ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Server Active Directory Group Policy Management Console displaying security policy configurations
Event ID 4936InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4936 – Microsoft-Windows-Security-Auditing : Changement de politique de gestion des comptes utilisateur

L'ID d'événement 4936 enregistre les modifications des politiques de gestion des comptes utilisateurs dans Active Directory. Cet événement d'audit de sécurité se déclenche lorsque les administrateurs modifient les politiques de mot de passe, les paramètres de verrouillage de compte ou les politiques d'authentification Kerberos.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4936Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4936 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour suivre les modifications des politiques de gestion des comptes utilisateurs au sein des domaines Active Directory. Lorsque cet événement se déclenche, il indique que quelqu'un avec des privilèges suffisants a modifié des politiques d'authentification et d'autorisation critiques qui régissent le comportement des comptes utilisateurs au sein du domaine.

L'événement capture les modifications de plusieurs domaines politiques clés, y compris les paramètres de la stratégie de domaine par défaut pour la complexité des mots de passe, la longueur minimale des mots de passe, l'historique des mots de passe, l'âge maximal des mots de passe, l'âge minimal des mots de passe, le seuil de verrouillage de compte, la durée de verrouillage de compte, et les paramètres de réinitialisation du compteur de verrouillage de compte. De plus, il suit les modifications des politiques Kerberos telles que la durée de vie maximale des tickets utilisateur, la durée de vie maximale des tickets de service, la tolérance maximale pour la synchronisation de l'horloge de l'ordinateur, et l'application des restrictions de connexion utilisateur.

Cet événement d'audit est particulièrement précieux dans les environnements d'entreprise où les exigences de conformité imposent un suivi détaillé des modifications des politiques de sécurité. L'événement fournit des informations de qualité médico-légale, y compris l'horodatage exact de la modification, le compte utilisateur qui a initié la modification, le poste de travail à partir duquel la modification a été effectuée, et des détails spécifiques sur l'objet de la politique qui a été modifié. Ce niveau de détail granulaire rend l'ID d'événement 4936 indispensable pour la réponse aux incidents de sécurité, le reporting de conformité, et le maintien d'une piste d'audit des actions administratives pouvant impacter la sécurité du domaine.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur modifiant les paramètres de mot de passe de la stratégie de domaine par défaut via la console de gestion des stratégies de groupe
  • Scripts PowerShell exécutant Set-ADDefaultDomainPasswordPolicy ou des cmdlets similaires
  • Modification directe des objets de stratégie de domaine à l'aide d'ADSI Edit ou d'autres outils Active Directory de bas niveau
  • Mises à jour de la stratégie de groupe appliquées contenant des modifications aux stratégies de compte
  • Outils de gestion de politique automatisée effectuant des modifications programmatiques aux politiques de compte utilisateur
  • Événements de réplication du contrôleur de domaine synchronisant les modifications de politique à partir d'autres contrôleurs de domaine
  • Outils de conformité de sécurité ajustant automatiquement les politiques de mot de passe pour répondre aux exigences organisationnelles
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4936 pour comprendre quelle politique a été modifiée et par qui.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4936 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
    • Sujet : Le compte utilisateur qui a effectué le changement
    • Changement de politique : L'objet de politique spécifique qui a été modifié
    • Informations sur le processus : Le processus qui a initié le changement
  5. Notez l'horodatage et corrélez-le avec les activités administratives récentes

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4936} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Analyser les modifications de politique avec PowerShell

Utilisez PowerShell pour extraire des informations détaillées sur les modifications de politique et identifier les modèles ou modifications non autorisées.

  1. Interroger les événements ID 4936 avec un filtrage détaillé :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4936; StartTime=(Get-Date).AddDays(-7)}
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $Subject = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $PolicyName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'PolicyName'} | Select-Object -ExpandProperty '#text'
    Write-Output "Time: $($Event.TimeCreated) | User: $Subject | Policy: $PolicyName"
}
  1. Faire une référence croisée des modifications avec les paramètres de politique de domaine actuels :
Get-ADDefaultDomainPasswordPolicy | Format-List *
  1. Vérifiez les modifications récentes de la stratégie de groupe qui pourraient correspondre aux événements
03

Enquêter sur les modifications de la gestion des stratégies de groupe

Examinez les journaux et les paramètres de la console de gestion des stratégies de groupe pour comprendre le contexte des modifications de stratégie.

  1. Ouvrez Group Policy Management Console (gpmc.msc)
  2. Accédez à ForêtDomainesVotre DomaineStratégie de Domaine par Défaut
  3. Cliquez avec le bouton droit sur Stratégie de Domaine par Défaut et sélectionnez Modifier
  4. Accédez à Configuration de l'OrdinateurStratégiesParamètres WindowsParamètres de SécuritéStratégies de Compte
  5. Examinez les paramètres actuels pour :
    • Stratégie de Mot de Passe
    • Stratégie de Verrouillage de Compte
    • Stratégie Kerberos
  6. Vérifiez l'onglet Sécurité de la Stratégie de Domaine par Défaut pour voir qui a les permissions de la modifier
  7. Utilisez PowerShell pour obtenir des informations détaillées sur la stratégie :
Get-GPO -Name "Default Domain Policy" | Get-GPPermission -All | Where-Object {$_.Permission -eq "GpoEdit"}
04

Activer l'audit avancé pour les modifications de politique

Configurez un audit complet pour capturer des informations plus détaillées sur les futurs changements de politique.

  1. Ouvrez Group Policy Management Console et modifiez la Default Domain Controllers Policy
  2. Accédez à Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Policy ConfigurationAudit PoliciesPolicy Change
  3. Activez Audit Authentication Policy Change pour les succès et les échecs
  4. Activez Audit Authorization Policy Change pour les succès et les échecs
  5. Appliquez la politique et exécutez gpupdate sur les contrôleurs de domaine :
gpupdate /force
  1. Vérifiez que les paramètres d'audit sont appliqués :
auditpol /get /subcategory:"Authentication Policy Change"
  1. Configurez une surveillance automatisée à l'aide de PowerShell :
Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4936" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    Write-Host "Policy Change Detected: $($Event.TimeGenerated) - $($Event.Message)"
}
05

Mettre en œuvre une surveillance complète des changements de politique

Déployez une surveillance et une alerte de niveau entreprise pour les changements de politique critiques en utilisant des scripts PowerShell avancés et le transfert d'événements Windows.

  1. Créez un script de surveillance complet qui suit tous les événements liés aux politiques :
# Enregistrer sous Monitor-PolicyChanges.ps1
param(
    [string]$LogPath = "C:\Logs\PolicyChanges.log",
    [string]$SMTPServer = "mail.company.com",
    [string]$AlertEmail = "security@company.com"
)

$EventFilter = @{
    LogName = 'Security'
    Id = 4936, 4739, 4713, 4719
    StartTime = (Get-Date).AddMinutes(-5)
}

$Events = Get-WinEvent -FilterHashtable $EventFilter -ErrorAction SilentlyContinue

foreach ($Event in $Events) {
    $EventData = [xml]$Event.ToXml()
    $LogEntry = "$(Get-Date): Event $($Event.Id) - User: $($EventData.Event.EventData.Data[1].'#text') - Policy: $($EventData.Event.EventData.Data[4].'#text')"
    Add-Content -Path $LogPath -Value $LogEntry
    
    # Envoyer une alerte pour les changements critiques
    if ($Event.Id -eq 4936) {
        Send-MailMessage -To $AlertEmail -From "noreply@company.com" -Subject "Critical Policy Change Detected" -Body $LogEntry -SmtpServer $SMTPServer
    }
}
  1. Planifiez l'exécution du script toutes les 5 minutes à l'aide du Planificateur de tâches :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-PolicyChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "PolicyChangeMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Configurez le transfert d'événements Windows pour centraliser les événements de changement de politique de tous les contrôleurs de domaine
  2. Configurez des vues personnalisées dans le Visualiseur d'événements pour filtrer et afficher les événements de changement de politique à travers le domaine

Aperçu

L'ID d'événement 4936 est un événement d'audit de sécurité critique qui suit les modifications des politiques de gestion des comptes utilisateurs dans les environnements Active Directory. Cet événement se déclenche chaque fois que les administrateurs de domaine ou les utilisateurs avec les privilèges appropriés modifient les politiques de mot de passe, les configurations de verrouillage de compte ou les paramètres d'authentification Kerberos via la console de gestion des stratégies de groupe, les cmdlets PowerShell ou les modifications directes d'Active Directory.

L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur la politique qui a été modifiée, qui a effectué le changement et quand il a eu lieu. Cela le rend essentiel pour l'audit de conformité, la surveillance de la sécurité et le dépannage des problèmes d'authentification qui peuvent survenir après des modifications de politique.

Comprendre cet événement est crucial pour les administrateurs de domaine gérant les environnements Windows Server 2025 et les versions antérieures, car il aide à maintenir la visibilité sur les changements critiques de politique de sécurité qui pourraient affecter l'authentification des utilisateurs, les exigences de mot de passe et la posture globale de sécurité du domaine. Les données de l'événement incluent l'objet de politique spécifique qui a été modifié et l'identifiant de sécurité de l'utilisateur qui a effectué le changement.

Questions Fréquentes

Que suit spécifiquement l'ID d'événement 4936 dans Active Directory ?+
L'ID d'événement 4936 suit les modifications des politiques de gestion des comptes utilisateurs au sein d'Active Directory, y compris les modifications des politiques de mot de passe (complexité, longueur, historique, exigences d'âge), des politiques de verrouillage de compte (seuil, durée, réinitialisation du compteur) et des politiques d'authentification Kerberos (durée de vie des tickets, tolérance de synchronisation de l'horloge). L'événement capture qui a effectué la modification, quand elle a eu lieu, quel objet de politique spécifique a été modifié et depuis quel poste de travail la modification a été initiée. Cela le rend essentiel pour maintenir les pistes d'audit de sécurité et les rapports de conformité dans les environnements d'entreprise.
Comment puis-je déterminer quel paramètre de politique spécifique a été modifié lorsque l'ID d'événement 4936 se produit ?+
Pour identifier le changement de politique spécifique, examinez les détails de l'événement dans le Visualiseur d'événements ou utilisez PowerShell pour analyser l'XML de l'événement. L'événement contient des champs comme 'PolicyName' et 'PolicyType' qui indiquent quel objet de politique a été modifié. Vous pouvez utiliser PowerShell pour extraire cette information : `$EventXML = [xml]$Event.ToXml(); $PolicyName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'PolicyName'} | Select-Object -ExpandProperty '#text'`. De plus, comparez les paramètres de politique actuels avec les configurations précédentes en utilisant `Get-ADDefaultDomainPasswordPolicy` pour identifier ce qui a spécifiquement changé.
L'ID d'événement 4936 est-il généré sur tous les contrôleurs de domaine ou seulement sur celui où le changement a été effectué ?+
L'ID d'événement 4936 est initialement généré sur le contrôleur de domaine où le changement de politique a été directement effectué. Cependant, en raison de la réplication Active Directory, des événements connexes peuvent apparaître sur d'autres contrôleurs de domaine à mesure que les changements de politique se répliquent dans tout le domaine. Le moment de ces événements dépend de votre topologie et de votre calendrier de réplication. Pour obtenir une vue complète des changements de politique dans votre domaine, vous devez surveiller l'ID d'événement 4936 sur tous les contrôleurs de domaine, de préférence en utilisant le transfert d'événements Windows pour centraliser les journaux afin de faciliter l'analyse et la corrélation.
L'ID d'événement 4936 peut-il aider à identifier les modifications de politique non autorisées dans mon domaine ?+
Oui, l'ID d'événement 4936 est excellent pour détecter les modifications non autorisées de politique. L'événement enregistre le compte utilisateur qui a effectué la modification, le poste de travail source et l'horodatage exact. En examinant régulièrement ces événements et en les corrélant avec vos processus de gestion des changements, vous pouvez identifier les modifications de politique qui n'ont pas été correctement autorisées ou documentées. Configurez une surveillance automatisée à l'aide de scripts PowerShell ou de solutions SIEM pour alerter sur les occurrences de l'ID d'événement 4936, surtout en dehors des heures ouvrables ou à partir de comptes utilisateurs inattendus. Cela aide à maintenir la gouvernance de la sécurité et à réagir rapidement aux incidents de sécurité potentiels.
Que dois-je faire si je vois des occurrences fréquentes de l'ID d'événement 4936 sans activités administratives correspondantes ?+
Des occurrences fréquentes et inattendues de l'ID d'événement 4936 pourraient indiquer plusieurs problèmes : scripts automatisés ou applications effectuant des modifications de politique, logiciels malveillants ou accès non autorisé, problèmes de réplication causant des événements en double, ou paramètres de stratégie de groupe mal configurés entraînant des applications répétées de politique. Tout d'abord, identifiez le compte utilisateur et le système source générant les événements. Vérifiez si des tâches planifiées, comptes de service ou outils automatisés sont configurés pour modifier les politiques. Examinez les modifications de politique spécifiques pour déterminer si elles sont légitimes. Si les modifications ne sont pas autorisées, enquêtez immédiatement sur les potentielles violations de sécurité, réinitialisez les comptes affectés et examinez les journaux de sécurité du contrôleur de domaine pour d'autres activités suspectes.
Documentation

Références (2)

1
Microsoft Learn - Security Auditing EventsComprehensive guide to Windows security auditing events and their implementation in enterprise environments.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Security AuditingMicrosoft's official recommendations for configuring audit policies in Active Directory environments.https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4936

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...