ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event ID 4944 account lockout events in a SOC environment
Event ID 4944InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4944 – Microsoft-Windows-Security-Auditing : Un compte a été verrouillé

L'ID d'événement 4944 indique qu'un compte utilisateur a été verrouillé en raison du dépassement du nombre maximum de tentatives de connexion échouées pendant la période de seuil de verrouillage configurée.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4944Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4944 représente un mécanisme de sécurité Windows fondamental qui verrouille automatiquement les comptes d'utilisateurs lorsqu'ils dépassent le seuil configuré de tentatives de connexion échouées. Cet événement est généré par le sous-système de l'Autorité de sécurité locale (LSA) et enregistré via le fournisseur Microsoft-Windows-Security-Auditing, ce qui en fait un indicateur fiable à la fois d'incidents de sécurité et de problèmes opérationnels.

L'événement contient des informations judiciaires critiques, y compris le nom du compte cible, le nom de l'ordinateur appelant, l'ID du processus appelant et le package d'authentification spécifique utilisé lors des tentatives échouées. Ces données s'avèrent inestimables pour distinguer les erreurs d'utilisateur légitimes des tentatives d'authentification malveillantes. La corrélation temporelle avec les entrées précédentes de l'ID d'événement 4625 aide les administrateurs à reconstituer la séquence complète des échecs d'authentification.

D'un point de vue sécurité, l'ID d'événement 4944 sert de système d'alerte précoce pour les attaques par force brute, les tentatives de bourrage d'identifiants et les scénarios de comptes compromis. Cependant, il indique également des problèmes opérationnels tels que des comptes de service avec des mots de passe expirés, des incompatibilités de justificatifs d'identité mis en cache ou des utilisateurs ayant des difficultés avec les exigences de complexité des mots de passe. L'apparition de l'événement dans des environnements à haute sécurité déclenche souvent des flux de travail de réponse aux incidents automatisés et des notifications aux équipes de sécurité.

Les implémentations modernes de Windows en 2026 ont amélioré cet événement avec des données contextuelles supplémentaires, y compris une attribution de source plus détaillée et une intégration avec les capacités de détection de Windows Defender pour Endpoint. Cette évolution fait de l'ID d'événement 4944 un événement clé pour des stratégies de surveillance de sécurité complètes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Utilisateur dépassant le nombre maximum de tentatives de connexion échouées configuré dans les paramètres de verrouillage de compte de la stratégie de groupe
  • Attaques par force brute ciblant des comptes d'utilisateurs spécifiques à partir de sources externes ou internes
  • Comptes de service avec des mots de passe expirés ou modifiés tentant une authentification automatisée
  • Conflits d'informations d'identification mises en cache où les informations stockées ne correspondent plus aux mots de passe actuels des comptes
  • Applications ou scripts utilisant des informations d'identification codées en dur qui ont été modifiées ou expirées
  • Problèmes d'authentification réseau faisant apparaître des tentatives de connexion légitimes comme des échecs
  • Problèmes de synchronisation temporelle entre les contrôleurs de domaine et les systèmes clients affectant l'authentification Kerberos
  • Logiciels malveillants ou systèmes compromis tentant de s'authentifier avec des informations d'identification volées ou devinées
  • Utilisateurs oubliant leurs mots de passe après des changements de mot de passe imposés par la politique ou des mises à jour de complexité
Méthodes de résolution

Étapes de dépannage

01

Vérifier le statut de verrouillage du compte et déverrouiller

Tout d'abord, vérifiez l'état actuel du verrouillage et déverrouillez le compte si nécessaire :

# Vérifier l'état de verrouillage du compte
Get-ADUser -Identity "username" -Properties LockedOut, AccountLockoutTime, BadLogonCount

# Déverrouiller le compte
Unlock-ADAccount -Identity "username"

# Vérifier que le déverrouillage a réussi
Get-ADUser -Identity "username" -Properties LockedOut

Naviguez vers Observateur d'événementsJournaux WindowsSécurité et filtrez pour l'ID d'événement 4944 pour voir les détails du verrouillage. Vérifiez les propriétés de l'événement pour le nom de l'ordinateur source et l'horodatage afin d'identifier d'où proviennent les tentatives échouées.

Pour les comptes locaux sur des systèmes autonomes :

# Vérifier l'état du compte local
Get-LocalUser -Name "username" | Select-Object Name, Enabled, AccountExpires, PasswordExpired

# Activer le compte local verrouillé
Enable-LocalUser -Name "username"
Astuce pro : Vérifiez toujours la propriété BadLogonCount pour comprendre combien de tentatives échouées ont déclenché le verrouillage.
02

Analyser les modèles d'échec de connexion avec PowerShell

Enquêter sur les tentatives de connexion échouées qui ont conduit au verrouillage du compte :

# Obtenir les événements récents de connexion échouée (4625) pour le compte verrouillé
$Events = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4625
    StartTime=(Get-Date).AddHours(-24)
} | Where-Object {$_.Message -like "*username*"}

# Afficher des informations détaillées
$Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SourceIP = $Event.Event.EventData.Data[19].'#text'
        WorkstationName = $Event.Event.EventData.Data[13].'#text'
        FailureReason = $Event.Event.EventData.Data[8].'#text'
        LogonType = $Event.Event.EventData.Data[10].'#text'
    }
} | Format-Table -AutoSize

Vérifiez les motifs dans les IP sources et les noms de stations de travail pour identifier les sources d'attaque potentielles :

# Regrouper les tentatives échouées par IP source
$Events | Group-Object {([xml]$_.ToXml()).Event.EventData.Data[19].'#text'} | 
Sort-Object Count -Descending | Select-Object Name, Count
Avertissement : Plusieurs verrouillages à partir de différentes IP sources peuvent indiquer une attaque distribuée ou des identifiants compromis.
03

Examiner la configuration de la politique de verrouillage de compte

Examinez les paramètres actuels de la stratégie de verrouillage de compte qui ont déclenché le verrouillage :

# Vérifier la stratégie de verrouillage de compte de domaine
Get-ADDefaultDomainPasswordPolicy | Select-Object LockoutDuration, LockoutObservationWindow, LockoutThreshold

# Pour les stratégies de mot de passe granulaires
Get-ADFineGrainedPasswordPolicy -Filter * | Select-Object Name, LockoutDuration, LockoutThreshold, LockoutObservationWindow

Accédez à la Console de gestion des stratégies de groupe et naviguez vers Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéStratégies de compteStratégie de verrouillage de compte pour examiner :

  • Seuil de verrouillage de compte (nombre de tentatives échouées)
  • Durée du verrouillage de compte (durée pendant laquelle les comptes restent verrouillés)
  • Réinitialiser le compteur de verrouillage de compte après (fenêtre d'observation)

Vérifiez la stratégie de sécurité locale sur les systèmes autonomes :

# Exporter la stratégie de sécurité actuelle
secedit /export /cfg C:\temp\secpol.cfg

# Examiner les paramètres de verrouillage dans le fichier exporté
Select-String -Path "C:\temp\secpol.cfg" -Pattern "LockoutBadCount|LockoutDuration|ResetLockoutCount"
Astuce pro : Envisagez de mettre en œuvre des stratégies de mot de passe granulaires pour différents groupes d'utilisateurs afin d'équilibrer sécurité et convivialité.
04

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance proactive des événements de verrouillage de compte pour détecter les problèmes tôt :

# Créer une tâche planifiée pour surveiller les événements de verrouillage
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\LockoutMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "AccountLockoutMonitor" -Action $Action -Trigger $Trigger -Settings $Settings

Créez le script de surveillance (C:\Scripts\LockoutMonitor.ps1) :

# Surveiller l'ID d'événement 4944 et envoyer des alertes
$LastCheck = (Get-Date).AddMinutes(-5)
$LockoutEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4944
    StartTime=$LastCheck
}

if ($LockoutEvents) {
    foreach ($Event in $LockoutEvents) {
        $EventXML = [xml]$Event.ToXml()
        $LockedAccount = $EventXML.Event.EventData.Data[0].'#text'
        $SourceWorkstation = $EventXML.Event.EventData.Data[4].'#text'
        
        # Envoyer une alerte par email ou enregistrer dans le SIEM
        Write-EventLog -LogName Application -Source "LockoutMonitor" -EventId 1001 -Message "Compte $LockedAccount verrouillé depuis $SourceWorkstation"
    }
}

Configurez le transfert d'événements Windows pour centraliser les événements de verrouillage :

winrm quickconfig
wecutil qc
Astuce pro : Intégrez avec des solutions SIEM comme Microsoft Sentinel pour des capacités de corrélation avancées et de réponse automatisée.
05

Analyse Forensique Avancée et Remédiation

Effectuer une analyse complète des incidents de sécurité ou des problèmes de verrouillage persistant :

# Script avancé de corrélation d'événements
$StartTime = (Get-Date).AddDays(-7)
$TargetAccount = "username"

# Collecter des événements d'authentification complets
$AuthEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4624,4625,4944,4740
    StartTime=$StartTime
} | Where-Object {$_.Message -like "*$TargetAccount*"}

# Créer une analyse chronologique
$Timeline = $AuthEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        EventID = $_.Id
        EventType = switch($_.Id) {
            4624 { "Connexion réussie" }
            4625 { "Échec de connexion" }
            4944 { "Compte verrouillé" }
            4740 { "Compte verrouillé (ancien)" }
        }
        SourceIP = if($EventXML.Event.EventData.Data[19]) { $EventXML.Event.EventData.Data[19].'#text' } else { "N/A" }
        WorkstationName = if($EventXML.Event.EventData.Data[13]) { $EventXML.Event.EventData.Data[13].'#text' } else { "N/A" }
    }
} | Sort-Object TimeCreated

$Timeline | Export-Csv -Path "C:\temp\AuthTimeline_$TargetAccount.csv" -NoTypeInformation

Vérifier les indicateurs de compromission :

# Analyser les modèles d'authentification pour les anomalies
$SourceIPs = $Timeline | Where-Object {$_.SourceIP -ne "N/A"} | Group-Object SourceIP | Sort-Object Count -Descending
$UnusualHours = $Timeline | Where-Object {$_.TimeCreated.Hour -lt 6 -or $_.TimeCreated.Hour -gt 22}
$MultipleWorkstations = $Timeline | Group-Object WorkstationName | Where-Object {$_.Count -gt 10}

Mettre en œuvre des mesures de sécurité supplémentaires si une compromission est suspectée :

# Forcer la réinitialisation du mot de passe pour le compte compromis
Set-ADAccountPassword -Identity $TargetAccount -Reset -NewPassword (ConvertTo-SecureString "TempPassword123!" -AsPlainText -Force)
Set-ADUser -Identity $TargetAccount -ChangePasswordAtLogon $true

# Révoquer toutes les sessions actives
Get-ADUser -Identity $TargetAccount | Set-ADAccountControl -AccountNotDelegated $true
Avertissement : Toujours coordonner avec les équipes de sécurité avant de mettre en œuvre des mesures de remédiation qui pourraient impacter les enquêtes en cours.

Aperçu

L'ID d'événement 4944 se déclenche lorsque Windows verrouille un compte utilisateur après avoir dépassé le nombre maximal de tentatives d'authentification échouées autorisées. Cet événement de sécurité apparaît dans le journal de sécurité et sert d'indicateur critique pour les scénarios de verrouillage légitimes et les attaques potentielles par force brute. L'événement capture des détails essentiels, y compris le nom du compte cible, le poste de travail source et l'identifiant de sécurité (SID) du compte verrouillé.

Cet événement fonctionne en conjonction avec les paramètres de stratégie de groupe qui définissent les seuils de verrouillage de compte, la durée et les compteurs de réinitialisation. Lors de l'examen de l'ID d'événement 4944, vous le verrez généralement précédé de plusieurs entrées d'ID d'événement 4625 (échec de connexion) provenant de la même source. Le mécanisme de verrouillage protège contre les attaques de devinette de mot de passe mais peut également affecter les utilisateurs légitimes qui saisissent mal leurs mots de passe ou ont des conflits de certificats mis en cache.

Comprendre cet événement est crucial pour la surveillance de la sécurité, le support utilisateur et l'identification des menaces potentielles pour la sécurité. Les administrateurs système utilisent l'ID d'événement 4944 pour suivre les modèles d'authentification, configurer des alertes automatisées et mettre en œuvre des réponses de sécurité appropriées en fonction de la fréquence de verrouillage et des modèles de source.

Questions Fréquentes

Que signifie l'ID d'événement 4944 et quand apparaît-il ?+
L'ID d'événement 4944 indique qu'un compte utilisateur a été automatiquement verrouillé par Windows après avoir dépassé le nombre maximum de tentatives de connexion échouées configuré dans la politique de verrouillage de compte. Cet événement apparaît dans le journal de sécurité immédiatement lorsque le seuil de verrouillage est atteint, servant à la fois de mécanisme de protection de sécurité et d'indicateur de potentielles attaques par force brute ou de problèmes d'authentification d'utilisateur légitime.
Comment puis-je distinguer les verrouillages légitimes des attaques de sécurité en utilisant l'ID d'événement 4944 ?+
Analyser le modèle des événements précédents d'ID d'événement 4625 (échec de connexion) pour distinguer les verrouillages légitimes des verrouillages malveillants. Les verrouillages légitimes montrent généralement des tentatives échouées depuis un seul poste de travail pendant les heures de bureau, souvent avec des fautes de frappe courantes ou des problèmes de mise en cache des identifiants. Les attaques de sécurité présentent généralement des tentatives rapides depuis plusieurs adresses IP, des modèles de temps inhabituels (en dehors des heures de bureau), ou des tentatives depuis des emplacements géographiquement divers. Vérifiez les noms des postes de travail source et les adresses IP dans les détails de l'événement pour un contexte supplémentaire.
Que dois-je vérifier en premier lors de l'examen d'un verrouillage avec l'ID d'événement 4944 ?+
Commencez par examiner les détails de l'événement pour identifier le nom du compte verrouillé, le poste de travail source et l'horodatage. Ensuite, passez en revue les 15 à 30 minutes précédentes des entrées d'ID d'événement 4625 pour comprendre le modèle de connexion échouée. Vérifiez si l'IP source ou le nom du poste de travail correspond aux emplacements utilisateur attendus et vérifiez les paramètres de la politique de verrouillage de compte pour comprendre pourquoi le verrouillage s'est produit. Utilisez des commandes PowerShell comme Get-ADUser pour vérifier l'état actuel du compte et la propriété BadLogonCount.
Comment puis-je éviter les verrouillages fréquents d'utilisateurs légitimes tout en maintenant la sécurité ?+
Équilibrez la sécurité et la convivialité en ajustant les paramètres de la politique de verrouillage de compte en fonction des besoins de votre environnement. Envisagez d'augmenter le seuil de verrouillage de 3 à 5 tentatives, d'étendre la fenêtre d'observation à 30-60 minutes, et de réduire la durée de verrouillage à 15-30 minutes pour un déverrouillage automatique. Mettez en œuvre une éducation des utilisateurs sur les politiques de mot de passe, déployez des gestionnaires de mots de passe, et envisagez des politiques de mot de passe granulaires pour différents groupes d'utilisateurs. Surveillez les schémas de verrouillage pour identifier les causes courantes comme les conflits de crédentiels mis en cache ou les problèmes de compte de service.
L'ID d'événement 4944 peut-il être utilisé pour une réponse de sécurité automatisée et comment ?+
Oui, l'ID d'événement 4944 est excellent pour la surveillance et la réponse automatisées en matière de sécurité. Créez des scripts PowerShell ou utilisez des solutions SIEM pour surveiller les événements de verrouillage multiples provenant de la même adresse IP source, des schémas de temps inhabituels ou des verrouillages de comptes de grande valeur. Mettez en œuvre des réponses automatisées telles que le blocage d'IP, les notifications à l'équipe de sécurité ou une surveillance renforcée pour les comptes affectés. Utilisez le transfert d'événements Windows pour centraliser les événements de verrouillage provenant de plusieurs systèmes et les corréler avec d'autres événements de sécurité pour une détection complète des menaces.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including account lockout monitoring and configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Account Lockout Policy Configuration GuideOfficial Microsoft documentation for configuring account lockout policies and understanding lockout mechanisms.https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-lockout-policy
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-lockout#event-id-4944

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...