ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Security analyst monitoring Windows Event Viewer showing security audit logs on multiple displays
Event ID 4781InformationSecurityWindows

ID d'événement Windows 4781 – Sécurité : Nom de compte modifié

L'ID d'événement 4781 enregistre lorsqu'un nom de compte utilisateur est modifié dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4781Security 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4781 représente un événement d'audit de sécurité critique qui documente les modifications de nom de compte utilisateur dans les environnements Windows. Cet événement se génère automatiquement lorsque l'attribut sAMAccountName change dans Active Directory ou lorsqu'un nom de compte utilisateur local est modifié via des outils administratifs ou des interfaces programmatiques.

La structure de l'événement inclut des détails complets sur la modification du compte, y compris le nom de compte d'origine, le nouveau nom de compte, l'identifiant de sécurité (SID) du compte modifié, et l'identité de l'utilisateur effectuant la modification. L'événement capture également les informations de session de connexion, les détails du package d'authentification, et le poste de travail d'où provient le changement.

D'un point de vue sécurité, l'événement 4781 sert de pierre angulaire pour détecter les modifications de compte non autorisées. Les changements légitimes de nom de compte suivent généralement des procédures établies et se produisent pendant les heures de bureau par des administrateurs autorisés. Les schémas suspects incluent des changements de nom de compte en dehors des heures de travail, des modifications par des utilisateurs non administratifs, ou des séquences rapides de changements de nom de compte qui pourraient indiquer des outils d'attaque automatisés.

L'événement s'intègre à la configuration avancée de la politique d'audit de Windows et nécessite l'activation de la sous-catégorie 'Audit de la gestion des comptes utilisateurs'. Dans les environnements de domaine, l'événement se génère sur les contrôleurs de domaine où la modification de compte se produit. Pour les comptes locaux, l'événement apparaît sur le système spécifique où réside le compte utilisateur local.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur renommant manuellement des comptes d'utilisateurs via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell ou outils automatisés modifiant les noms de compte via les cmdlets Set-ADUser ou Rename-LocalUser
  • Systèmes de gestion d'identité tiers synchronisant les modifications de compte
  • Exchange Server ou autres applications mettant à jour les attributs de compte incluant des changements de nom
  • Outils de migration renommant des comptes lors de la consolidation ou restructuration de domaine
  • Acteurs malveillants tentant de cacher des comptes compromis en changeant les noms
  • Opérations de gestion de comptes en masse utilisant des importations CSV ou des modifications LDAP
  • Projets de standardisation des noms de comptes de service
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'Événement 4781 pour comprendre le contexte du changement de compte.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4781 en utilisant l'option de filtre dans le volet Actions
  3. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
    • Ancien nom de compte : sAMAccountName original
    • Nouveau nom de compte : sAMAccountName modifié
    • Domaine de compte : Nom de domaine ou d'ordinateur
    • Sujet : Utilisateur qui a effectué le changement
    • ID de connexion : Identifiant de session pour la corrélation
  4. Notez l'horodatage et corrélez avec les fenêtres de maintenance programmées
  5. Vérifiez si le changement est conforme aux procédures administratives documentées
Astuce pro : La section Sujet montre le compte utilisateur réel qui a effectué le renommage, ce qui peut différer de l'utilisateur connecté si RunAs ou la délégation est utilisé.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'événement 4781 sur plusieurs systèmes.

  1. Interroger les changements récents de nom de compte sur le système local :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} -MaxEvents 50 | Select-Object TimeCreated, @{Name='OldName';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Old Account Name:'}) -replace '.*Old Account Name:\s*',''}}, @{Name='NewName';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'New Account Name:'}) -replace '.*New Account Name:\s*',''}}
  2. Rechercher des changements spécifiques de nom de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} | Where-Object {$_.Message -match 'testuser'} | Format-Table TimeCreated, Id, LevelDisplayName
  3. Interroger les contrôleurs de domaine pour les changements de compte AD :
    $DCs = Get-ADDomainController -Filter *
foreach ($DC in $DCs) {
    Invoke-Command -ComputerName $DC.HostName -ScriptBlock {
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} -MaxEvents 10
    }
}
  4. Exporter les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} | Export-Csv -Path "C:\Temp\AccountNameChanges.csv" -NoTypeInformation
03

Enquêter sur les modèles de changement de compte

Analyser les modèles de changements de nom de compte pour identifier les problèmes de sécurité potentiels ou les tendances administratives.

  1. Vérifier les modèles de timing suspects :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} | Group-Object @{Expression={$_.TimeCreated.Hour}} | Sort-Object Count -Descending
  2. Identifier les utilisateurs changeant fréquemment de nom de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} | ForEach-Object {
    $Subject = ($_.Message -split '\n' | Where-Object {$_ -match 'Subject:'} | Select-Object -First 1) -replace '.*Account Name:\s*',''
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ChangedBy = $Subject
        Message = $_.Message
    }
} | Group-Object ChangedBy | Sort-Object Count -Descending
  3. Faire une référence croisée avec les événements de connexion (4624) pour vérifier les sessions légitimes :
    $LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624}
$NameChangeEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781}
# Corréler par ID de connexion et horodatage
  4. Vérifier Active Directory pour des modifications de compte supplémentaires :
    Get-ADUser -Filter * -Properties whenChanged, whenCreated | Where-Object {$_.whenChanged -gt (Get-Date).AddDays(-7)} | Select-Object Name, SamAccountName, whenChanged
Avertissement : Plusieurs changements rapides de nom de compte ou des changements en dehors des heures de travail peuvent indiquer une compromission ou un accès non autorisé.
04

Configurer la surveillance avancée

Configurez une surveillance complète pour les changements de nom de compte afin d'améliorer la posture de sécurité et la conformité.

  1. Vérifiez la configuration de la politique d'audit :
    auditpol /get /subcategory:"User Account Management"
  2. Activez l'audit détaillé si ce n'est pas déjà configuré :
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
  3. Créez une tâche planifiée pour surveiller l'événement 4781 :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} -MaxEvents 1 | Send-MailMessage -To 'admin@company.com' -From 'monitoring@company.com' -Subject 'Account Name Changed' -SmtpServer 'mail.company.com'"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries
Register-ScheduledTask -TaskName "Monitor-AccountNameChanges" -Action $Action -Trigger $Trigger -Settings $Settings
  4. Configurez le transfert d'événements Windows pour une collecte centralisée :
    • Sur le serveur collecteur : wecutil qc
    • Créez un abonnement : wecutil cs subscription.xml
    • Configurez les ordinateurs sources pour transférer les événements de sécurité
  5. Configurez l'intégration SIEM en utilisant le transfert de journal d'événements Windows ou des agents
05

Analyse médico-légale et réponse

Effectuez une analyse médico-légale approfondie lorsque des changements suspects de nom de compte sont détectés.

  1. Préservez les preuves en exportant les journaux d'événements pertinents :
    wevtutil epl Security C:\Forensics\Security_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx
  2. Analysez la chronologie complète autour du changement de compte :
    $StartTime = (Get-Date).AddHours(-2)
$EndTime = (Get-Date).AddHours(2)
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Id -in @(4624,4625,4648,4672,4781)} | Sort-Object TimeCreated
  3. Vérifiez les modifications de registre associées :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4657} | Where-Object {$_.Message -match 'SAM\\SAM\\Domains'}
  4. Examinez les événements de création de processus autour du moment du changement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.TimeCreated -gt $StartTime -and $_.TimeCreated -lt $EndTime} | Select-Object TimeCreated, @{Name='Process';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'New Process Name:'}) -replace '.*New Process Name:\s*',''}}
  5. Documentez les résultats et mettez en œuvre des mesures de confinement si une activité malveillante est confirmée :
    • Réinitialisez les mots de passe des comptes affectés
    • Examinez et révoquez les privilèges administratifs inutiles
    • Mettez à jour les politiques de sécurité et les règles de surveillance
    • Effectuez des analyses supplémentaires du système pour détecter des indicateurs de compromission
Conseil pro : Corrélez l'événement 4781 avec les événements de connexion réseau (type 3 de 4624) pour identifier les systèmes distants impliqués dans la modification du compte.

Aperçu

L'ID d'événement 4781 se déclenche chaque fois qu'un nom de compte utilisateur est modifié dans Windows, que ce soit dans Active Directory ou dans la base de données locale du Security Account Manager (SAM). Cet événement d'audit de sécurité capture à la fois les anciens et nouveaux noms de compte, ainsi que l'identité de l'utilisateur qui a effectué le changement. L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être généré correctement.

Cet événement est essentiel pour la surveillance de la sécurité car les changements de nom de compte peuvent indiquer des actions administratives légitimes ou une activité potentiellement malveillante. Les attaquants renomment parfois des comptes pour cacher leur présence ou créer de la confusion lors de la réponse à un incident. L'événement fournit une piste d'audit complète montrant qui a changé quel nom de compte, quand le changement a eu lieu, et depuis quel système.

L'événement 4781 est généré sur les contrôleurs de domaine pour les comptes Active Directory et sur les systèmes locaux pour les comptes utilisateurs locaux. L'événement inclut des informations détaillées sur le contexte de sécurité, y compris l'ID de connexion et le package d'authentification utilisé. Comprendre cet événement aide les administrateurs à maintenir une surveillance de sécurité appropriée et à répondre aux exigences de conformité pour la gestion des comptes utilisateurs.

Questions Fréquentes

Que signifie l'ID d'événement Windows 4781 et quand se produit-il ?+
L'ID d'événement 4781 indique qu'un nom de compte utilisateur a été modifié dans Windows. Cet événement se déclenche chaque fois que l'attribut sAMAccountName est modifié dans Active Directory ou lorsqu'un nom de compte utilisateur local est changé. L'événement capture à la fois les anciens et nouveaux noms de compte, ainsi que des détails sur qui a effectué le changement et quand il a eu lieu. Il est généré sur les contrôleurs de domaine pour les comptes AD et sur les systèmes locaux pour les comptes utilisateurs locaux.
Comment puis-je savoir si un événement 4781 représente une activité administrative légitime ou une menace pour la sécurité ?+
Les occurrences légitimes de l'événement 4781 se produisent généralement pendant les heures de bureau par des administrateurs autorisés suivant des procédures documentées. Les indicateurs suspects incluent : changements de nom de compte en dehors des heures de travail, modifications par des utilisateurs non administratifs, séquences rapides de changements de nom, changements sur des comptes à privilèges élevés, ou modifications depuis des systèmes inattendus. Recoupez l'événement avec vos enregistrements de gestion des changements et vérifiez que l'utilisateur effectuant le changement avait l'autorisation appropriée.
Pourquoi est-ce que je ne vois pas l'événement 4781 dans mon journal de sécurité alors que des noms de compte ont été modifiés ?+
L'événement 4781 nécessite une configuration appropriée de la stratégie d'audit pour être généré. Vérifiez que 'Audit de la gestion des comptes d'utilisateur' est activé en utilisant 'auditpol /get /subcategory:"User Account Management"'. Si désactivé, activez-le avec 'auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable'. Vérifiez également que le journal de sécurité n'est pas plein et que les politiques de rétention des journaux ne provoquent pas un écrasement trop rapide des événements.
L'événement 4781 peut-il m'aider à retrouver qui a renommé un compte utilisateur spécifique ?+
Oui, l'événement 4781 fournit des informations détaillées sur les changements de nom de compte, y compris le champ Sujet qui montre exactement qui a effectué la modification. L'événement inclut le nom de compte de l'utilisateur, le domaine et l'ID de connexion. Vous pouvez utiliser PowerShell pour rechercher des changements de compte spécifiques : 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4781} | Where-Object {$_.Message -match 'oldaccountname'}' pour trouver quand un compte particulier a été renommé et par qui.
Comment devrais-je réagir si je découvre des changements de nom de compte non autorisés via l'événement 4781 ?+
Si l'événement 4781 révèle des modifications de compte non autorisées, préservez immédiatement les preuves en exportant le journal de sécurité, puis enquêtez sur la chronologie des événements autour du changement. Vérifiez les événements de connexion associés (4624), l'escalade de privilèges (4672) et la création de processus (4688). Réinitialisez les mots de passe des comptes affectés, examinez les privilèges administratifs et recherchez d'autres indicateurs de compromission. Documentez toutes les constatations et mettez à jour les politiques de sécurité pour prévenir des incidents similaires. Envisagez de mettre en place une surveillance en temps réel pour l'événement 4781 afin de détecter rapidement les futurs changements non autorisés.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event 4781 and related account management eventshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies required for Event 4781 generationhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4781

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...