⚔ Configuration des alertes de connexion anormales à l’aide de scripts sous Windows
Introduction
Ce tutoriel explique comment configurer des alertes en cas de connexions anormales ou suspectes à l’aide de scripts PowerShell sous Windows. Cela permet de surveiller les connexions non autorisées et d'améliorer la sécurité du système.
Prérequis
• Windows 10/11 Pro ou Entreprise
• Droits administratifs pour exécuter des scripts PowerShell
• Accès à l’Observateur d’événements (Event Viewer) pour surveiller les connexions
• Familiarité avec les bases des scripts PowerShell
Méthodologie
Configurer la journalisation des connexions
• Activez la journalisation des connexions dans les stratégies de sécurité locale :
Allez dans Stratégie de sécurité locale > Stratégies locales > Stratégies d’audit.
Activez les paramètres suivants :
Audit des connexions réussies
Audit des connexions échouées
• Vérifiez que les journaux des connexions apparaissent dans l’Observateur d’événements :
Accédez à Observateur d’événements > Journaux Windows > Sécurité.
• Documentation complémentaire : journalisation connexions Windows
Créer un script PowerShell pour détecter les connexions suspectes
• Ouvrez un éditeur de texte pour écrire le script suivant :
• Ce script vérifie les connexions échouées (ID 4625) et envoie un e-mail si une IP suspecte est détectée.
• Exécutez le script périodiquement avec le Planificateur de tâches Windows.
• Documentation complémentaire : PowerShell alertes connexions
Automatiser l’exécution du script
• Ouvrez le Planificateur de tâches Windows.
• Créez une nouvelle tâche pour exécuter le script :
Définissez un déclencheur récurrent (par exemple, toutes les heures).
Ajoutez l’action suivante :
• Vérifiez que le script s’exécute correctement en consultant les journaux du Planificateur de tâches.
• Plus d’informations : Planificateur tâches script PowerShell
Astuce
Ajoutez un mécanisme de journalisation dans le script pour conserver un historique des alertes générées.
Avertissement
Testez le script sur un environnement non critique avant de le déployer en production pour éviter des alertes inutiles.
Conseil
Utilisez un outil comme GlassWire pour surveiller les connexions réseau suspectes en complément des alertes PowerShell.
Solution alternative
Essayez AOMEI Backupper pour sauvegarder les journaux des connexions et les surveiller.
Conclusion
Vous avez configuré des alertes pour détecter les connexions suspectes sous Windows à l’aide de scripts PowerShell, renforçant ainsi la sécurité du système.
IntroductionCe tutoriel explique comment configurer des alertes en cas de connexions anormales ou suspectes à l’aide de scripts PowerShell sous Windows. Cela permet de surveiller les connexions non autorisées et d'améliorer la sécurité du système.
Prérequis• Windows 10/11 Pro ou Entreprise
• Droits administratifs pour exécuter des scripts PowerShell
• Accès à l’Observateur d’événements (Event Viewer) pour surveiller les connexions
• Familiarité avec les bases des scripts PowerShell
Méthodologie Configurer la journalisation des connexions• Activez la journalisation des connexions dans les stratégies de sécurité locale :
Allez dans Stratégie de sécurité locale > Stratégies locales > Stratégies d’audit.
Activez les paramètres suivants :
Audit des connexions réussies
Audit des connexions échouées
• Vérifiez que les journaux des connexions apparaissent dans l’Observateur d’événements :
Accédez à Observateur d’événements > Journaux Windows > Sécurité.
• Documentation complémentaire : journalisation connexions Windows
Créer un script PowerShell pour détecter les connexions suspectes• Ouvrez un éditeur de texte pour écrire le script suivant :
Code:
Script pour détecter des connexions suspectes
$Events = Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4625 }
foreach ($Event in $Events) {
if ($Event.Properties[5].Value -like "192.168.") {
Send-MailMessage -To "admin@example.com" -From "alert@example.com" -Subject "Connexion suspecte détectée" -Body "Détails : $($Event)" -SmtpServer "smtp.example.com"
}
}• Ce script vérifie les connexions échouées (ID 4625) et envoie un e-mail si une IP suspecte est détectée.
• Exécutez le script périodiquement avec le Planificateur de tâches Windows.
• Documentation complémentaire : PowerShell alertes connexions
Automatiser l’exécution du script• Ouvrez le Planificateur de tâches Windows.
• Créez une nouvelle tâche pour exécuter le script :
Définissez un déclencheur récurrent (par exemple, toutes les heures).
Ajoutez l’action suivante :
Code:
powershell.exe -File "C:\Scripts\DetectConnexion.ps1"• Vérifiez que le script s’exécute correctement en consultant les journaux du Planificateur de tâches.
• Plus d’informations : Planificateur tâches script PowerShell
AstuceAjoutez un mécanisme de journalisation dans le script pour conserver un historique des alertes générées.
AvertissementTestez le script sur un environnement non critique avant de le déployer en production pour éviter des alertes inutiles.
ConseilUtilisez un outil comme GlassWire pour surveiller les connexions réseau suspectes en complément des alertes PowerShell.
Solution alternativeEssayez AOMEI Backupper pour sauvegarder les journaux des connexions et les surveiller.
ConclusionVous avez configuré des alertes pour détecter les connexions suspectes sous Windows à l’aide de scripts PowerShell, renforçant ainsi la sécurité du système.
