ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying Event ID 4764 group membership changes on a SOC monitoring dashboard
Event ID 4764InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4764 – Microsoft-Windows-Security-Auditing : Membre du groupe ajouté

L'ID d'événement 4764 enregistre lorsqu'un compte utilisateur est ajouté à un groupe activé pour la sécurité dans Active Directory ou le système local, fournissant une piste d'audit pour les changements d'appartenance au groupe.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4764Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4764 représente un mécanisme fondamental d'audit de sécurité dans Windows qui suit les ajouts aux groupes avec sécurité activée. Lorsque Windows traite une demande d'ajout d'un utilisateur à un groupe, le sous-système de l'Autorité de sécurité locale (LSA) génère cet événement avant de valider le changement d'appartenance dans la base de données de sécurité.

La structure de l'événement comprend plusieurs champs clés : l'identifiant de sécurité (SID) et le nom du groupe cible, le membre ajouté (y compris leur SID), le sujet qui a initié le changement, et des informations contextuelles comme la session de connexion et les détails du processus. Cette journalisation complète permet aux administrateurs de reconstituer la chaîne complète des événements entourant les modifications d'appartenance aux groupes.

Dans les environnements Active Directory, cet événement se déclenche sur les contrôleurs de domaine lorsque les changements d'appartenance aux groupes affectent les groupes de domaine. Pour les groupes locaux sur les serveurs membres et les stations de travail, l'événement apparaît dans le journal de sécurité local. Le timing est crucial - Windows journalise l'événement de manière synchrone avec le changement d'appartenance, garantissant que la piste d'audit reste cohérente avec l'état de sécurité réel.

L'événement s'intègre au cadre plus large d'audit de sécurité de Windows, nécessitant que la politique "Audit de la gestion des groupes de sécurité" soit activée. Sans une configuration adéquate de la politique d'audit, ces événements ne seront pas générés, créant des lacunes dans votre surveillance de sécurité. Les cadres de conformité modernes comme SOX, HIPAA et PCI-DSS exigent souvent le suivi des changements de groupes privilégiés, rendant l'ID d'événement 4764 essentiel pour la conformité réglementaire.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • L'administrateur ajoute un utilisateur au groupe de sécurité via la console Utilisateurs et ordinateurs Active Directory
  • Les commandes PowerShell comme Add-ADGroupMember ou Add-LocalGroupMember s'exécutent avec succès
  • Des scripts automatisés ou des applications ajoutent des utilisateurs aux groupes de manière programmatique via LDAP ou les API Windows
  • Le traitement des stratégies de groupe ajoute des utilisateurs aux groupes locaux lors du démarrage de l'ordinateur ou de la connexion de l'utilisateur
  • Les systèmes de gestion d'identité tiers synchronisent les appartenances aux groupes avec Active Directory
  • Les comptes de service ou les applications avec les autorisations appropriées modifient l'appartenance aux groupes de manière programmatique
  • Les opérations d'importation en masse utilisant des outils comme csvde ou ldifde ajoutent plusieurs utilisateurs aux groupes simultanément
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre quel changement d'appartenance à un groupe a eu lieu et qui l'a initié.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4764 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4764 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4764 pour voir des informations détaillées incluant :
    • Sujet : Qui a effectué l'action (nom du compte et SID)
    • Membre : Quel utilisateur a été ajouté au groupe
    • Groupe : Nom du groupe cible et SID
    • Privilèges : Privilèges de sécurité utilisés pour l'opération
  6. Notez l'horodatage et corrélez avec d'autres activités administratives
  7. Vérifiez la section Informations sur le processus pour identifier quelle application ou outil a été utilisé
Astuce pro : Le champ Sujet montre le compte qui a effectué le changement, tandis que Membre montre qui a été ajouté. Ce peuvent être des comptes différents dans des scénarios de délégation.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4764 dans votre environnement.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les ajouts récents de membres de groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='Message';Expression={$_.Message.Split('`n')[0..10] -join '`n'}}
  3. Filtrez les événements pour des groupes spécifiques (remplacez 'Domain Admins' par votre groupe cible) :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764} | Where-Object {$_.Message -like '*Domain Admins*'} | Select-Object TimeCreated, @{Name='Details';Expression={$_.Message}}
  4. Extrayez des données structurées des événements :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764} -MaxEvents 100
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
        GroupName = ($EventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
    }
}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764} -MaxEvents 1000 | Export-Csv -Path "C:\Temp\GroupMembershipChanges.csv" -NoTypeInformation
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats et éviter le ralentissement du système.
03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer tous les changements d'appartenance aux groupes de manière cohérente.

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  3. Développez Gestion des comptes et localisez Audit de la gestion des groupes de sécurité
  4. Configurez la politique sur Succès et Échec pour une journalisation complète
  5. Vérifiez les paramètres d'audit actuels via PowerShell :
    auditpol /get /category:"Account Management" /subcategory:"Security Group Management"
  6. Appliquez les paramètres immédiatement en utilisant :
    gpupdate /force
  7. Testez la configuration en ajoutant un utilisateur test à un groupe et en vérifiant que l'ID d'événement 4764 apparaît
  8. Pour les environnements de domaine, configurez cette politique au niveau de l'OU des contrôleurs de domaine
  9. Surveillez les changements de politique d'audit en utilisant l'ID d'événement 4719 pour détecter les modifications non autorisées
Astuce pro : Activez l'audit des succès et des échecs. Les tentatives échouées (ID d'événement 4761) peuvent indiquer des tentatives d'accès non autorisées ou des erreurs de configuration.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance proactive pour détecter et répondre aux changements critiques d'appartenance à des groupes en temps réel.

  1. Créez un script PowerShell pour une surveillance continue :
    # Monitor-GroupChanges.ps1
$SensitiveGroups = @('Domain Admins', 'Enterprise Admins', 'Schema Admins', 'Administrators')
$LastCheck = (Get-Date).AddMinutes(-5)

while ($true) {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764; StartTime=$LastCheck} -ErrorAction SilentlyContinue
    
    foreach ($Event in $Events) {
        $XML = [xml]$Event.ToXml()
        $GroupName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'GroupName'}).'#text'
        
        if ($SensitiveGroups -contains $GroupName) {
            # Envoyer une alerte - personnaliser la méthode de notification
            Write-Host "ALERTE : Utilisateur ajouté à $GroupName à $($Event.TimeCreated)" -ForegroundColor Red
            # Ajouter une notification par email, intégration SIEM, etc.
        }
    }
    
    $LastCheck = Get-Date
    Start-Sleep -Seconds 300  # Vérifier toutes les 5 minutes
}
  2. Configurez le Planificateur de tâches Windows pour exécuter le script de surveillance :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-GroupChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "GroupMembershipMonitor" -Action $Action -Trigger $Trigger -Principal $Principal
  3. Configurez les abonnements au journal des événements pour une collecte centralisée :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>GroupMembershipChanges</SubscriptionId>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4764]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  4. Configurez l'intégration SIEM en utilisant le transfert d'événements Windows ou l'envoi direct de journaux
05

Analyse médico-légale et corrélation

Effectuer une analyse médico-légale détaillée pour enquêter sur les changements suspects d'appartenance à des groupes et établir des chronologies complètes des attaques.

  1. Collecter les événements liés pour une analyse complète:
    # Collecter tous les événements de gestion de groupe
$StartTime = (Get-Date).AddDays(-7)
$GroupEvents = @(4728, 4729, 4732, 4733, 4756, 4757, 4764, 4765)

$AllEvents = foreach ($EventId in $GroupEvents) {
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$EventId; StartTime=$StartTime} -ErrorAction SilentlyContinue
}

$AllEvents | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\GroupManagementTimeline.csv" -NoTypeInformation
  2. Corréler avec les événements de connexion pour établir le contexte utilisateur:
    # Trouver les sessions de connexion liées aux changements de groupe
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$StartTime}
$GroupChangeEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764; StartTime=$StartTime}

foreach ($GroupEvent in $GroupChangeEvents) {
    $XML = [xml]$GroupEvent.ToXml()
    $LogonId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'}).'#text'
    
    $RelatedLogon = $LogonEvents | Where-Object {
        $LogonXML = [xml]$_.ToXml()
        ($LogonXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetLogonId'}).'#text' -eq $LogonId
    } | Select-Object -First 1
    
    if ($RelatedLogon) {
        Write-Host "Changement de groupe à $($GroupEvent.TimeCreated) lié à la connexion à $($RelatedLogon.TimeCreated)"
    }
}
  3. Analyser le contexte d'exécution des processus:
    # Extraire les informations de processus des événements
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764} -MaxEvents 100 | ForEach-Object {
    $XML = [xml]$_.ToXml()
    $ProcessName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
    $ProcessId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'}).'#text'
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessName = $ProcessName
        ProcessId = $ProcessId
        GroupName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'GroupName'}).'#text'
    }
} | Group-Object ProcessName | Sort-Object Count -Descending
  4. Générer un rapport médico-légal complet:
    # Créer un rapport d'analyse détaillé
$Report = @"
Rapport d'analyse des changements d'appartenance à des groupes
Généré: $(Get-Date)

Résumé des changements (7 derniers jours):
"@

$GroupStats = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4764; StartTime=(Get-Date).AddDays(-7)} | 
    Group-Object @{Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'GroupName'} | Select-Object -ExpandProperty '#text'}} | 
    Sort-Object Count -Descending

foreach ($Stat in $GroupStats) {
    $Report += "`n$($Stat.Name): $($Stat.Count) ajouts"
}

$Report | Out-File -FilePath "C:\Temp\GroupChangeAnalysis.txt"
Avertissement : L'analyse médico-légale peut générer de grands ensembles de données. Assurez-vous d'avoir suffisamment d'espace disque et considérez l'impact sur les performances des systèmes de production.

Aperçu

L'ID d'événement 4764 se déclenche chaque fois qu'un compte utilisateur est ajouté à un groupe activé pour la sécurité dans votre environnement Windows. Cet événement apparaît dans le journal de sécurité et sert de piste d'audit critique pour suivre les modifications de l'appartenance aux groupes à la fois sur les contrôleurs de domaine Active Directory et les systèmes Windows locaux.

L'événement capture des détails essentiels, y compris le nom du groupe cible, le compte utilisateur ajouté et le principal de sécurité effectuant l'action. Windows génère cet événement immédiatement lorsque des changements d'appartenance à un groupe se produisent par n'importe quelle méthode - que ce soit via Active Directory Users and Computers, des commandes PowerShell ou des appels API programmatiques.

Cet événement joue un rôle crucial dans la surveillance de la sécurité et l'audit de conformité. Les organisations comptent sur l'ID d'événement 4764 pour suivre les tentatives d'escalade de privilèges, surveiller les changements de groupes administratifs et maintenir des enregistrements détaillés de qui a obtenu l'accès à quelles ressources. L'événement fonctionne en conjonction avec l'ID d'événement 4728 (membre ajouté à un groupe global activé pour la sécurité) et l'ID d'événement 4732 (membre ajouté à un groupe local activé pour la sécurité) pour fournir un suivi complet de l'appartenance aux groupes.

Les équipes de sécurité configurent généralement les systèmes SIEM pour alerter sur cet événement lorsqu'il concerne des groupes sensibles comme Domain Admins, Enterprise Admins ou des groupes privilégiés personnalisés. L'événement fournit les preuves médico-légales nécessaires pour enquêter sur les tentatives d'accès non autorisées et vérifier les actions administratives légitimes.

Questions Fréquentes

Que signifie l'ID d'événement 4764 et quand se produit-il ?+
L'ID d'événement 4764 indique qu'un compte utilisateur a été ajouté avec succès à un groupe activé pour la sécurité. Cet événement se déclenche immédiatement lorsque des modifications de l'appartenance à un groupe se produisent par n'importe quelle méthode - Utilisateurs et ordinateurs Active Directory, commandes PowerShell, scripts automatisés ou appels d'API programmatiques. L'événement fournit une piste d'audit complète incluant qui a effectué le changement, quel utilisateur a été ajouté et à quel groupe. C'est essentiel pour la surveillance de la sécurité et l'audit de conformité, en particulier lors du suivi des modifications apportées aux groupes privilégiés comme les administrateurs de domaine ou les groupes administratifs personnalisés.
Comment puis-je distinguer l'ID d'événement 4764 des événements de gestion de groupe similaires ?+
L'ID d'événement 4764 suit spécifiquement les ajouts aux groupes activés pour la sécurité, mais Windows génère plusieurs événements connexes pour différentes opérations de groupe. L'ID d'événement 4728 enregistre les ajouts aux groupes globaux activés pour la sécurité, l'ID d'événement 4732 couvre les groupes locaux activés pour la sécurité, et l'ID d'événement 4756 gère les groupes universels activés pour la sécurité. L'ID d'événement 4765 enregistre lorsque des utilisateurs sont retirés des groupes. La différence clé est que 4764 fournit un événement général d'ajout de groupe, tandis que les autres sont spécifiques à la portée du groupe (global, local, universel). Vérifiez les détails de l'événement pour voir le type et la portée spécifiques du groupe impliqués dans chaque changement.
Pourquoi ne vois-je pas l'ID d'événement 4764 dans mon journal de sécurité ?+
Les entrées manquantes de l'ID d'événement 4764 indiquent généralement que la stratégie d'audit requise n'est pas activée. Vous devez configurer 'Audit de la gestion des groupes de sécurité' sous Configuration avancée de la stratégie d'audit. Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des groupes de sécurité et définissez-le sur Succès (et éventuellement Échec). Après avoir activé la stratégie, exécutez 'gpupdate /force' pour appliquer les modifications immédiatement. Vérifiez également que le journal de sécurité n'est pas plein et que les stratégies de rétention des journaux ne suppriment pas automatiquement les événements trop rapidement.
L'ID d'événement 4764 peut-il aider à détecter les tentatives d'escalade de privilèges non autorisées ?+
Absolument. L'ID d'événement 4764 est crucial pour détecter les attaques d'escalade de privilèges où les attaquants ajoutent des comptes compromis à des groupes à privilèges élevés. Surveillez cet événement pour les ajouts à des groupes sensibles comme Domain Admins, Enterprise Admins, Schema Admins et des groupes privilégiés personnalisés. Configurez des alertes automatiques lorsque ces événements se produisent en dehors des heures de bureau normales ou à partir de comptes utilisateurs inattendus. Corrélez avec les événements de connexion (4624) pour comprendre toute la chaîne d'attaque. Recherchez des modèles tels que plusieurs ajouts rapides de groupes, des ajouts à partir de comptes de service qui ne devraient pas avoir de telles permissions, ou des ajouts suivis immédiatement d'activités suspectes. Les informations sur le processus de l'événement peuvent également révéler si des outils légitimes ou des processus potentiellement malveillants ont effectué les changements.
Comment puis-je automatiser la surveillance de l'ID d'événement 4764 pour le rapport de conformité ?+
Créez une surveillance automatisée à l'aide de scripts PowerShell qui interrogent régulièrement l'ID d'événement 4764 et génèrent des rapports de conformité. Utilisez Get-WinEvent avec FilterHashtable pour collecter les événements, puis analysez les données XML pour extraire les noms de groupes, les comptes d'utilisateurs et les horodatages. Configurez des tâches planifiées pour exécuter ces scripts quotidiennement ou hebdomadairement, selon les exigences de conformité. Exportez les résultats aux formats CSV ou JSON pour l'intégration avec les systèmes de gestion de la conformité. Pour une surveillance en temps réel, implémentez le transfert d'événements Windows pour centraliser les journaux de plusieurs systèmes, ou intégrez avec des solutions SIEM qui peuvent automatiquement corréler les changements de groupe avec d'autres événements de sécurité. Incluez à la fois les ajouts réussis (4764) et les tentatives échouées (4761) dans votre surveillance pour obtenir une visibilité complète des activités de gestion de groupe.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4764 and related group management eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including Security Group Management auditinghttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#group-management#event-id-4764

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...