Les systèmes d'exploitation Windows disposent d'outils qui nous permettent d'effectuer plusieurs actions sur le système d'exploitation, telles que restreindre l'accès, empêcher la modification du programme, masquer des éléments du système et bien d'autres.
L'une des options les plus pratiques et fondamentales pour effectuer une gestion correcte du système est de vérifier quel utilisateur a accédé au système afin de vérifier si des modifications non autorisées ont été apportées par quelqu'un en particulier ou en gardant un contrôle détaillé des tâches de gestion, d'audit ou de sécurité.
Solvetic analysera comment nous pouvons observer quels utilisateurs ont accédé au système d'exploitation avec des informations d'accès détaillées. Avec le didacticiel vidéo suivant, vous pourrez vous aider, grâce à des audits, à vérifier qui et à quelle heure s'est connecté à un ordinateur que vous gérez et ainsi prévenir ou résoudre les problèmes de sécurité dans Windows 10.
1. Activer l'audit de connexion dans Windows 10
La première étape à effectuer est d'activer la journalisation des événements associés aux démarrages, qui par défaut est désactivée dans Windows. Pour cela, nous devons accéder à l'éditeur de stratégie de groupe qui n'est disponible que pour les éditions Pro, Enterprise et Education de Windows 10, les versions Pro et Enterprise de Windows 7 et Windows 8.
Étape 1
Pour y accéder, nous utiliserons la combinaison de touches suivante et dans la fenêtre affichée, nous exécuterons la commande gpedit.msc. Nous appuyons sur Entrée ou Accepter.
+ R
gpedit.msc
Étape 2
Dans la fenêtre affichée, nous passons à l'itinéraire suivant :
- Configuration de l'équipement
- Paramètres Windows
- Les paramètres de sécurité
- Directives locales
- Directive de vérification
AGRANDIR
Étape 3
Dans la colonne de droite, nous sélectionnerons la politique appelée Auditer les événements de connexion, nous double-cliquerons dessus et la fenêtre suivante s'affichera où nous pourrons activer deux types d'événements de connexion :
C'est CorrectQuand la session démarre en douceur
TortLorsque le mot de passe ou l'utilisateur est entré de manière incorrecte et que la session ne peut pas être démarrée
Étape 4
Cliquez sur Appliquer et OK pour enregistrer les modifications. On peut voir que la configuration a été faite correctement :
AGRANDIR
2. Accéder aux événements de connexion dans Windows 10
L'étape suivante consiste à accéder à l'Observateur d'événements que toutes les éditions de Windows apportent afin d'analyser les connexions respectives.
Étape 1
Pour accéder à l'observateur d'événements, dans ce cas dans Windows 10, nous avons les alternatives suivantes :
Étape 2
Une fois que nous avons accédé à l'Observateur d'événements, nous allons dans le chemin "Enregistrements Windows / Sécurité" et nous verrons ce qui suit :
AGRANDIR
Étape 3
Dans cette visionneuse nous devons nous concentrer sur le code 4624 qui est associé aux logins et en le localisant nous pouvons double cliquer dessus pour connaître ses informations en détail :
Nous pouvons trouver des détails comme
- Nom de l'équipe
- Domaine auquel il appartient
- ID de l'événement sélectionné
- Niveau de priorité de l'événement
- Utilisateur
- Date et heure auxquelles l'accès au système a été exécuté
- Matériel concerné
En haut, nous pouvons afficher beaucoup plus de détails associés au compte
Étape 4
Si nous ne voulons pas rechercher manuellement les identifiants associés aux connexions, il est possible de créer une vue personnalisée qui filtre uniquement cet événement. Pour cela, nous cliquons sur le bouton Créer une vue personnalisée et là, sélectionnez l'option Sécurité dans la zone Journaux d'événements et entrez l'ID dans le champ respectif :
Étape 5
Cliquez sur OK, nous attribuerons un nom à ladite vue et nous pourrons voir tous les événements de cet ID particulier :
AGRANDIR
Grâce à ce processus, nous pourrons savoir en détail quel utilisateur et à quelle date exacte il a accédé au système pour prendre les mesures nécessaires.
