ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows domain controller displaying security audit events in Event Viewer
Event ID 4780InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4780 – Microsoft-Windows-Security-Auditing : Mot de passe du compte d'ordinateur modifié

L'ID d'événement 4780 enregistre lorsqu'un mot de passe de compte d'ordinateur est modifié dans Active Directory. Cet événement d'audit de sécurité suit les mises à jour de mot de passe de compte machine pour les ordinateurs joints au domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4780Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4780 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsqu'un mot de passe de compte d'ordinateur change, soit par renouvellement automatique, soit par action administrative, les contrôleurs de domaine enregistrent cet événement pour maintenir une trace d'audit des modifications de compte machine.

Les comptes d'ordinateur dans Active Directory maintiennent des relations de confiance avec le domaine grâce à des secrets partagés (mots de passe). Ces mots de passe tournent automatiquement tous les 30 jours par défaut, contrôlés par la valeur de registre MaximumPasswordAge. Le processus de changement de mot de passe implique que l'ordinateur client initie un canal sécurisé avec le contrôleur de domaine et demande un nouveau mot de passe.

L'événement contient des données structurées, y compris l'ID de sécurité (SID) du compte d'ordinateur, le nom du compte, les informations de domaine et les détails sur qui ou quoi a initié le changement. Lorsque des changements de mot de passe automatiques se produisent, le compte d'ordinateur lui-même apparaît comme le sujet effectuant l'action. Les réinitialisations de mot de passe administratives montrent le compte de l'administrateur comme le sujet.

Cet événement joue un rôle crucial dans la surveillance de la sécurité et la conformité. Les organisations utilisent les événements 4780 pour détecter une activité anormale de compte d'ordinateur, valider les calendriers de rotation automatique des mots de passe et enquêter sur les violations de sécurité potentielles impliquant des comptes machine compromis. L'événement aide également à résoudre les problèmes de confiance de domaine lorsque les ordinateurs perdent leurs relations de canal sécurisé.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Renouvellement automatique du mot de passe du compte ordinateur (par défaut tous les 30 jours)
  • Réinitialisation administrative du mot de passe du compte ordinateur à l'aide de Utilisateurs et ordinateurs Active Directory
  • Cmdlets PowerShell comme Reset-ComputerMachinePassword exécutés sur des ordinateurs joints au domaine
  • Réintégration de l'ordinateur dans le domaine après avoir été retiré ou avoir rencontré des problèmes de relation de confiance
  • Outils ou scripts tiers modifiant les mots de passe des comptes ordinateurs
  • Paramètres de stratégie de groupe forçant les changements de mot de passe des comptes ordinateurs
  • Événements de réplication du contrôleur de domaine synchronisant les changements de mot de passe
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4780 pour comprendre le contexte et la portée du changement de mot de passe.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4780 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez la section Sujet pour identifier qui a initié le changement
  6. Vérifiez la section Compte cible pour l'ordinateur affecté
  7. Notez l'horodatage et la corrélation avec d'autres événements de sécurité

Champs clés à examiner :

  • Nom du compte sujet : Indique qui a effectué le changement
  • Nom du compte cible : Le compte d'ordinateur qui a été modifié
  • Domaine cible : Domaine où réside le compte
  • Privilèges : Privilèges de sécurité utilisés pour l'opération
Astuce pro : Corrélez les événements 4780 avec les événements 4624 (connexion) et 4634 (déconnexion) pour obtenir une image complète de l'activité du compte d'ordinateur.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements 4780 sur plusieurs contrôleurs de domaine ou périodes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents 4780 :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4780} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  1. Filtrez les événements pour des comptes d'ordinateur spécifiques :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4780} | Where-Object {$_.Message -like "*COMPUTERNAME*"}
  1. Exportez les événements vers un fichier CSV pour analyse :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4780; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated, Id, @{Name='ComputerAccount';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[1] -replace '.*Account Name:\s*',''}}, @{Name='Subject';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*' -and $_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*',''}} | Export-Csv -Path "C:\Temp\Event4780_Analysis.csv" -NoTypeInformation
  1. Vérifiez les modèles inhabituels ou la fréquence des changements de mot de passe
Avertissement : Les requêtes importantes contre le journal de sécurité peuvent affecter les performances du contrôleur de domaine. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Vérifier les paramètres d'âge du mot de passe du compte d'ordinateur

Enquêter sur les paramètres de la stratégie de mot de passe de domaine qui contrôlent les changements automatiques de mot de passe des comptes d'ordinateur.

  1. Vérifiez la stratégie de mot de passe de domaine actuelle :
Get-ADDefaultDomainPasswordPolicy
  1. Examinez les paramètres de registre de l'âge du mot de passe du compte d'ordinateur sur les ordinateurs clients :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "MaximumPasswordAge"
  1. Vérifiez si les changements de mot de passe sont désactivés :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "DisablePasswordChange"
  1. Examinez les paramètres de stratégie de groupe affectant les mots de passe des comptes d'ordinateur :
  2. Ouvrez Group Policy Management Console
  3. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéStratégies localesOptions de sécurité
  4. Vérifiez Membre du domaine : Âge maximum du mot de passe du compte machine
  5. Vérifiez que Membre du domaine : Désactiver les changements de mot de passe du compte machine n'est pas activé

Valeurs par défaut :

  • MaximumPasswordAge : 30 jours (2592000 secondes)
  • DisablePasswordChange : Devrait être 0 (désactivé) ou non présent
Astuce pro : Définir MaximumPasswordAge sur 0 désactive les changements automatiques de mot de passe, ce qui peut créer des risques de sécurité mais peut être nécessaire pour certaines applications héritées.
04

Enquêter sur les problèmes de relation de confiance

Lorsque les événements 4780 apparaissent fréquemment ou de manière inattendue, examinez les problèmes potentiels de canal sécurisé ou de relation de confiance.

  1. Testez le canal sécurisé depuis l'ordinateur affecté :
Test-ComputerSecureChannel -Verbose
  1. Si le test échoue, réparez le canal sécurisé :
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
  1. Vérifiez l'état de la réplication du contrôleur de domaine :
repadmin /replsummary
  1. Vérifiez l'état du compte d'ordinateur dans Active Directory :
Get-ADComputer -Identity "COMPUTERNAME" -Properties PasswordLastSet, LastLogonDate, Enabled
  1. Examinez la résolution DNS pour les contrôleurs de domaine :
nslookup -type=SRV _ldap._tcp.dc._msdcs.yourdomain.com
  1. Vérifiez la synchronisation de l'heure entre le client et les contrôleurs de domaine :
w32tm /query /status
Avertissement : Un décalage horaire supérieur à 5 minutes peut provoquer des échecs d'authentification et déclencher des tentatives fréquentes de changement de mot de passe.
05

Analyse et surveillance de sécurité avancées

Mettre en œuvre une surveillance et une analyse complètes de 4780 événements à des fins de sécurité et de conformité.

  1. Créer un script PowerShell personnalisé pour une surveillance continue :
# Surveiller 4780 événements et alerter sur les anomalies
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4780; StartTime=(Get-Date).AddHours(-1)}
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $SubjectAccount = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $TargetAccount = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
    
    # Alerter si le changement de mot de passe est initié par un compte non-système
    if ($SubjectAccount -ne $TargetAccount -and $SubjectAccount -ne 'SYSTEM') {
        Write-Warning "Changement de mot de passe manuel détecté : $TargetAccount par $SubjectAccount à $($Event.TimeCreated)"
    }
}
  1. Configurer le transfert d'événements Windows pour centraliser les événements 4780 :
  2. Sur le serveur collecteur, activer le service Windows Event Collector :
wecutil qc
  1. Créer un abonnement pour les événements 4780 :
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ComputerPasswordChanges</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4780]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  1. Configurer l'intégration SIEM pour une analyse automatisée :
  2. Configurer le transfert de journaux vers votre solution SIEM
  3. Créer des règles de corrélation pour détecter :
  • Changements de mot de passe excessifs depuis des ordinateurs uniques
  • Changements de mot de passe en dehors des fenêtres de maintenance
  • Changements initiés par des comptes utilisateurs inattendus
  • Modèles indiquant un potentiel compromis
Astuce pro : Établissez une base de référence des modèles normaux de changement de mot de passe des comptes d'ordinateur dans votre environnement pour identifier efficacement les anomalies et les incidents de sécurité potentiels.

Aperçu

L'ID d'événement 4780 se déclenche lorsqu'un mot de passe de compte d'ordinateur change dans Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur les modifications de mot de passe de compte machine. Les comptes d'ordinateur changent automatiquement leurs mots de passe tous les 30 jours par défaut, ce qui en fait un événement de sécurité routinier mais important à surveiller.

L'événement capture des détails critiques, y compris le compte d'ordinateur cible, le compte qui a initié le changement, et les informations de l'horodatage. Les contrôleurs de domaine génèrent cet événement dans le cadre de l'audit de sécurité Windows lorsque la Configuration de la Stratégie d'Audit Avancée active l'audit de la Gestion des Comptes d'Ordinateur.

Cet événement diffère des changements de mot de passe de compte utilisateur et suit spécifiquement les relations de confiance des machines. La surveillance des événements 4780 aide les administrateurs à suivre la maintenance des comptes d'ordinateur, à détecter les changements de mot de passe non autorisés, et à résoudre les problèmes de confiance de domaine. L'événement fournit une valeur médico-légale pour les enquêtes de sécurité impliquant des comptes d'ordinateur compromis ou une activité de domaine suspecte.

Questions Fréquentes

Que signifie l'ID d'événement 4780 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 4780 indique qu'un mot de passe de compte d'ordinateur a été modifié dans Active Directory. Il s'agit généralement d'un processus automatisé normal qui se produit tous les 30 jours par défaut. Vous devriez vous inquiéter si vous constatez une fréquence excessive de ces événements provenant du même ordinateur, des changements de mot de passe initiés par des comptes d'utilisateurs inattendus plutôt que par l'ordinateur lui-même, ou si ces événements sont corrélés avec des échecs d'authentification ou des problèmes de relation de confiance. Les changements de mot de passe manuels par les administrateurs en dehors des fenêtres de maintenance peuvent également justifier une enquête.
Comment puis-je distinguer entre les changements de mot de passe de compte d'ordinateur automatiques et manuels ?+
Dans l'ID d'événement 4780, examinez la section Sujet des détails de l'événement. Les changements de mot de passe automatiques montrent le compte de l'ordinateur lui-même (se terminant par $) à la fois comme sujet et cible. Les changements manuels initiés par les administrateurs afficheront le compte utilisateur de l'administrateur dans la section Sujet tandis que le compte cible montre le compte de l'ordinateur. De plus, les changements automatiques se produisent généralement à des intervalles réguliers de 30 jours, tandis que les changements manuels se produisent à des moments irréguliers et sont souvent corrélés avec des activités administratives ou des efforts de dépannage.
Pourquoi est-ce que je vois fréquemment des événements 4780 provenant du même ordinateur ?+
Des événements 4780 fréquents provenant du même ordinateur indiquent généralement des problèmes de relation de confiance entre l'ordinateur et le contrôleur de domaine. Les causes courantes incluent des problèmes de synchronisation de l'heure (décalage horaire supérieur à 5 minutes), des problèmes de résolution DNS empêchant l'ordinateur de contacter les contrôleurs de domaine, des problèmes de connectivité réseau ou une corruption de la base de données de sécurité locale. Exécutez Test-ComputerSecureChannel pour diagnostiquer le problème, vérifiez la synchronisation de l'heure avec w32tm /query /status, et vérifiez la résolution DNS pour les contrôleurs de domaine.
Puis-je désactiver les changements automatiques de mot de passe du compte ordinateur, et devrais-je le faire ?+
Oui, vous pouvez désactiver les changements automatiques de mot de passe en définissant la valeur de registre DisablePasswordChange à 1 dans HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters ou en configurant le paramètre de stratégie de groupe 'Membre du domaine : Désactiver les changements de mot de passe du compte machine'. Cependant, cela n'est généralement pas recommandé car cela réduit la sécurité en maintenant des mots de passe statiques indéfiniment. Désactivez cette fonctionnalité uniquement si vous avez des applications héritées qui se cassent lorsque les mots de passe des ordinateurs changent, et assurez-vous d'avoir des contrôles de sécurité compensatoires en place.
Comment puis-je dépanner les échecs d'authentification liés aux problèmes de mot de passe du compte d'ordinateur ?+
Commencez par exécuter Test-ComputerSecureChannel -Verbose pour vérifier l'état de la relation de confiance. Si cela échoue, utilisez Test-ComputerSecureChannel -Repair avec les identifiants d'administrateur de domaine. Vérifiez le Visualiseur d'événements pour des événements liés comme 3210 (échec du canal sécurisé) ou 5722 (échec de la relation de confiance). Vérifiez la synchronisation de l'heure entre l'ordinateur et les contrôleurs de domaine en utilisant w32tm /query /status. Assurez-vous que le DNS est correctement configuré et que l'ordinateur peut résoudre les noms des contrôleurs de domaine. Si les problèmes persistent, vous devrez peut-être retirer et rejoindre l'ordinateur au domaine, ce qui générera de nouveaux événements 4780 lors de la rétablissement de la relation de confiance.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including computer account management events like 4780.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy ConfigurationDocumentation on configuring audit policies to capture computer account management events in Windows environments.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4780#computer-accounts

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...