ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4763 account deletion audit logs on a security monitoring dashboard
Event ID 4763InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4763 – Microsoft-Windows-Security-Auditing : Compte utilisateur supprimé

L'ID d'événement 4763 se déclenche lorsqu'un compte utilisateur est supprimé d'Active Directory ou de l'ordinateur local. Cet événement d'audit de sécurité suit les activités de suppression de compte à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4763Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4763 représente un point d'audit de sécurité critique dans les environnements Windows. Lorsqu'une suppression de compte utilisateur se produit, Windows génère cet événement pour maintenir une trace d'audit des activités de gestion des comptes. L'événement contient des informations détaillées, y compris le nom du compte cible, le domaine, le SID et le contexte de sécurité de l'utilisateur qui a effectué la suppression.

Cet événement se déclenche immédiatement après les opérations de suppression de compte réussies, qu'elles soient effectuées via Active Directory Users and Computers, des cmdlets PowerShell comme Remove-ADUser, ou une suppression programmée via des opérations LDAP. L'événement apparaît sur le contrôleur de domaine qui a traité la demande de suppression pour les comptes de domaine, ou sur la machine locale pour les suppressions de comptes locaux.

La structure de l'événement comprend plusieurs champs qui fournissent des informations complètes sur l'opération de suppression. Les champs clés incluent les informations sur le compte cible (nom, domaine, SID), le sujet qui a effectué la suppression (nom du compte, domaine, ID de connexion), et des attributs supplémentaires comme les privilèges utilisés pendant l'opération. Ces informations s'avèrent inestimables lors des enquêtes de sécurité, des audits de conformité et des analyses médico-légales des activités de gestion des comptes.

Comprendre cet événement devient crucial lors de l'enquête sur des incidents de sécurité potentiels impliquant des suppressions de comptes non autorisées, le suivi des activités administratives à des fins de conformité, ou le dépannage des problèmes d'accès pouvant résulter d'une suppression accidentelle de compte.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur supprimant manuellement des comptes d'utilisateurs via la console Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant les cmdlets Remove-ADUser ou Remove-LocalUser
  • Processus automatisés de nettoyage de comptes supprimant les comptes d'utilisateurs inactifs ou expirés
  • Systèmes de gestion d'identité tiers effectuant des opérations de cycle de vie des comptes
  • Applications ou scripts basés sur LDAP supprimant des objets utilisateur par programmation
  • Outils de gestion Exchange supprimant des comptes d'utilisateurs avec boîte aux lettres
  • Opérations de suppression massive de comptes lors de restructurations organisationnelles
  • Activités de réponse aux incidents de sécurité supprimant des comptes compromis
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre quel compte a été supprimé et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet de droite
  4. Entrez 4763 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur une entrée d'ID d'événement 4763 pour voir des informations détaillées
  6. Examinez l'onglet Général pour les détails clés:
    • Nom du compte cible: Le compte utilisateur supprimé
    • Domaine cible: Nom du domaine ou de l'ordinateur
    • SID cible: Identifiant de sécurité du compte supprimé
    • Nom du compte sujet: Qui a effectué la suppression
    • Domaine du sujet: Domaine de l'utilisateur supprimant
  7. Vérifiez l'horodatage pour corréler avec d'autres événements de sécurité
  8. Notez l'ID de connexion pour suivre la session qui a effectué la suppression
Astuce pro : Exportez les résultats filtrés au format CSV pour analyse en cliquant sur Enregistrer le fichier journal filtré sous dans le volet Actions.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour rechercher et analyser de manière programmatique les occurrences de l'ID d'événement 4763 sur plusieurs systèmes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de suppression de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des informations détaillées des propriétés de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetDomainName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        SubjectDomainName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Interrogez plusieurs contrôleurs de domaine simultanément :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Write-Host "Checking $($DC.Name)..."
    Invoke-Command -ComputerName $DC.Name -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763} -MaxEvents 10 -ErrorAction SilentlyContinue
    }
}
Avertissement : Interroger les journaux de sécurité nécessite des privilèges administratifs et des autorisations d'accès appropriées aux journaux d'audit.
03

Corréler avec des événements de sécurité connexes

Enquêter sur les événements connexes pour obtenir une image complète de l'activité de suppression de compte et identifier les préoccupations potentielles en matière de sécurité.

  1. Rechercher des événements de connexion liés autour de la même heure :
    $DeletionTime = (Get-Date '2026-03-18 10:30:00')
$TimeWindow = 30 # minutes
$StartTime = $DeletionTime.AddMinutes(-$TimeWindow)
$EndTime = $DeletionTime.AddMinutes($TimeWindow)

# Rechercher des événements de connexion (4624) et de déconnexion (4634)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634; StartTime=$StartTime; EndTime=$EndTime}
  2. Vérifier les événements d'utilisation de privilèges (4672, 4673) qui pourraient indiquer des opérations élevées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Message -like '*SeSecurityPrivilege*' -or $_.Message -like '*SeTcbPrivilege*'}
  3. Rechercher d'autres événements de gestion de compte dans le même laps de temps :
    # Événements de gestion de compte : 4720 (créé), 4722 (activé), 4725 (désactivé), 4726 (supprimé)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720,4722,4725,4726,4763; StartTime=$StartTime; EndTime=$EndTime} | Sort-Object TimeCreated
  4. Vérifier les événements de création de processus (4688) pour identifier les outils utilisés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Message -like '*dsa.msc*' -or $_.Message -like '*powershell*' -or $_.Message -like '*dsrm*'}
  5. Examiner les modifications de la stratégie de groupe (4719) qui pourraient affecter les paramètres d'audit :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719; StartTime=$StartTime; EndTime=$EndTime}
Astuce pro : Utilisez le champ LogonId de l'événement 4763 pour corréler toutes les activités effectuées pendant la même session de connexion.
04

Vérifier la configuration de la politique d'audit

Assurez-vous que l'audit de gestion des comptes est correctement configuré pour capturer tous les événements pertinents de suppression de compte.

  1. Vérifiez les paramètres actuels de la politique d'audit en utilisant auditpol:
    auditpol /get /category:"Account Management"
  2. Vérifiez les paramètres de sous-catégorie spécifiques pour la gestion des comptes utilisateurs:
    auditpol /get /subcategory:"User Account Management"
  3. Examinez les paramètres de la stratégie de groupe pour la configuration de l'audit:
    • Ouvrez Group Policy Management Console
    • Accédez au GPO pertinent (généralement Default Domain Controllers Policy)
    • Allez à Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Policy Configuration
    • Développez Account Management et vérifiez que Audit User Account Management est réglé sur Success and Failure
  4. Vérifiez les paramètres du registre pour la configuration de l'audit:
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name MaxSize, Retention
  5. Vérifiez la taille du journal de sécurité et les paramètres de rétention:
    $LogConfig = Get-WinEvent -ListLog Security
Write-Host "Maximum Size: $($LogConfig.MaximumSizeInBytes / 1MB) MB"
Write-Host "Current Size: $($LogConfig.FileSize / 1MB) MB"
Write-Host "Is Enabled: $($LogConfig.IsEnabled)"
Write-Host "Log Mode: $($LogConfig.LogMode)"
  6. Testez la politique d'audit en créant et supprimant un compte de test:
    # Create test user
New-LocalUser -Name "TestAuditUser" -NoPassword -Description "Test account for audit verification"
# Delete test user
Remove-LocalUser -Name "TestAuditUser"
# Verify events were generated
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720,4763} -MaxEvents 5
Attention: La modification des politiques d'audit affecte les performances du système et les exigences de stockage des journaux. Planifiez en conséquence pour un volume de journaux accru.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance automatisée pour détecter et alerter en temps réel sur les activités suspectes de suppression de compte.

  1. Créez un script PowerShell pour une surveillance continue:
    # Enregistrez sous Monitor-AccountDeletions.ps1
param(
    [int]$CheckIntervalMinutes = 5,
    [string]$AlertEmail = "admin@company.com",
    [string]$SMTPServer = "mail.company.com"
)

while ($true) {
    $StartTime = (Get-Date).AddMinutes(-$CheckIntervalMinutes)
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763; StartTime=$StartTime} -ErrorAction SilentlyContinue
    
    if ($Events) {
        foreach ($Event in $Events) {
            $EventXML = [xml]$Event.ToXml()
            $TargetUser = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
            $SubjectUser = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
            
            $AlertMessage = "ALERT: User account '$TargetUser' was deleted by '$SubjectUser' at $($Event.TimeCreated)"
            Write-Warning $AlertMessage
            
            # Envoyer une alerte par email (configurer les paramètres SMTP)
            # Send-MailMessage -To $AlertEmail -Subject "Account Deletion Alert" -Body $AlertMessage -SmtpServer $SMTPServer
        }
    }
    
    Start-Sleep -Seconds ($CheckIntervalMinutes * 60)
}
  2. Créez une tâche planifiée pour exécuter le script de surveillance:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-AccountDeletions.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable

Register-ScheduledTask -TaskName "Monitor Account Deletions" -Action $Action -Trigger $Trigger -Principal $Principal -Settings $Settings
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée:
    • Sur le serveur collecteur, exécutez: wecutil qc
    • Créez le fichier de configuration de l'abonnement:
      <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AccountDeletions</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Account Deletion Events</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query><![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4763]]</Select>
            </Query>
        </QueryList>
    ]]></Query>
</Subscription>
    • Créez l'abonnement: wecutil cs AccountDeletions.xml
  4. Configurez l'intégration SIEM en utilisant Windows Event Collector ou le transfert direct de journaux:
    # Configurez winlogbeat pour l'intégration Elastic Stack
# Modifiez la configuration winlogbeat.yml
event_logs:
  - name: Security
    event_id: 4763
    processors:
      - script:
          lang: javascript
          source: |
            function process(event) {
                if (event.Get("winlog.event_id") === 4763) {
                    event.Put("event.category", ["iam"]);
                    event.Put("event.type", ["user", "deletion"]);
                }
            }
Conseil pro : Combinez la surveillance de l'ID d'événement 4763 avec 4720 (création de compte) et 4725 (compte désactivé) pour un suivi complet du cycle de vie des comptes.

Aperçu

L'ID d'événement 4763 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est supprimé soit de l'Active Directory, soit de la base de données locale du Gestionnaire de Comptes de Sécurité (SAM). Cet événement apparaît dans le journal de sécurité et fournit des informations détaillées sur qui a supprimé le compte, quand cela s'est produit, et quel compte a été supprimé.

Cet événement se déclenche sur les contrôleurs de domaine lorsque des comptes utilisateurs AD sont supprimés, et sur les serveurs membres ou les stations de travail lorsque des comptes utilisateurs locaux sont supprimés. L'événement capture l'identifiant de sécurité (SID) du compte supprimé ainsi que celui du compte ayant effectué la suppression, ce qui le rend précieux pour l'audit de sécurité et le suivi de conformité.

Vous trouverez cet événement dans les environnements où l'audit des comptes utilisateurs est activé via la Stratégie de Groupe. L'événement fournit des preuves médico-légales des activités de gestion des comptes et aide les administrateurs à suivre les suppressions de comptes non autorisées ou suspectes. Les systèmes Windows modernes génèrent cet événement automatiquement lorsque les politiques d'audit appropriées sont configurées.

Questions Fréquentes

Que signifie l'ID d'événement 4763 et quand se produit-il ?+
L'ID d'événement 4763 indique qu'un compte utilisateur a été supprimé avec succès soit d'Active Directory, soit de la base de données locale du Gestionnaire de Comptes de Sécurité (SAM). Cet événement se déclenche immédiatement après la fin de l'opération de suppression et fournit des informations d'audit détaillées, y compris qui a supprimé le compte, quand cela s'est produit, et quel compte a été supprimé. L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine pour les suppressions de comptes AD ou sur les machines locales pour les suppressions de comptes locaux. Cet événement est crucial pour l'audit de sécurité, le suivi de la conformité et les enquêtes judiciaires impliquant des activités de gestion de comptes.
Comment puis-je déterminer qui a supprimé un compte utilisateur spécifique en utilisant l'ID d'événement 4763 ?+
L'ID d'événement 4763 contient des informations détaillées sur le compte supprimé et le compte qui a effectué la suppression. Dans les détails de l'événement, recherchez les champs 'Nom du compte sujet' et 'Nom de domaine sujet', qui identifient qui a effectué la suppression. Les champs 'Nom du compte cible' et 'Nom de domaine cible' indiquent quel compte a été supprimé. Vous pouvez également utiliser l'ID de connexion du sujet pour corréler avec d'autres événements de la même session de connexion. Utilisez PowerShell pour extraire ces informations de manière programmatique : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4763} et analysez le XML EventData pour obtenir des valeurs de champs spécifiques.
Pourquoi ne vois-je pas l'ID d'événement 4763 dans mon journal de sécurité ?+
L'ID d'événement 4763 n'apparaît que lorsque l'audit de gestion des comptes est correctement configuré. Vérifiez vos paramètres de stratégie d'audit en utilisant 'auditpol /get /subcategory:"User Account Management"' - il devrait afficher 'Succès et Échec' pour une journalisation complète. Dans la stratégie de groupe, accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des comptes d'utilisateur et assurez-vous qu'il est activé. Vérifiez également que le journal de sécurité a une taille et des paramètres de rétention suffisants pour stocker ces événements. Sur les contrôleurs de domaine, la stratégie par défaut des contrôleurs de domaine contient généralement ces paramètres.
L'ID d'événement 4763 peut-il m'aider à récupérer un compte utilisateur supprimé ?+
L'ID d'événement 4763 ne peut pas à lui seul récupérer un compte supprimé, mais il fournit des informations précieuses pour les efforts de récupération. L'événement contient l'identifiant de sécurité (SID) du compte supprimé, ce qui est crucial pour la restauration à partir de la corbeille Active Directory si elle est activée. Utilisez 'Get-ADObject -IncludeDeletedObjects -Filter {ObjectGUID -eq "GUID-from-event"}' pour localiser l'objet supprimé. Si la corbeille AD n'est pas activée, vous devrez restaurer à partir d'une sauvegarde de l'état du système effectuée avant la suppression. L'horodatage dans l'événement 4763 aide à identifier la sauvegarde appropriée à utiliser. L'événement montre également le nom exact du compte et le domaine, ce qui aide à recréer le compte avec les attributs appropriés si la restauration n'est pas possible.
Comment devrais-je répondre aux entrées suspectes de l'ID d'événement 4763 indiquant des suppressions de comptes non autorisées ?+
Tout d'abord, vérifiez immédiatement la légitimité de la suppression en contactant la personne identifiée dans le champ 'Nom du compte sujet'. Si non autorisé, traitez-le comme un incident de sécurité : désactivez le compte compromis, réinitialisez les mots de passe et examinez toutes les activités récentes de ce compte en utilisant leur ID de connexion. Vérifiez les événements connexes comme 4624 (connexion), 4672 (utilisation de privilèges) et 4688 (création de processus) pour comprendre le vecteur d'attaque. Examinez d'autres événements de gestion de compte (4720, 4722, 4725) pour identifier des modifications non autorisées supplémentaires. Si le compte supprimé avait des privilèges administratifs, effectuez un examen de sécurité complet, y compris la vérification des portes dérobées, l'examen des appartenances aux groupes et l'audit des modifications récentes de configuration. Documentez toutes les constatations pour la réponse aux incidents et envisagez de faire appel à des spécialistes en criminalistique pour les environnements critiques.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including account management eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Audit Policy ConfigurationOfficial documentation for configuring advanced audit policies in Windows environmentshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4763

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...