ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4767 account unlock events in Event Viewer
Event ID 4767InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4767 – Microsoft-Windows-Security-Auditing : Compte utilisateur déverrouillé

L'ID d'événement 4767 se déclenche lorsqu'un compte utilisateur est déverrouillé par un administrateur ou automatiquement par le système après l'expiration de la durée de verrouillage.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4767Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4767 représente un composant fondamental de l'audit de sécurité Windows, suivant spécifiquement les opérations de déverrouillage de comptes d'utilisateur. Lorsque Windows génère cet événement, cela indique qu'un compte d'utilisateur précédemment verrouillé a été restauré à un état actif, soit par intervention administrative, soit par des processus automatiques du système.

La structure de l'événement comprend plusieurs champs clés qui fournissent un contexte complet sur l'opération de déverrouillage. Les champs Sujet identifient qui a effectué l'action de déverrouillage, y compris l'ID de sécurité, le nom de compte, le domaine de compte et l'ID de connexion de l'administrateur ou du processus système. La section Compte cible spécifie quel compte a été déverrouillé, fournissant l'ID de sécurité et le nom de compte de l'utilisateur concerné. Des champs supplémentaires capturent le nom de la station de travail d'où l'opération de déverrouillage a été initiée.

Dans les environnements Active Directory, cet événement apparaît généralement sur les contrôleurs de domaine lorsque des comptes d'utilisateur de domaine sont déverrouillés. Pour les systèmes autonomes ou les ordinateurs en groupe de travail, l'événement est enregistré localement lorsque des comptes d'utilisateur locaux sont déverrouillés. Le moment de cet événement est directement corrélé avec les politiques de verrouillage de compte configurées dans la stratégie de groupe ou les paramètres de sécurité locaux.

D'un point de vue de la sécurité, l'ID d'événement 4767 sert de point d'audit critique pour surveiller les activités de gestion des comptes. Des modèles inhabituels dans les déverrouillages de comptes, tels que des déverrouillages fréquents du même compte ou des déverrouillages effectués en dehors des heures de bureau normales, peuvent indiquer des incidents de sécurité nécessitant une enquête. À l'inverse, les opérations de déverrouillage légitimes fournissent des pistes d'audit précieuses pour les rapports de conformité et la responsabilité administrative.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • L'administrateur déverrouille manuellement un compte utilisateur verrouillé via Utilisateurs et ordinateurs Active Directory
  • Le système déverrouille automatiquement un compte après l'expiration de la durée de verrouillage configurée
  • Des cmdlets PowerShell comme Unlock-ADAccount sont utilisés pour déverrouiller des comptes de domaine
  • Des commandes Net user avec des paramètres de déverrouillage sont exécutées
  • Des outils de gestion d'identité tiers effectuent des opérations de déverrouillage de compte
  • Des comptes de service ou des processus automatisés déverrouillent des comptes de manière programmatique
  • Le rafraîchissement de la stratégie de groupe déclenche le déverrouillage automatique des verrouillages expirés
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4767 pour comprendre le contexte de l'opération de déverrouillage du compte.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal pour l'ID d'événement 4767 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4767 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4767 pour voir des informations détaillées
  6. Examinez la section Sujet pour identifier qui a effectué le déverrouillage
  7. Vérifiez la section Compte cible pour voir quel compte a été déverrouillé
  8. Notez le Nom de la station de travail pour identifier la source de l'opération de déverrouillage

Utilisez cette commande PowerShell pour récupérer rapidement les événements récents de déverrouillage :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4767} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Corréler avec les événements de verrouillage de compte

Enquêter sur la relation entre les événements de déverrouillage et les événements de verrouillage précédents pour comprendre la chronologie complète de la gestion des comptes.

  1. Rechercher les entrées correspondantes de l'ID d'événement 4740 (Compte verrouillé) qui ont précédé le déverrouillage
  2. Utiliser PowerShell pour corréler les événements de verrouillage et de déverrouillage pour des comptes spécifiques :
# Obtenir les événements de verrouillage et de déverrouillage pour l'analyse
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740,4767} -MaxEvents 100
$Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id, @{Name='Account';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'}).Split(':')[1].Trim()}} -AutoSize
  1. Examiner les intervalles de temps entre les événements de verrouillage et de déverrouillage
  2. Vérifier si les déverrouillages sont conformes à la politique de durée de verrouillage de votre organisation
  3. Identifier les schémas de cycles répétés de verrouillage/déverrouillage pour les mêmes comptes
  4. Faire une référence croisée avec l'ID d'événement 4625 (Échec de connexion) pour comprendre les causes de verrouillage
Astuce pro : Les cycles fréquents de verrouillage/déverrouillage indiquent souvent des problèmes liés aux mots de passe ou des attaques par force brute potentielles.
03

Analyser les actions administratives et les sources

Examinez qui effectue des opérations de déverrouillage et à partir de quels systèmes pour valider l'activité administrative légitime.

  1. Extraire les informations de l'administrateur à partir des événements de déverrouillage en utilisant PowerShell :
# Analyser qui déverrouille les comptes
$UnlockEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4767} -MaxEvents 100
$UnlockEvents | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UnlockedBy = $Event.Event.EventData.Data[1].'#text'
        UnlockedAccount = $Event.Event.EventData.Data[5].'#text'
        WorkstationName = $Event.Event.EventData.Data[7].'#text'
    }
} | Format-Table -AutoSize
  1. Vérifiez que les opérations de déverrouillage sont effectuées par des administrateurs autorisés
  2. Vérifiez si les déverrouillages proviennent des postes de travail administratifs attendus
  3. Examinez le moment des déverrouillages pour vous assurer qu'ils se produisent pendant les heures de bureau
  4. Recoupez avec les dossiers de gestion des changements pour la maintenance programmée
  5. Enquêtez sur tout déverrouillage effectué par des comptes de service ou des processus système
Avertissement : Les déverrouillages effectués par des comptes inattendus ou à partir de postes de travail inhabituels peuvent indiquer un accès non autorisé.
04

Surveiller les motifs de déverrouillage et la fréquence

Établir une surveillance de base pour les modèles de déverrouillage de compte afin d'identifier les anomalies et les problèmes de sécurité potentiels.

  1. Créer un script PowerShell pour suivre la fréquence de déverrouillage par compte :
# Surveiller les modèles de déverrouillage au fil du temps
$StartDate = (Get-Date).AddDays(-30)
$UnlockEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4767; StartTime=$StartDate}

$UnlockStats = $UnlockEvents | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        Date = $_.TimeCreated.Date
        Account = $Event.Event.EventData.Data[5].'#text'
        UnlockedBy = $Event.Event.EventData.Data[1].'#text'
    }
} | Group-Object Account | Select-Object Name, Count, @{Name='LastUnlock';Expression={($_.Group | Sort-Object Date -Descending)[0].Date}}

$UnlockStats | Sort-Object Count -Descending | Format-Table -AutoSize
  1. Configurer des alertes automatisées pour les comptes avec une fréquence de déverrouillage excessive
  2. Surveiller les déverrouillages se produisant en dehors des heures de bureau
  3. Suivre les opérations de déverrouillage effectuées par des comptes non administratifs
  4. Établir des seuils pour l'activité de déverrouillage normale vs suspecte
  5. Créer des rapports pour l'examen de l'équipe de sécurité et l'audit de conformité
05

Analyse médico-légale avancée et réponse

Effectuez une analyse médico-légale complète lorsque les événements de déverrouillage indiquent des incidents de sécurité potentiels ou des violations de politique.

  1. Exportez des données détaillées sur les événements de déverrouillage pour une analyse médico-légale :
# Exporter des données complètes sur les événements de déverrouillage
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4767} -MaxEvents 1000
$DetailedEvents = $Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        EventRecordID = $_.RecordId
        SubjectUserSid = $Event.Event.EventData.Data[0].'#text'
        SubjectUserName = $Event.Event.EventData.Data[1].'#text'
        SubjectDomainName = $Event.Event.EventData.Data[2].'#text'
        SubjectLogonId = $Event.Event.EventData.Data[3].'#text'
        TargetUserSid = $Event.Event.EventData.Data[4].'#text'
        TargetUserName = $Event.Event.EventData.Data[5].'#text'
        TargetDomainName = $Event.Event.EventData.Data[6].'#text'
        WorkstationName = $Event.Event.EventData.Data[7].'#text'
    }
}

$DetailedEvents | Export-Csv -Path "C:\Temp\UnlockEvents_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  1. Corrélez les événements de déverrouillage avec d'autres événements de sécurité (4624, 4625, 4648)
  2. Examinez les journaux de réplication Active Directory si vous traitez des comptes de domaine
  3. Vérifiez les événements correspondants sur d'autres contrôleurs de domaine
  4. Analysez les journaux de trafic réseau pour la période des déverrouillages suspects
  5. Documentez les résultats pour la réponse aux incidents et le rapport de conformité
  6. Mettez en œuvre des contrôles de surveillance supplémentaires en fonction des résultats de l'enquête
Astuce pro : Utilisez Windows Event Forwarding (WEF) pour centraliser les événements de déverrouillage de plusieurs systèmes pour une analyse complète.

Aperçu

L'ID d'événement 4767 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un compte utilisateur est déverrouillé sur un système Windows. Cet événement se produit dans deux scénarios principaux : lorsqu'un administrateur déverrouille manuellement un compte verrouillé, ou lorsque le système déverrouille automatiquement un compte après l'expiration de la durée de verrouillage configurée.

Cet événement apparaît dans le journal de sécurité et fait partie du cadre d'audit de gestion des comptes de Windows. L'événement capture des détails critiques, y compris quel compte a été déverrouillé, qui a effectué l'opération de déverrouillage, et la station de travail d'où l'action a été initiée. Pour les environnements de domaine, cet événement est enregistré sur les contrôleurs de domaine lorsque des comptes de domaine sont déverrouillés, tandis que les déverrouillages de comptes locaux génèrent l'événement sur la machine locale.

Comprendre l'ID d'événement 4767 est essentiel pour la surveillance de la sécurité, le reporting de conformité, et le dépannage des problèmes de verrouillage de compte. Les équipes de sécurité s'appuient sur cet événement pour suivre les tentatives de déverrouillage non autorisées, valider les actions administratives légitimes, et maintenir des pistes d'audit pour la conformité réglementaire. L'événement offre une visibilité sur les activités de gestion des comptes qui pourraient indiquer à la fois un travail administratif légitime et des incidents de sécurité potentiels.

Questions Fréquentes

Que signifie l'ID d'événement 4767 et quand se produit-il ?+
L'ID d'événement 4767 indique qu'un compte utilisateur a été déverrouillé sur un système Windows. Cet événement se produit dans deux scénarios principaux : lorsqu'un administrateur déverrouille manuellement un compte verrouillé via des outils comme Utilisateurs et ordinateurs Active Directory ou des cmdlets PowerShell, ou lorsque le système déverrouille automatiquement un compte après l'expiration de la durée de verrouillage configurée. L'événement fournit des informations détaillées sur qui a effectué l'opération de déverrouillage, quel compte a été déverrouillé et depuis quel poste de travail l'action a été initiée.
Comment puis-je distinguer les déverrouillages de compte manuels et automatiques dans l'ID d'événement 4767 ?+
Vous pouvez distinguer les déverrouillages manuels et automatiques en examinant les champs Sujet dans les détails de l'événement. Les déverrouillages manuels affichent les informations du compte de l'administrateur dans le champ Nom d'utilisateur du sujet, tandis que les déverrouillages automatiques affichent généralement des comptes système comme 'SYSTEM' ou le compte de l'ordinateur. De plus, les déverrouillages manuels incluent souvent un nom de poste de travail indiquant où l'action administrative a été effectuée, tandis que les déverrouillages automatiques peuvent afficher le nom du contrôleur de domaine ou le nom de l'ordinateur local où le minuteur de verrouillage a expiré.
Dois-je m'inquiéter des entrées fréquentes de l'ID d'événement 4767 pour le même compte utilisateur ?+
Des événements de déverrouillage fréquents pour le même compte justifient une enquête car ils peuvent indiquer des problèmes sous-jacents. Les causes courantes incluent les utilisateurs oubliant les changements de mot de passe, les applications utilisant des identifiants mis en cache, les comptes de service avec des mots de passe expirés, ou des menaces de sécurité potentielles comme des attaques par force brute. Consultez les entrées correspondantes de l'ID d'événement 4740 (verrouillage de compte) pour comprendre pourquoi le compte est verrouillé à plusieurs reprises. Si les déverrouillages sont des réponses administratives à des verrouillages légitimes, envisagez une formation des utilisateurs ou des ajustements de la politique de mot de passe. Cependant, si le schéma semble inhabituel ou se produit en dehors des heures de bureau, traitez-le comme un incident de sécurité potentiel.
L'ID d'événement 4767 peut-il m'aider à suivre la conformité avec les politiques de gestion des comptes ?+
Oui, l'ID d'événement 4767 est précieux pour le suivi de la conformité et le rapport d'audit. L'événement fournit une piste d'audit complète des opérations de déverrouillage de compte, y compris les horodatages, les identités des administrateurs et les stations de travail sources. Vous pouvez utiliser ces données pour démontrer l'adhésion aux politiques de contrôle d'accès, valider que seules les personnes autorisées effectuent des tâches de gestion de compte, et prouver que les opérations de déverrouillage suivent les procédures appropriées. De nombreux cadres de conformité exigent une journalisation détaillée des activités des comptes privilégiés, et l'ID d'événement 4767 aide à satisfaire ces exigences en fournissant une documentation complète des événements de déverrouillage de compte.
Comment configurer la surveillance et les alertes pour les modèles suspects d'ID d'événement 4767 ?+
Pour surveiller efficacement l'ID d'événement 4767, mettez en œuvre une analyse automatisée à l'aide de scripts PowerShell ou de solutions SIEM. Créez des alertes pour les comptes déverrouillés plus qu'un nombre seuil de fois dans un délai spécifique, les déverrouillages effectués en dehors des heures de bureau, ou les déverrouillages par des comptes non autorisés. Utilisez le transfert d'événements Windows pour centraliser les événements de plusieurs systèmes, puis appliquez des règles de corrélation pour identifier les modèles. Configurez des tâches PowerShell planifiées pour générer des rapports réguliers montrant la fréquence de déverrouillage par compte et administrateur. Envisagez d'intégrer des outils d'orchestration de sécurité pour enquêter automatiquement sur les modèles suspects et notifier les équipes de sécurité des incidents potentiels nécessitant une attention immédiate.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive documentation covering Windows security auditing events including account management events like 4767https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Security Log Events ReferenceOfficial Microsoft documentation specifically for Event ID 4767 with detailed field descriptions and exampleshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4767
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4767

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...