ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Active Directory security audit logs on a professional monitoring setup
Event ID 5136InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5136 – Microsoft-Windows-Security-Auditing : Objet du service d'annuaire modifié

L'ID d'événement 5136 enregistre lorsque des objets Active Directory sont modifiés, suivant les changements apportés aux comptes d'utilisateurs, groupes, unités organisationnelles et autres objets de l'annuaire à des fins d'audit de sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5136Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5136 représente une pierre angulaire de l'audit de sécurité d'Active Directory, offrant une visibilité granulaire sur les modifications des services d'annuaire. Lorsqu'il est activé via la stratégie de groupe ou la stratégie de sécurité locale, cet événement capture chaque changement apporté aux objets d'annuaire, créant une piste d'audit immuable des actions administratives.

La structure de l'événement inclut des données judiciaires critiques : l'identifiant de sécurité (SID) du compte effectuant le changement, le nom distingué de l'objet modifié, les attributs spécifiques qui ont changé, les anciennes et nouvelles valeurs, et les informations de date et d'heure. Ce niveau de détail permet aux analystes de sécurité de reconstituer la séquence complète des modifications de l'annuaire lors des enquêtes sur les incidents.

Les acteurs de menace modernes ciblent fréquemment l'infrastructure d'Active Directory, rendant la surveillance de 5136 essentielle pour détecter l'escalade de privilèges, l'accès non autorisé et les mécanismes de persistance. L'événement aide à identifier des schémas suspects tels que des changements rapides d'appartenance à des groupes, des modifications inhabituelles d'attributs ou des changements se produisant en dehors des heures ouvrables normales. Les systèmes de gestion des informations et des événements de sécurité (SIEM) utilisent couramment les événements 5136 comme indicateurs principaux pour détecter les menaces internes et les menaces persistantes avancées ciblant les services d'annuaire.

Dans Windows Server 2025 et les versions ultérieures, Microsoft a amélioré le format de l'événement pour inclure un contexte supplémentaire sur la source de la modification et des capacités de corrélation améliorées avec d'autres événements de sécurité. Cela rend 5136 encore plus précieux pour la surveillance de sécurité complète et les flux de travail automatisés de détection des menaces.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Modifications de compte utilisateur, y compris les changements de mot de passe, les mises à jour des propriétés de compte et les ajustements des paramètres de sécurité
  • Changements d'appartenance à des groupes de sécurité tels que l'ajout ou la suppression d'utilisateurs des groupes de domaine
  • Modifications de la structure de l'Unité d'Organisation (OU) y compris les déplacements d'objets et les changements de permissions
  • Mises à jour de compte d'ordinateur, y compris les réinitialisations de mot de passe et les modifications d'attributs
  • Changements d'Objet de Stratégie de Groupe (GPO) affectant les politiques liées à l'annuaire
  • Modifications de compte de service et changements de délégation
  • Mises à jour du schéma d'annuaire et modifications des attributs d'extension
  • Changements de relation de confiance entre domaines ou forêts
  • Opérations d'outils administratifs depuis Utilisateurs et Ordinateurs Active Directory, cmdlets PowerShell, ou outils de gestion tiers
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'événement 5136 pour comprendre ce qui a changé et qui a initié la modification.

  1. Ouvrez Observateur d'événements sur votre contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 5136 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez les champs clés suivants:
    • Sujet: Indique qui a effectué le changement (Nom du compte et Domaine du compte)
    • Objet: Affiche le DN de l'objet de l'annuaire modifié
    • Attribut: Identifie quel attribut spécifique a été modifié
    • Ancienne Valeur et Nouvelle Valeur: Montre les états avant et après
  6. Notez l'horodatage et corrélez avec d'autres événements de sécurité si nécessaire
Astuce pro : Utilisez l'onglet Détails en vue XML pour voir tous les champs disponibles, y compris les informations de processus et les données de contexte supplémentaires.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les événements 5136 sur plusieurs contrôleurs de domaine ou plages de temps.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine
  2. Interrogez les événements 5136 récents :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements pour des objets ou utilisateurs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136} | Where-Object {$_.Message -like "*CN=John Doe*"} | Select-Object TimeCreated, Message
  4. Recherchez des modifications d'attributs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136} | Where-Object {$_.Message -like "*memberOf*"} | Format-List TimeCreated, Message
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136; StartTime=(Get-Date).AddDays(-7)} | Export-Csv -Path "C:\Temp\AD_Changes.csv" -NoTypeInformation
Avertissement : Les grands environnements peuvent générer des milliers d'événements 5136 quotidiennement. Utilisez des filtres temporels et des critères spécifiques pour éviter les problèmes de performance.
03

Activer l'audit détaillé des services d'annuaire

Configurez l'audit complet des services d'annuaire pour garantir que tous les changements pertinents génèrent des événements 5136.

  1. Ouvrez la Console de gestion des stratégies de groupe sur un contrôleur de domaine
  2. Modifiez la Stratégie par défaut des contrôleurs de domaine
  3. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  4. Développez Accès DS et configurez :
    • Audit des modifications du service d'annuaire : Activer Succès et Échec
    • Audit de l'accès au service d'annuaire : Activer Succès (facultatif, génère plus d'événements)
  5. Appliquez la stratégie et exécutez gpupdate /force sur les contrôleurs de domaine
  6. Vérifiez que l'audit est actif en vérifiant le registre :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics" -Name "5 Replication Events"
  7. Testez en effectuant un changement de test sur un compte utilisateur et en confirmant que des événements 5136 apparaissent
Astuce pro : Envisagez d'activer l'audit au niveau des objets sur les UO critiques pour un suivi plus granulaire des objets d'annuaire sensibles.
04

Mettre en œuvre l'intégration SIEM et l'alerte

Configurez la surveillance et l'alerte automatisées pour les événements critiques 5136 en utilisant des solutions SIEM ou de gestion des journaux.

  1. Configurez le transfert d'événements Windows (WEF) pour centraliser les événements 5136 :
    wecutil cs subscription.xml
    Où subscription.xml contient votre configuration de collecte d'événements
  2. Créez des requêtes d'événements personnalisées pour les changements à haute priorité :
    <QueryList>
  <Query Id="0">
    <Select Path="Security">*[System[EventID=5136]] and *[EventData[Data[@Name='AttributeLDAPDisplayName']='memberOf']]</Select>
  </Query>
</QueryList>
  3. Configurez l'alerte basée sur PowerShell pour les changements critiques :
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 5136" -Action { 
    # Logique d'alerte ici
    Send-MailMessage -To "admin@company.com" -Subject "Changement AD Critique" -Body $Event.SourceEventArgs.NewEvent.Message
}
  4. Configurez les politiques de rétention des journaux pour maintenir les pistes d'audit :
    Limit-EventLog -LogName Security -MaximumSize 1GB -OverflowAction OverwriteAsNeeded
  5. Créez des tableaux de bord montrant les tendances de modification et les anomalies
Avertissement : Les environnements à fort volume peuvent nécessiter des stratégies d'archivage des journaux pour éviter les problèmes de stockage tout en respectant les exigences de conformité.
05

Analyse Forensique Avancée et Corrélation

Effectuer une analyse médico-légale détaillée des événements 5136 pour enquêter sur les incidents de sécurité et suivre les schémas d'attaque.

  1. Extraire des données d'événements détaillées en utilisant des techniques PowerShell avancées:
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136; StartTime=(Get-Date).AddDays(-30)}
$ParsedEvents = foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        SubjectUserName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ObjectDN = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectDN'} | Select-Object -ExpandProperty '#text'
        AttributeName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'AttributeLDAPDisplayName'} | Select-Object -ExpandProperty '#text'
        OldValue = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'AttributeValue'} | Select-Object -ExpandProperty '#text'
    }
}
  2. Corréler avec les événements de connexion (4624) pour suivre les sessions utilisateur:
    $LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624}
# Cross-reference timestamps and user accounts
  3. Analyser les schémas en utilisant l'analyse chronologique:
    $ParsedEvents | Group-Object SubjectUserName | Sort-Object Count -Descending | Select-Object Name, Count
  4. Vérifier les indicateurs d'escalade de privilèges en surveillant les changements d'appartenance aux groupes
  5. Générer des rapports complets pour la conformité et la réponse aux incidents:
    $ParsedEvents | Export-Csv -Path "C:\Forensics\AD_Modifications_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  6. Utiliser des outils comme ATA de Microsoft ou Azure ATP pour la détection avancée des menaces basée sur les schémas 5136
Conseil pro : Créez des profils de référence de l'activité administrative normale pour mieux identifier les changements anormaux pouvant indiquer une compromission ou des menaces internes.

Aperçu

L'ID d'événement 5136 se déclenche chaque fois qu'un objet Active Directory subit une modification, ce qui en fait l'un des événements les plus critiques pour la surveillance de la sécurité du domaine. Cet événement capture les modifications des comptes d'utilisateurs, des groupes de sécurité, des unités organisationnelles, des objets d'ordinateur et d'autres objets de service d'annuaire au sein de votre environnement de domaine.

L'événement est généré dans le journal de sécurité sur les contrôleurs de domaine lorsque l'audit des services d'annuaire est activé. Chaque événement 5136 contient des informations détaillées sur ce qui a changé, qui a effectué le changement et quand il s'est produit. Cela inclut des modifications au niveau des attributs telles que les réinitialisations de mot de passe, les modifications de l'appartenance à des groupes, les mises à jour des propriétés de compte et les changements de permissions.

Windows génère cet événement via le processus Local Security Authority Subsystem Service (LSASS) lorsqu'il traite les demandes de modification de l'annuaire. L'événement fournit des pistes d'audit de qualité médico-légale essentielles pour les cadres de conformité comme SOX, HIPAA et PCI-DSS. Les équipes de sécurité s'appuient sur les événements 5136 pour détecter les modifications non autorisées, suivre les actions administratives et enquêter sur les incidents de sécurité potentiels impliquant des objets d'annuaire.

Questions Fréquentes

Que signifie l'ID d'événement 5136 et pourquoi est-il important ?+
L'ID d'événement 5136 indique qu'un objet Active Directory a été modifié. Cet événement est crucial pour la surveillance de la sécurité car il fournit des pistes d'audit détaillées de tous les changements apportés aux objets du répertoire, y compris les utilisateurs, les groupes, les ordinateurs et les unités organisationnelles. Il aide à détecter les modifications non autorisées, à suivre les actions administratives et à enquêter sur les incidents de sécurité. L'événement inclut des informations sur qui a effectué la modification, quel objet a été modifié, quels attributs spécifiques ont changé, et les anciennes valeurs par rapport aux nouvelles.
Comment puis-je réduire le volume des événements 5136 sans perdre d'informations de sécurité importantes ?+
Vous pouvez optimiser le volume d'événements 5136 en mettant en œuvre des stratégies d'audit sélectives. Concentrez l'audit sur les objets critiques en configurant l'audit au niveau des objets uniquement sur les UO sensibles, les groupes de sécurité et les comptes privilégiés. Utilisez la stratégie de groupe pour exclure les modifications de routine comme les mises à jour de mot de passe de compte d'ordinateur. Mettez en œuvre le filtrage des événements au niveau de la collecte pour vous concentrer sur les attributs de grande valeur comme l'appartenance à un groupe, les autorisations utilisateur et les modifications de compte administrateur. Envisagez d'utiliser le transfert d'événements Windows avec des requêtes personnalisées pour collecter uniquement les événements pertinents de manière centralisée.
Quels sont les événements 5136 les plus critiques que je devrais surveiller pour les menaces de sécurité ?+
Concentrez-vous sur les événements 5136 impliquant des changements d'appartenance à des groupes (attribut memberOf), en particulier pour les groupes privilégiés comme Domain Admins, Enterprise Admins et Schema Admins. Surveillez les modifications des comptes utilisateurs, y compris les changements de mot de passe, l'activation/désactivation des comptes et les modifications des permissions. Surveillez les modifications des unités organisationnelles qui pourraient indiquer un mouvement latéral. Faites attention aux changements de comptes de service et aux modifications de délégation. Les événements se produisant en dehors des heures de bureau ou provenant de comptes sources inhabituels doivent déclencher une enquête immédiate car ils indiquent souvent une compromission ou des menaces internes.
Comment puis-je corréler l'ID d'événement 5136 avec d'autres événements de sécurité Windows pour une enquête sur un incident ?+
Corréler les événements 5136 avec les événements de connexion (4624, 4625) pour suivre les sessions utilisateur et identifier la source des modifications. Faire une référence croisée avec les événements d'utilisation des privilèges (4672, 4673) pour comprendre l'utilisation des permissions élevées. Lier avec les événements de création de processus (4688) pour identifier les outils utilisés pour les modifications. Utiliser les événements de gestion de compte (4720-4767) avec 5136 pour obtenir une visibilité complète du cycle de vie du compte. L'analyse chronologique combinant ces événements fournit une reconstitution complète de l'incident. Des outils comme PowerShell, les plateformes SIEM ou les outils de sécurité de Microsoft peuvent automatiser ce processus de corrélation.
Que dois-je faire si je vois des événements 5136 suspects indiquant une compromission potentielle ?+
Isolez immédiatement les comptes et systèmes affectés pour empêcher d'autres modifications non autorisées. Documentez tous les événements 5136 suspects, y compris les horodatages, les objets modifiés et les comptes sources. Réinitialisez les mots de passe des comptes potentiellement compromis et examinez les appartenances aux groupes pour détecter des ajouts non autorisés. Vérifiez les mécanismes de persistance tels que les nouveaux comptes de service ou les changements de délégation. Corrélez avec d'autres événements de sécurité pour comprendre la chronologie de l'attaque. Mettez en place une surveillance supplémentaire sur les objets affectés et envisagez d'activer un audit plus granulaire. Engagez les procédures de réponse aux incidents et envisagez de faire appel aux forces de l'ordre si une exfiltration de données est suspectée.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including detailed explanations of Event ID 5136 and related directory service audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial Microsoft documentation covering advanced audit policy configuration for directory service auditing and Event ID 5136 generation.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-5136

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...