ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs for password change monitoring in a cybersecurity operations center
Event ID 4782InformationSecurityWindows

ID d'événement Windows 4782 – Sécurité : Mot de passe du compte utilisateur modifié

L'ID d'événement 4782 enregistre lorsqu'un mot de passe de compte utilisateur est modifié par un administrateur ou via des outils administratifs. Cet événement d'audit de sécurité suit les modifications de mot de passe à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4782Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4782 représente un événement d'audit de sécurité fondamental dans les environnements Windows, spécifiquement conçu pour suivre les changements de mot de passe administratifs à travers l'infrastructure. Lorsqu'un administrateur réinitialise le mot de passe d'un utilisateur via Active Directory Users and Computers, des cmdlets PowerShell ou d'autres outils administratifs, Windows enregistre cet événement pour maintenir une piste d'audit complète.

La structure de l'événement contient plusieurs champs qui fournissent des détails de niveau forensic sur l'opération de changement de mot de passe. La section Sujet identifie qui a effectué l'action, y compris leur ID de sécurité, nom de compte, domaine et ID de connexion. La section Compte Cible spécifie quel compte utilisateur a été modifié, tandis que la section Informations sur le Processus révèle quelle application ou service a initié le changement.

Cet événement joue un rôle crucial dans les cadres de surveillance de la sécurité, en particulier dans les environnements avec des exigences de conformité strictes comme SOX, HIPAA ou PCI-DSS. Les systèmes de gestion des informations et des événements de sécurité (SIEM) surveillent fréquemment l'ID d'événement 4782 pour détecter des activités administratives suspectes, telles que des réinitialisations massives de mots de passe ou des tentatives d'escalade de privilèges non autorisées.

L'événement soutient également les enquêtes forensiques en fournissant des horodatages, des informations sur le poste de travail source et des données de corrélation qui aident à reconstruire la séquence des actions administratives. En 2026, avec des fonctionnalités de sécurité Windows améliorées, cet événement est devenu encore plus détaillé, incluant un contexte supplémentaire sur les méthodes d'authentification utilisées et les politiques de sécurité appliquées lors de l'opération de changement de mot de passe.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Réinitialisation du mot de passe utilisateur par l'administrateur via Utilisateurs et ordinateurs Active Directory
  • Cmdlets PowerShell comme Set-ADAccountPassword ou Set-LocalUser exécutés
  • Opérations de réinitialisation de mot de passe via le Centre d'administration Microsoft 365 pour les comptes hybrides
  • Outils de gestion de mots de passe automatisés effectuant des rotations de mots de passe programmées
  • Applications de support technique ou systèmes de gestion d'identité changeant les mots de passe
  • Modifications de mot de passe imposées par la stratégie de groupe sur les comptes de service
  • Réinitialisations de mot de passe d'urgence lors de la réponse à un incident de sécurité
  • Opérations de mot de passe en masse utilisant des scripts ou outils administratifs
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte du changement de mot de passe.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4782 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur une entrée ID d'événement 4782 pour voir des informations détaillées
  6. Examinez les champs clés suivants :
    • Sujet : Qui a effectué le changement de mot de passe
    • Compte cible : Quel compte a été modifié
    • Informations sur le processus : Quel outil a été utilisé
    • ID de connexion : Identifiant de session pour la corrélation
  7. Vérifiez l'horodatage pour corréler avec d'autres événements de sécurité
  8. Notez le nom de la station de travail si présent pour identifier le système source
Astuce pro : Utilisez l'onglet Détails en vue XML pour voir tous les champs disponibles, y compris certains qui peuvent ne pas s'afficher dans l'onglet Général.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour extraire et analyser les entrées d'ID d'événement 4782 pour des motifs ou des comptes spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de changement de mot de passe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements pour un compte cible spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} | Where-Object {$_.Message -like "*TargetUserName*"} | Select-Object TimeCreated, Message
  4. Extrayez des informations détaillées en utilisant l'analyse XML :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} -MaxEvents 20
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    Write-Output "Time: $($Event.TimeCreated)"
    Write-Output "Subject: $($EventData | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Output "Target: $($EventData | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Output "---"
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} | Export-Csv -Path "C:\Temp\PasswordChanges.csv" -NoTypeInformation
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats lors de l'interrogation de contrôleurs de domaine occupés.
03

Corréler avec des événements de sécurité connexes

Enquêtez sur l'ID d'événement 4782 ainsi que sur les événements connexes pour obtenir une image complète de l'activité administrative.

  1. Interrogez les événements de connexion qui correspondent au changement de mot de passe :
    $PasswordEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} -MaxEvents 10
foreach ($Event in $PasswordEvents) {
    $XML = [xml]$Event.ToXml()
    $LogonId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'}).'#text'
    Write-Output "Changement de mot de passe à : $($Event.TimeCreated)"
    Write-Output "Recherche d'événements de connexion avec LogonId : $LogonId"
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} | Where-Object {$_.Message -like "*$LogonId*"} | Select-Object TimeCreated, Id, Message
}
  2. Vérifiez les événements d'utilisation de privilèges (ID d'événement 4672) qui peuvent précéder les changements de mot de passe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)} | Select-Object TimeCreated, Message
  3. Cherchez les événements de création de processus (ID d'événement 4688) pour identifier les outils utilisés :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*dsa.msc*" -or $_.Message -like "*powershell*"} | Select-Object TimeCreated, Message
  4. Créez une chronologie des événements connexes :
    $StartTime = (Get-Date).AddHours(-2)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4672,4782,4688; StartTime=$StartTime} | Sort-Object TimeCreated
$Events | Select-Object TimeCreated, Id, LevelDisplayName | Format-Table -AutoSize
Astuce pro : Utilisez le champ LogonId pour corréler toutes les activités au sein de la même session de connexion pour une enquête complète.
04

Configurer l'audit et la surveillance avancés

Configurez une surveillance complète des événements de changement de mot de passe pour améliorer la posture de sécurité et le rapport de conformité.

  1. Vérifiez les paramètres de la stratégie d'audit à l'aide de la stratégie de groupe ou de la stratégie locale :
    auditpol /get /subcategory:"User Account Management"
  2. Activez l'audit détaillé si ce n'est pas déjà configuré :
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
  3. Configurez le transfert d'événements Windows pour centraliser les journaux :
    • Ouvrez Gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurModèles d'administrationComposants WindowsTransfert d'événements
    • Configurez Configurer le gestionnaire d'abonnement cible
  4. Configurez le transfert de journaux d'événements personnalisés pour l'ID d'événement 4782 :
    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4782)]]</Select>
  </Query>
</QueryList>
  5. Créez une tâche planifiée pour surveiller et alerter sur les modèles suspects :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorPasswordChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
Register-ScheduledTask -TaskName "Monitor Password Changes" -Action $Action -Trigger $Trigger -RunLevel Highest
  6. Configurez la taille du journal de sécurité pour assurer une rétention adéquate :
    wevtutil sl Security /ms:1073741824
Avertissement : L'augmentation de la journalisation des audits peut avoir un impact significatif sur les performances du système et les exigences de stockage. Surveillez l'espace disque et les performances après avoir activé l'audit détaillé.
05

Mettre en œuvre l'intégration SIEM et la réponse automatisée

Déployez des capacités de surveillance avancées et de réponse automatisée pour l'ID d'événement 4782 dans les environnements d'entreprise.

  1. Configurez le Windows Event Collector (WEC) pour la collecte centralisée :
    wecutil cs C:\Config\PasswordChangeSubscription.xml
  2. Créez un script PowerShell pour la surveillance en temps réel et l'alerte :
    # Monitor-PasswordChanges.ps1
Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4782" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = "Mot de passe changé pour le compte : $($Event.Message)"
    Write-EventLog -LogName Application -Source "PasswordMonitor" -EventId 1001 -Message $Message
    # Envoyer une notification au SIEM ou à l'équipe de sécurité
}
  3. Configurez des traces personnalisées avec Windows Performance Toolkit (WPT) pour une analyse détaillée :
    wpr -start GeneralProfile -start CPU -start DiskIO
  4. Configurez l'intégration avec Microsoft Sentinel ou un SIEM tiers :
    • Installez et configurez l'agent Log Analytics
    • Créez des règles de collecte de journaux personnalisées pour l'ID d'événement 4782
    • Configurez des requêtes KQL pour la détection de modèles
  5. Mettez en œuvre des workflows de réponse automatisée :
    # Exemple : Désactiver le compte si un modèle de changement de mot de passe suspect est détecté
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} | Where-Object {$_.TimeCreated -gt (Get-Date).AddMinutes(-5)}
if ($SuspiciousEvents.Count -gt 10) {
    # Déclencher une réponse de sécurité
    Write-EventLog -LogName Application -Source "SecurityResponse" -EventId 2001 -Message "Activité suspecte de changement de mot de passe détectée"
}
  6. Créez des rapports de conformité en utilisant PowerShell :
    $Report = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782; StartTime=(Get-Date).AddDays(-30)} | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count
$Report | Export-Csv -Path "C:\Reports\MonthlyPasswordChanges.csv" -NoTypeInformation
Astuce pro : Utilisez des algorithmes d'apprentissage automatique dans votre SIEM pour établir des modèles de base pour les changements de mot de passe et détecter automatiquement les anomalies.

Aperçu

L'ID d'événement 4782 se déclenche chaque fois qu'un mot de passe de compte utilisateur est modifié par des actions ou outils administratifs. Cet événement d'audit de sécurité apparaît dans le journal de sécurité et fournit des informations détaillées sur qui a changé le mot de passe, quel compte a été modifié et quand le changement a eu lieu. Contrairement à l'ID d'événement 4723 qui enregistre les changements de mot de passe initiés par l'utilisateur, l'ID d'événement 4782 suit spécifiquement les modifications de mot de passe administratives.

Cet événement devient critique pour les équipes de sécurité surveillant les activités des comptes privilégiés et les exigences de conformité. L'événement capture à la fois les changements de mot de passe réussis et fournit des pistes d'audit pour les enquêtes judiciaires. Windows génère cet événement sur les contrôleurs de domaine, les serveurs membres et les postes de travail lorsque les mots de passe des comptes locaux sont modifiés par des administrateurs.

L'événement inclut des métadonnées précieuses telles que le sujet qui a effectué le changement, le compte cible, les détails de la session de connexion et les informations sur le processus. Les équipes de sécurité s'appuient sur cet événement pour détecter les modifications de mot de passe non autorisées, suivre les activités administratives et maintenir la conformité avec les politiques de sécurité qui exigent l'audit des changements de mot de passe.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4782 et l'ID d'événement 4723 ?+
L'ID d'événement 4782 enregistre les changements de mot de passe administratifs où un administrateur ou le système modifie le mot de passe d'un autre utilisateur, tandis que l'ID d'événement 4723 enregistre lorsque les utilisateurs changent leurs propres mots de passe. L'événement 4782 indique généralement des opérations privilégiées et est plus critique pour la surveillance de la sécurité puisqu'il implique un accès administratif. La structure de l'événement diffère également - 4782 inclut des informations plus détaillées sur le contexte administratif et les outils utilisés pour le changement de mot de passe.
Pourquoi ne vois-je pas l'ID d'événement 4782 dans mon journal de sécurité ?+
L'ID d'événement 4782 nécessite que des paramètres spécifiques de stratégie d'audit soient activés. Vérifiez que 'Audit de la gestion des comptes d'utilisateur' est configuré pour les événements de réussite et d'échec en utilisant 'auditpol /get /subcategory:"User Account Management"'. Sur les contrôleurs de domaine, cet audit est généralement activé par défaut, mais sur les serveurs membres et les stations de travail, vous devrez peut-être le configurer via la stratégie de groupe. Assurez-vous également que le journal de sécurité a une taille et des paramètres de rétention suffisants pour capturer ces événements.
Comment puis-je identifier des changements de mot de passe en masse ou des incidents de sécurité potentiels en utilisant l'ID d'événement 4782 ?+
Surveillez les schémas inhabituels tels que plusieurs entrées d'ID d'événement 4782 dans de courtes périodes, des changements de mot de passe se produisant en dehors des heures de bureau normales, ou des changements effectués par des comptes qui n'ont généralement pas de privilèges administratifs. Utilisez PowerShell pour regrouper les événements par périodes et compter les occurrences : 'Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4782} | Group-Object {$_.TimeCreated.Hour} | Sort-Object Count -Descending'. Configurez des alertes lorsque le nombre dépasse les seuils normaux pour votre environnement.
Quelle information l'ID d'événement 4782 fournit-il pour les enquêtes judiciaires ?+
L'ID d'événement 4782 fournit des données médico-légales complètes, y compris l'horodatage exact du changement de mot de passe, l'ID de sécurité et le nom de compte de la personne ayant effectué le changement, le compte cible qui a été modifié, l'ID de session de connexion pour la corrélation avec d'autres événements, les informations de processus montrant quel outil a été utilisé, et les détails du poste de travail si disponibles. Ces informations permettent aux enquêteurs de reconstituer la chaîne complète des événements, d'identifier la source des actions administratives et de corréler avec d'autres événements de sécurité pour une analyse d'incident complète.
Comment dois-je configurer la rétention et le stockage pour les journaux d'événements ID 4782 dans des environnements conformes ?+
Pour les environnements de conformité, configurez le journal de sécurité avec une taille adéquate (typiquement 1 Go ou plus) et définissez des politiques de rétention basées sur les exigences réglementaires - souvent de 90 jours à 7 ans selon le cadre de conformité. Utilisez le transfert d'événements Windows pour centraliser les journaux vers des serveurs de journaux dédiés avec des systèmes de sauvegarde et d'archivage appropriés. Envisagez de mettre en œuvre une protection de l'intégrité des journaux en utilisant des fonctionnalités comme le transfert de journaux d'événements Windows avec authentification, et assurez-vous que les journaux sont stockés dans des systèmes à preuve de falsification. Documentez vos politiques de rétention et testez régulièrement les procédures de récupération des journaux à des fins d'audit.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4782 and related user account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy ConfigurationOfficial documentation for configuring advanced audit policies to capture security events like password changes.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#password-management#event-id-4782

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...