ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs for user account management monitoring
Event ID 5633InformationSecurity-AuditingWindows

ID d'événement Windows 5633 – Audit de sécurité : Événement d'audit de gestion des comptes utilisateur

L'ID d'événement 5633 suit les opérations de gestion des comptes utilisateurs dans l'audit de sécurité Windows, se déclenchant lorsque des comptes utilisateurs sont créés, modifiés ou supprimés par des actions administratives.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5633Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5633 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows, spécifiquement conçu pour surveiller les opérations de gestion du cycle de vie des comptes d'utilisateur. Lorsque cet événement se déclenche, il indique qu'une personne disposant des privilèges administratifs appropriés a effectué une action qui affecte les propriétés ou l'existence d'un compte d'utilisateur au sein du sous-système de sécurité de Windows.

L'événement capture des métadonnées complètes sur l'opération de gestion de compte, y compris l'identifiant de sécurité (SID) de l'administrateur effectuant l'action et du compte d'utilisateur cible modifié. Windows enregistre cet événement que l'opération réussisse ou échoue, offrant aux administrateurs une visibilité complète sur les tentatives de gestion de compte.

Dans les environnements Active Directory, l'ID d'événement 5633 apparaît sur les contrôleurs de domaine lorsque des comptes d'utilisateur sont créés via des outils comme le Centre d'administration Active Directory, le cmdlet New-ADUser de PowerShell, ou des solutions de gestion d'identité tierces. Sur les systèmes autonomes, l'événement se déclenche lorsque des comptes d'utilisateur locaux sont gérés via la Gestion de l'ordinateur, les commandes net user, ou le cmdlet New-LocalUser de PowerShell.

La structure de l'événement inclut des champs pour le sujet (qui a effectué l'action), les détails du compte cible, et les attributs spécifiques qui ont été modifiés pendant l'opération. Cette journalisation granulaire permet aux équipes de sécurité de reconstituer la séquence exacte des activités de gestion de compte et d'identifier les violations potentielles de sécurité ou les infractions aux politiques.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur créant de nouveaux comptes d'utilisateurs via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant les cmdlets New-ADUser ou New-LocalUser
  • Systèmes de provisionnement automatisés créant des comptes d'utilisateurs via LDAP ou WMI
  • Outils de gestion d'identité tiers effectuant des opérations sur les comptes d'utilisateurs
  • Processus de création ou de modification de comptes pilotés par les stratégies de groupe
  • Exchange Server créant des comptes d'utilisateurs associés lors du provisionnement de boîtes aux lettres
  • Administrateurs système modifiant les propriétés des comptes d'utilisateurs comme les noms d'affichage ou les appartenances à des groupes
  • Comptes de service créés ou mis à jour par les installateurs d'applications
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les entrées spécifiques de l'ID d'événement 5633 pour comprendre quelles opérations de gestion de compte ont déclenché les événements.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 5633 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées de l'ID d'événement 5633 pour voir des informations détaillées
  6. Examinez la section Sujet pour identifier qui a effectué l'opération de compte
  7. Examinez la section Compte cible pour voir quel compte utilisateur a été affecté
  8. Vérifiez la section Attributs modifiés pour comprendre quelles modifications ont été apportées
Astuce pro : Recherchez des motifs dans le timing et la source des événements de création de compte pour identifier les processus de provisionnement automatisés par rapport aux actions administratives manuelles.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour extraire et analyser les entrées d'ID d'événement 5633 pour un suivi complet de la gestion des comptes.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes d'ID d'événement 5633 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5633} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Extrayez les propriétés détaillées de l'événement pour l'analyse :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5633} -MaxEvents 100
$Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetSid = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'} | Select-Object -ExpandProperty '#text'
    }
}
  4. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5633; StartTime=$StartTime; EndTime=$EndTime}
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances de PowerShell. Utilisez le paramètre -MaxEvents pour limiter les résultats lors de l'interrogation de contrôleurs de domaine occupés.
03

Configurer la stratégie d'audit avancée pour une journalisation améliorée

Assurez-vous de configurer correctement la politique d'audit pour capturer des événements complets de gestion des comptes utilisateurs.

  1. Ouvrez Group Policy Management Console ou exécutez gpedit.msc pour la politique locale
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Gestion des comptes et double-cliquez sur Audit de la gestion des comptes utilisateurs
  4. Cochez à la fois Succès et Échec pour capturer toutes les opérations de compte
  5. Appliquez la politique et exécutez gpupdate /force pour actualiser les paramètres
  6. Vérifiez la configuration de la politique d'audit en utilisant la ligne de commande :
    auditpol /get /subcategory:"User Account Management"
  7. Vérifiez les paramètres d'audit actuels dans toutes les catégories :
    auditpol /get /category:*
  8. Activez des sous-catégories spécifiques si nécessaire :
    auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
Astuce pro : Activez la politique d'audit sur les contrôleurs de domaine et les serveurs membres pour suivre de manière exhaustive les opérations de gestion des comptes de domaine et locaux.
04

Enquêter sur les modèles de gestion de compte et les anomalies

Analyser les modèles d'ID d'événement 5633 pour identifier des activités de gestion de compte inhabituelles ou des problèmes de sécurité potentiels.

  1. Créer un script PowerShell pour analyser les modèles de création de compte :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5633} -MaxEvents 1000
$Analysis = $Events | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        Time = $_.TimeCreated
        Subject = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        Target = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        Domain = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
$Analysis | Group-Object Subject | Sort-Object Count -Descending
  2. Identifier les comptes créés en dehors des heures de bureau :
    $Analysis | Where-Object {$_.Time.Hour -lt 8 -or $_.Time.Hour -gt 18} | Format-Table
  3. Vérifier les activités de création de comptes en masse :
    $Analysis | Group-Object @{Expression={$_.Time.Date}} | Where-Object {$_.Count -gt 10}
  4. Faire une référence croisée avec Active Directory pour vérifier le statut du compte :
    Import-Module ActiveDirectory
$RecentAccounts = $Analysis | Where-Object {$_.Time -gt (Get-Date).AddDays(-1)}
$RecentAccounts | ForEach-Object {
    try {
        $ADUser = Get-ADUser -Identity $_.Target -Properties Created, Enabled
        [PSCustomObject]@{
            Username = $_.Target
            EventTime = $_.Time
            ADCreated = $ADUser.Created
            Enabled = $ADUser.Enabled
        }
    } catch {
        Write-Warning "Account $($_.Target) not found in AD"
    }
}
05

Configurer la surveillance et l'alerte automatisées

Implémentez des solutions de surveillance automatisées pour suivre l'ID d'événement 5633 et alerter sur les activités suspectes de gestion de compte.

  1. Créez une tâche planifiée pour surveiller les événements de création de compte :
    $Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\MonitorAccountCreation.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At '09:00'
$Principal = New-ScheduledTaskPrincipal -UserID 'SYSTEM' -LogonType ServiceAccount
Register-ScheduledTask -TaskName 'Monitor-AccountCreation' -Action $Action -Trigger $Trigger -Principal $Principal
  2. Créez le script de surveillance à C:\Scripts\MonitorAccountCreation.ps1 :
    # Script de surveillance de la création de compte
$Yesterday = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5633; StartTime=$Yesterday}

if ($Events.Count -gt 20) {
    $Subject = "Détection d'une création de compte en volume élevé"
    $Body = "$($Events.Count) événements de gestion de compte détectés au cours des dernières 24 heures"
    Send-MailMessage -To 'admin@company.com' -From 'monitoring@company.com' -Subject $Subject -Body $Body -SmtpServer 'mail.company.com'
}
  3. Configurez le transfert d'événements Windows pour une surveillance centralisée :
    wecutil cs subscription.xml
  4. Créez un fichier XML d'abonnement pour le transfert de l'ID d'événement 5633 :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>AccountManagement</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[(EventID=5633)]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
Astuce pro : Intégrez la surveillance de l'ID d'événement 5633 avec des solutions SIEM comme Microsoft Sentinel ou Splunk pour des capacités avancées de corrélation et de détection des menaces.

Aperçu

L'ID d'événement 5633 est un événement d'audit de sécurité qui se déclenche lorsque Windows détecte des opérations de gestion de comptes d'utilisateur. Cet événement apparaît dans le journal de sécurité lorsque les administrateurs créent, modifient ou suppriment des comptes d'utilisateur via divers outils de gestion Windows, y compris Active Directory Users and Computers, les cmdlets PowerShell, ou le composant logiciel enfichable Local Users and Groups.

L'événement capture des détails critiques sur qui a effectué l'opération de compte, quelles modifications ont été apportées, et quand l'action a eu lieu. Windows génère cet événement dans le cadre de la configuration de la stratégie d'audit avancée sous l'audit de gestion des comptes. Les administrateurs système s'appuient sur l'ID d'événement 5633 pour suivre les flux de travail de provisionnement des utilisateurs, détecter les modifications non autorisées des comptes et maintenir la conformité avec les politiques de sécurité.

Cet événement se déclenche sur les contrôleurs de domaine lorsque les comptes d'utilisateur Active Directory sont gérés, et sur les serveurs membres ou les stations de travail lorsque les comptes d'utilisateur locaux sont modifiés. L'événement fournit des données médico-légales essentielles pour les enquêtes de sécurité et aide les administrateurs à comprendre la chronologie des modifications des comptes d'utilisateur dans leur infrastructure Windows.

Questions Fréquentes

Que signifie l'ID d'événement 5633 dans les journaux de sécurité Windows ?+
L'ID d'événement 5633 indique qu'une opération de gestion de compte utilisateur a eu lieu sur le système. Cela inclut la création de nouveaux comptes utilisateurs, la modification des propriétés de comptes existants ou la suppression de comptes utilisateurs. L'événement capture qui a effectué l'opération, quel compte a été affecté et quelles modifications spécifiques ont été apportées. Cela fait partie de l'audit de sécurité Windows et aide les administrateurs à suivre les activités de provisionnement des utilisateurs et à maintenir la conformité en matière de sécurité.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 5633 pour une seule création de compte utilisateur ?+
Plusieurs entrées d'ID d'événement 5633 pour une seule création de compte sont normales car Windows enregistre des événements distincts pour différents attributs définis lors de la création de compte. Par exemple, la création d'un compte utilisateur peut générer des événements distincts pour la définition du nom d'utilisateur, du nom d'affichage, des appartenances à des groupes et d'autres propriétés. Chaque modification d'attribut déclenche son propre événement d'audit, offrant un suivi détaillé de tous les changements apportés au compte utilisateur pendant le processus de provisionnement.
Comment puis-je distinguer entre les activités légitimes et suspectes de l'ID d'événement 5633 ?+
Les activités légitimes de l'ID d'événement 5633 se produisent généralement pendant les heures de bureau par des administrateurs connus et suivent des schémas établis. Les activités suspectes incluent la création de comptes en dehors des heures de bureau, la création massive de comptes par des sujets inhabituels, des comptes créés par des utilisateurs non administratifs, ou la création de comptes avec des schémas de nommage suspects. Recoupez le champ Sujet avec votre liste d'administrateurs autorisés et recherchez les écarts par rapport aux flux de travail de provisionnement normaux. Les outils automatisés ou les comptes de service devraient avoir des schémas cohérents et prévisibles.
L'ID d'événement 5633 peut-il m'aider à suivre quand des comptes de service sont créés ou modifiés ?+
Oui, l'ID d'événement 5633 capture les opérations de gestion des comptes de service tout comme les comptes d'utilisateur réguliers. Les comptes de service ont souvent des conventions de nommage distinctives (comme se terminant par $ pour les comptes d'ordinateur ou ayant des préfixes liés au service) qui les rendent identifiables dans les journaux. Lorsque des applications ou des composants système créent des comptes de service lors de l'installation, ces opérations génèrent des entrées d'ID d'événement 5633. Cela aide les administrateurs à suivre la prolifération des comptes de service et à assurer une gouvernance appropriée des comptes privilégiés dans leur environnement.
Que dois-je faire si l'ID d'événement 5633 montre une création de compte par des utilisateurs non autorisés ?+
Si l'ID d'événement 5633 montre une création de compte non autorisée, enquêtez immédiatement sur l'incident comme une potentielle violation de sécurité. Tout d'abord, désactivez le compte nouvellement créé et vérifiez la légitimité de l'utilisateur créateur. Vérifiez si le compte sujet a été compromis en examinant ses activités de connexion récentes (ID d'événements 4624, 4625). Examinez les propriétés du compte cible et les appartenances aux groupes pour détecter des signes d'escalade de privilèges. Documentez l'incident, réinitialisez les mots de passe des comptes impliqués et examinez vos contrôles d'accès administratifs. Envisagez de mettre en place une surveillance supplémentaire et des flux de travail d'approbation pour les opérations de création de compte.
Documentation

Références (2)

1
Microsoft Security Auditing DocumentationComprehensive guide to Windows security auditing including account management events and audit policy configuration.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/
2
Advanced Audit Policy ConfigurationDetailed documentation on configuring advanced audit policies for comprehensive security event logging.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#user-management#event-id-5633

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...