Auditer les événements de connexion

Détermine s’il faut auditer chaque instance d’un utilisateur qui se connecte ou se dé connecte à partir d’un appareil.

Les événements d’enregistrement de compte sont générés sur les contrôleurs de domaine pour l’activité de compte de domaine et sur les appareils locaux pour l’activité de compte local. Si les catégories de stratégie d’audit de connexion et d’audit de connexion de compte sont activées, les connexions qui utilisent un compte de domaine génèrent un événement de connexion ou de connexion sur la station de travail ou le serveur, et elles génèrent un événement de connexion de compte sur le contrôleur de domaine. En outre, les connexions interactives à un serveur membre ou une station de travail qui utilisent un compte de domaine génèrent un événement de connexion sur le contrôleur de domaine, car les scripts et stratégies d’connexion sont récupérés lorsqu’un utilisateur se connecte. Pour plus d’informations sur les événements de logo de compte, voir Événements d' logon de compte d’audit.

Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s’il faut auditer les réussites, les échecs d’audit ou ne pas auditer du tout le type d’événement. Les audits de réussite génèrent une entrée d’audit lorsqu’une tentative d’inscription réussit. Les audits d’échec génèrent une entrée d’audit en cas d’échec d’une tentative d’accès.

Pour définir cette valeur sur Aucun **** audit, dans la boîte de dialogue Propriétés de ce **** paramètre **** de stratégie, cochez la case Définir ces paramètres de stratégie et cochez les cases Réussite et Échec.

Pour plus d’informations sur les paramètres de stratégie de sécurité avancés pour les événements d’logon, consultez la section d' logon/logoff dans Paramètres avancés de stratégie d’audit de sécurité.

Configurer ce paramètre d’audit

Vous pouvez configurer ce paramètre de sécurité en ouvrant la stratégie appropriée sous Configuration ordinateur\Windows Paramètres\Sécurité Paramètres\Stratégies locales\Stratégie d’audit.

Événements d' logon Description
4624 Un utilisateur s’est connecté à un ordinateur. Pour plus d’informations sur le type de logon, voir le tableau Types d’logo ci-dessous.
4625 Échec de la logon. Une tentative d’accès a été réalisée avec un nom d’utilisateur inconnu ou un nom d’utilisateur connu avec un mot de passe incorrect.
4634 Le processus de ffage de logo a été effectué pour un utilisateur.
4647 Un utilisateur a initié le processus de ffage de logo.
4648 Un utilisateur s’est connecté à un ordinateur à l’aide d’informations d’identification explicites alors qu’il était déjà connecté en tant qu’utilisateur différent.
4779 Un utilisateur a déconnecté une session de serveur Terminal Server sans se déconnecter.

Lorsque l’événement 4624 (Legacy Windows Event ID 528) est journalisé, un type de connexion est également répertorié dans le journal des événements. Le tableau suivant décrit chaque type de logo.

Type de logo Titre de l’logo Description
2 Interactif Un utilisateur s’est connecté à cet ordinateur.
3 Network Un utilisateur ou un ordinateur connecté à cet ordinateur à partir du réseau.
4 Batch Le type d’logonisation par lots est utilisé par les serveurs de lots, où les processus peuvent s’exécuter pour le compte d’un utilisateur sans leur intervention directe.
5 Service Un service a été démarré par le Gestionnaire de contrôle de service.
7 Déverrouiller Cette station de travail a été déverrouillée.
8 NetworkCleartext Un utilisateur s’est connecté à cet ordinateur à partir du réseau. Le mot de passe de l’utilisateur a été transmis au package d’authentification sous sa forme sans masque. L’authentification intégrée package toutes les informations d’identification de hachage avant de les envoyer sur le réseau. Les informations d’identification ne traversent pas le réseau en texte brut (également appelé texte clair).
9 NewCredentials Un appelant a cloné son jeton actuel et spécifié de nouvelles informations d’identification pour les connexions sortantes. La nouvelle session d’ouverture de session a la même identité locale, mais utilise des informations d’identification différentes pour d’autres connexions réseau.
10 RemoteInteractive Un utilisateur s’est connecté à cet ordinateur à distance à l’aide des services Terminal Services ou du Bureau à distance.
11 CachedInteractive Un utilisateur s’est connecté à cet ordinateur avec des informations d’identification réseau stockées localement sur l’ordinateur. Le contrôleur de domaine n’a pas été contacté pour vérifier les informations d’identification.

Rubriques associées