Auditer les événements de connexion
Détermine s’il faut auditer chaque instance d’un utilisateur qui se connecte ou se dé connecte à partir d’un appareil.
Les événements d’enregistrement de compte sont générés sur les contrôleurs de domaine pour l’activité de compte de domaine et sur les appareils locaux pour l’activité de compte local. Si les catégories de stratégie d’audit de connexion et d’audit de connexion de compte sont activées, les connexions qui utilisent un compte de domaine génèrent un événement de connexion ou de connexion sur la station de travail ou le serveur, et elles génèrent un événement de connexion de compte sur le contrôleur de domaine. En outre, les connexions interactives à un serveur membre ou une station de travail qui utilisent un compte de domaine génèrent un événement de connexion sur le contrôleur de domaine, car les scripts et stratégies d’connexion sont récupérés lorsqu’un utilisateur se connecte. Pour plus d’informations sur les événements de logo de compte, voir Événements d' logon de compte d’audit.
Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s’il faut auditer les réussites, les échecs d’audit ou ne pas auditer du tout le type d’événement. Les audits de réussite génèrent une entrée d’audit lorsqu’une tentative d’inscription réussit. Les audits d’échec génèrent une entrée d’audit en cas d’échec d’une tentative d’accès.
Pour définir cette valeur sur Aucun **** audit, dans la boîte de dialogue Propriétés de ce **** paramètre **** de stratégie, cochez la case Définir ces paramètres de stratégie et cochez les cases Réussite et Échec.
Pour plus d’informations sur les paramètres de stratégie de sécurité avancés pour les événements d’logon, consultez la section d' logon/logoff dans Paramètres avancés de stratégie d’audit de sécurité.
Configurer ce paramètre d’audit
Vous pouvez configurer ce paramètre de sécurité en ouvrant la stratégie appropriée sous Configuration ordinateur\Windows Paramètres\Sécurité Paramètres\Stratégies locales\Stratégie d’audit.
| Événements d' logon | Description |
|---|---|
| 4624 | Un utilisateur s’est connecté à un ordinateur. Pour plus d’informations sur le type de logon, voir le tableau Types d’logo ci-dessous. |
| 4625 | Échec de la logon. Une tentative d’accès a été réalisée avec un nom d’utilisateur inconnu ou un nom d’utilisateur connu avec un mot de passe incorrect. |
| 4634 | Le processus de ffage de logo a été effectué pour un utilisateur. |
| 4647 | Un utilisateur a initié le processus de ffage de logo. |
| 4648 | Un utilisateur s’est connecté à un ordinateur à l’aide d’informations d’identification explicites alors qu’il était déjà connecté en tant qu’utilisateur différent. |
| 4779 | Un utilisateur a déconnecté une session de serveur Terminal Server sans se déconnecter. |
Lorsque l’événement 4624 (Legacy Windows Event ID 528) est journalisé, un type de connexion est également répertorié dans le journal des événements. Le tableau suivant décrit chaque type de logo.
| Type de logo | Titre de l’logo | Description |
|---|---|---|
| 2 | Interactif | Un utilisateur s’est connecté à cet ordinateur. |
| 3 | Network | Un utilisateur ou un ordinateur connecté à cet ordinateur à partir du réseau. |
| 4 | Batch | Le type d’logonisation par lots est utilisé par les serveurs de lots, où les processus peuvent s’exécuter pour le compte d’un utilisateur sans leur intervention directe. |
| 5 | Service | Un service a été démarré par le Gestionnaire de contrôle de service. |
| 7 | Déverrouiller | Cette station de travail a été déverrouillée. |
| 8 | NetworkCleartext | Un utilisateur s’est connecté à cet ordinateur à partir du réseau. Le mot de passe de l’utilisateur a été transmis au package d’authentification sous sa forme sans masque. L’authentification intégrée package toutes les informations d’identification de hachage avant de les envoyer sur le réseau. Les informations d’identification ne traversent pas le réseau en texte brut (également appelé texte clair). |
| 9 | NewCredentials | Un appelant a cloné son jeton actuel et spécifié de nouvelles informations d’identification pour les connexions sortantes. La nouvelle session d’ouverture de session a la même identité locale, mais utilise des informations d’identification différentes pour d’autres connexions réseau. |
| 10 | RemoteInteractive | Un utilisateur s’est connecté à cet ordinateur à distance à l’aide des services Terminal Services ou du Bureau à distance. |
| 11 | CachedInteractive | Un utilisateur s’est connecté à cet ordinateur avec des informations d’identification réseau stockées localement sur l’ordinateur. Le contrôleur de domaine n’a pas été contacté pour vérifier les informations d’identification. |
Rubriques associées
Commentaires
Envoyer et afficher des commentaires pour