit informatif et n'est pas intrinsèquement une menace pour la sécurité. Cependant, il nécessite une attention dans des contextes spécifiques : activation non autorisée de compte en dehors des processus commerciaux normaux, activation de comptes privilégiés ou de service sans approbation appropriée, opérations d'activation de comptes en masse qui dévient des modèles établis, ou activation de compte en dehors des heures de travail par du personnel non autorisé. Les organisations devraient établir des modèles de référence pour les activités normales de gestion des comptes et enquêter sur les écarts qui pourraient indiquer une activité malveillante ou des violations de politique.
Comment configurer Windows pour générer l'ID d'événement 4762 pour l'audit de gestion des comptes ?+
Pour générer l'ID d'événement 4762, vous devez activer la politique 'Audit de la gestion des comptes d'utilisateur' sous Configuration avancée des stratégies d'audit. Accédez à la Console de gestion des stratégies de groupe, modifiez le GPO approprié, et allez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée des stratégies d'audit → Gestion des comptes → Audit de la gestion des comptes d'utilisateur. Activez l'audit des réussites et des échecs. Pour les environnements de domaine, appliquez cette politique aux contrôleurs de domaine et aux serveurs membres. Les machines locales nécessitent une configuration de la politique de sécurité locale via secpol.msc sous Politiques locales → Stratégie d'audit.
Puis-je automatiser la surveillance et l'alerte pour l'ID d'événement 4762 sur plusieurs serveurs ?+
Oui, vous pouvez mettre en œuvre une surveillance automatisée par plusieurs méthodes. Utilisez Windows Event Forwarding (WEF) pour centraliser la collecte de l'ID d'événement 4762 à partir de plusieurs serveurs vers un serveur collecteur. Configurez des tâches planifiées PowerShell avec les cmdlets Get-WinEvent pour interroger et traiter les événements automatiquement. Mettez en œuvre l'intégration SIEM en utilisant le service Windows Event Collection ou des agents de transfert de journaux tiers. Créez des scripts PowerShell personnalisés avec Register-WMIEvent pour déclencher des actions immédiates lorsque l'ID d'événement 4762 se produit. Pour les environnements d'entreprise, établissez des règles de corrélation qui combinent l'ID d'événement 4762 avec des événements connexes (4720, 4722, 4725) pour fournir une surveillance complète du cycle de vie des comptes et des alertes automatisées basées sur des seuils de risque définis.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive documentation covering Windows security audit events including Event ID 4762 and related account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial Microsoft documentation for configuring advanced audit policies including User Account Management auditing requirements.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4762

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...