ID d'événement Windows 4740 – Sécurité : Compte utilisateur verrouillé

Commencez par examiner les détails de l'événement 4740 dans le Visualiseur d'événements pour identifier le compte verrouillé et l'ordinateur source.

1. Ouvrez Visualiseur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4740 en utilisant l'option de filtre
3. Double-cliquez sur l'événement 4740 le plus récent pour voir les détails
4. Notez les champs Nom du compte, Domaine du compte, et Nom de l'ordinateur appelant
5. Vérifiez l'horodatage pour le corréler avec les rapports des utilisateurs ou les alertes de sécurité

Utilisez PowerShell pour interroger plusieurs événements 4740 efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740} -MaxEvents 50 | Select-Object TimeCreated, @{Name='Account';Expression={$_.Properties[0].Value}}, @{Name='CallerComputer';Expression={$_.Properties[1].Value}} | Format-Table -AutoSize

Cette commande extrait les informations essentielles des événements de verrouillage récents, facilitant l'identification des motifs ou des verrouillages répétés à partir de sources spécifiques.

Enquêtez sur les tentatives de connexion échouées qui ont conduit au verrouillage du compte en examinant les événements d'ID d'événement 4625 (connexion échouée).

1. Dans le Visualiseur d'événements, filtrez le journal de sécurité pour l'ID d'événement 4625
2. Cherchez des événements avec le même nom de compte à partir de l'événement 4740
3. Vérifiez les horodatages menant à l'heure de verrouillage
4. Examinez les champs Raison de l'échec et Nom de la station de travail
5. Identifiez l'adresse IP source ou le nom de l'ordinateur générant les tentatives échouées

Utilisez PowerShell pour corréler les événements 4625 et 4740 pour un utilisateur spécifique :

$LockedAccount = "username"
$StartTime = (Get-Date).AddHours(-2)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625,4740; StartTime=$StartTime} | Where-Object {$_.Properties[5].Value -eq $LockedAccount -or $_.Properties[0].Value -eq $LockedAccount}
$Events | Select-Object Id, TimeCreated, @{Name='Account';Expression={if($_.Id -eq 4625){$_.Properties[5].Value}else{$_.Properties[0].Value}}}, @{Name='SourceIP';Expression={if($_.Id -eq 4625){$_.Properties[19].Value}else{"N/A"}}} | Sort-Object TimeCreated

Cette analyse révèle le schéma d'attaque et aide à déterminer si le verrouillage résulte d'une activité malveillante ou d'une erreur utilisateur légitime.

Déverrouillez le compte utilisateur affecté et mettez en œuvre des mesures de sécurité appropriées en fonction des résultats de votre enquête.

1. Ouvrez Active Directory Users and Computers (ADUC)
2. Accédez au compte utilisateur identifié dans l'événement 4740
3. Cliquez avec le bouton droit sur l'utilisateur → Propriétés → onglet Compte
4. Cochez Déverrouiller le compte si l'option est disponible
5. Cliquez sur Appliquer et OK pour déverrouiller le compte

Utilisez PowerShell pour déverrouiller les comptes de manière programmée :

# Déverrouiller un seul compte utilisateur
Unlock-ADAccount -Identity "username"

# Vérifier si le compte est toujours verrouillé
Get-ADUser -Identity "username" -Properties LockedOut | Select-Object Name, LockedOut

# Déverrouiller plusieurs comptes à partir d'une liste
$LockedUsers = @("user1", "user2", "user3")
$LockedUsers | ForEach-Object {Unlock-ADAccount -Identity $_; Write-Host "Déverrouillé : $_"}

Si le verrouillage résulte d'une activité malveillante, envisagez de désactiver temporairement le compte et de forcer une réinitialisation du mot de passe :

Set-ADUser -Identity "username" -Enabled $false
Set-ADAccountPassword -Identity "username" -Reset

Les verrouillages de comptes de service nécessitent une enquête spéciale car ils indiquent souvent des problèmes de configuration plutôt que des menaces de sécurité.

1. Identifiez si le compte verrouillé est un compte de service en vérifiant sa convention de nommage et ses appartenances à des groupes
2. Utilisez Services.msc pour trouver les services exécutés sous le compte verrouillé
3. Vérifiez le Planificateur de tâches pour les tâches planifiées utilisant le compte
4. Examinez les pools d'applications IIS si le compte est utilisé pour des applications web
5. Examinez les services SQL Server et leurs comptes de service configurés

Script PowerShell pour trouver les services utilisant un compte spécifique :

$ServiceAccount = "DOMAIN\ServiceAccount"

# Trouver les services Windows utilisant le compte
Get-WmiObject Win32_Service | Where-Object {$_.StartName -eq $ServiceAccount} | Select-Object Name, DisplayName, State, StartName

# Trouver les tâches planifiées utilisant le compte
Get-ScheduledTask | Where-Object {$_.Principal.UserId -eq $ServiceAccount} | Select-Object TaskName, TaskPath, State

# Vérifier les pools d'applications IIS (nécessite le module WebAdministration)
Import-Module WebAdministration -ErrorAction SilentlyContinue
if (Get-Module WebAdministration) {
    Get-IISAppPool | Where-Object {$_.ProcessModel.UserName -eq $ServiceAccount} | Select-Object Name, State
}

Mettre à jour les informations d'identification du service après le déverrouillage du compte :

# Mettre à jour les informations d'identification du service Windows
$Service = Get-WmiObject Win32_Service -Filter "Name='ServiceName'"
$Service.Change($null,$null,$null,$null,$null,$null,"DOMAIN\ServiceAccount","NewPassword")

# Redémarrer le service
Restart-Service -Name "ServiceName"

Déployez des solutions de surveillance complètes pour prévenir les verrouillages futurs et détecter les menaces de sécurité tôt.

1. Configurez Windows Event Forwarding (WEF) pour centraliser les événements 4740 de tous les contrôleurs de domaine
2. Configurez des alertes automatisées pour plusieurs événements 4740 dans des délais courts
3. Mettez en œuvre la surveillance du seuil de verrouillage de compte avec des scripts PowerShell
4. Déployez Microsoft Defender for Identity pour détecter les menaces avancées
5. Configurez Azure AD Connect Health pour la surveillance de l'environnement hybride

Créez un script de surveillance PowerShell pour la détection en temps réel des verrouillages :

# Script de surveillance en temps réel de l'événement 4740
$Query = @"

  
    *[System[EventID=4740]]
  

"@

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 4740" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    $Message = "ALERTE : Verrouillage de compte détecté - Utilisateur : $($Event.InsertionStrings[0]) depuis l'ordinateur : $($Event.InsertionStrings[1])"
    Write-Host $Message -ForegroundColor Red
    # Ajoutez ici la notification par email ou l'intégration SIEM
}

Configurez les paramètres de stratégie de groupe pour optimiser les politiques de verrouillage de compte :

1. Ouvrez Group Policy Management Console
2. Modifiez la stratégie de domaine par défaut ou créez un nouveau GPO
3. Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Politiques de compte → Politique de verrouillage de compte
4. Configurez des valeurs appropriées pour Seuil de verrouillage de compte, Durée de verrouillage de compte, et Réinitialiser le compteur de verrouillage de compte après
5. Associez le GPO aux UO appropriées et testez les paramètres