⚔ Surveillance des tentatives d’accès non autorisées avec les journaux d’événements de Windows
Introduction
Dans ce tutoriel, nous allons examiner comment surveiller les tentatives d’accès non autorisées sous Windows en utilisant les journaux d’événements. L’Observateur d'événements est un outil puissant pour détecter et enregistrer les tentatives d’accès aux fichiers et dossiers sensibles, ce qui permet aux administrateurs de mieux sécuriser leurs systèmes.
Prérequis
• Windows 10 ou version ultérieure
• Droits administrateur pour configurer l’audit et accéder aux journaux d'événements
Méthodologie
Explications générales
• Pour activer la surveillance des tentatives d'accès non autorisées, ouvrez l’Éditeur de stratégie de sécurité locale en tapant "secpol.msc" dans la boîte de recherche Windows.
• Allez dans "Stratégies locales" > "Stratégies d’audit" et activez l'audit des "Échecs de connexion" et des "Accès à l’objet" pour suivre les tentatives d'accès échouées et l'accès aux objets.
• Microsoft Learn - audit Windows
PowerShell
• Utilisez PowerShell pour automatiser l’activation de l’audit des tentatives d'accès en utilisant les commandes suivantes :
• Ces commandes activent l’audit des échecs de connexion et des accès aux objets, ce qui permet d’enregistrer chaque tentative d'accès échouée aux objets protégés
• Support Microsoft - Audit PowerShell
Paramètres avancés
• Pour configurer l’audit avancé et spécifier des dossiers ou fichiers à surveiller, ouvrez les propriétés du dossier en question, allez dans l'onglet "Sécurité" > "Paramètres avancés", puis configurez les entrées d'audit pour spécifier les types d'accès à surveiller.
• Google - paramètres avancés audit Windows
Astuce
Utilisez l’option de filtre de l’Observateur d'événements pour afficher uniquement les tentatives d'accès échouées et éviter d'être submergé par les autres événements système.
Avertissement
Une surveillance excessive peut générer de nombreux événements dans le journal, consommant ainsi plus de ressources système. Activez uniquement l’audit pour les fichiers ou dossiers critiques afin d’optimiser la performance.
Conseil
Pour une analyse centralisée des journaux, envisagez l’utilisation de Microsoft Sentinel, qui offre des options avancées pour l’agrégation et l’analyse des événements d’audit.
Microsoft Sentinel
Solution alternative
Si vous souhaitez un outil tiers pour la gestion et l’analyse des journaux, GlassWire propose une interface utilisateur intuitive pour surveiller les tentatives de connexion et autres événements réseau.
GlassWire
Conclusion
La configuration de l’audit des tentatives d’accès sous Windows via les journaux d’événements permet de renforcer la sécurité en surveillant les accès non autorisés. En automatisant la configuration de l’audit, vous assurez une protection continue des données sensibles.
IntroductionDans ce tutoriel, nous allons examiner comment surveiller les tentatives d’accès non autorisées sous Windows en utilisant les journaux d’événements. L’Observateur d'événements est un outil puissant pour détecter et enregistrer les tentatives d’accès aux fichiers et dossiers sensibles, ce qui permet aux administrateurs de mieux sécuriser leurs systèmes.
Prérequis• Windows 10 ou version ultérieure
• Droits administrateur pour configurer l’audit et accéder aux journaux d'événements
Méthodologie Explications générales• Pour activer la surveillance des tentatives d'accès non autorisées, ouvrez l’Éditeur de stratégie de sécurité locale en tapant "secpol.msc" dans la boîte de recherche Windows.
• Allez dans "Stratégies locales" > "Stratégies d’audit" et activez l'audit des "Échecs de connexion" et des "Accès à l’objet" pour suivre les tentatives d'accès échouées et l'accès aux objets.
• Microsoft Learn - audit Windows
PowerShell• Utilisez PowerShell pour automatiser l’activation de l’audit des tentatives d'accès en utilisant les commandes suivantes :
Code:
auditpol /set /subcategory:"Logon" /failure
auditpol /set /subcategory:"Object Access" /failure• Ces commandes activent l’audit des échecs de connexion et des accès aux objets, ce qui permet d’enregistrer chaque tentative d'accès échouée aux objets protégés
• Support Microsoft - Audit PowerShell
Paramètres avancés• Pour configurer l’audit avancé et spécifier des dossiers ou fichiers à surveiller, ouvrez les propriétés du dossier en question, allez dans l'onglet "Sécurité" > "Paramètres avancés", puis configurez les entrées d'audit pour spécifier les types d'accès à surveiller.
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Audit• Google - paramètres avancés audit Windows
AstuceUtilisez l’option de filtre de l’Observateur d'événements pour afficher uniquement les tentatives d'accès échouées et éviter d'être submergé par les autres événements système.
AvertissementUne surveillance excessive peut générer de nombreux événements dans le journal, consommant ainsi plus de ressources système. Activez uniquement l’audit pour les fichiers ou dossiers critiques afin d’optimiser la performance.
ConseilPour une analyse centralisée des journaux, envisagez l’utilisation de Microsoft Sentinel, qui offre des options avancées pour l’agrégation et l’analyse des événements d’audit.
Microsoft Sentinel
Solution alternativeSi vous souhaitez un outil tiers pour la gestion et l’analyse des journaux, GlassWire propose une interface utilisateur intuitive pour surveiller les tentatives de connexion et autres événements réseau.
GlassWire
ConclusionLa configuration de l’audit des tentatives d’accès sous Windows via les journaux d’événements permet de renforcer la sécurité en surveillant les accès non autorisés. En automatisant la configuration de l’audit, vous assurez une protection continue des données sensibles.
