Surveillance des connexions à distance avec les journaux d'événements Windows pour détecter les tentatives d'intrusion
IntroductionCe tutoriel explique comment surveiller les connexions à distance sur un système Windows à l’aide des journaux d’événements pour détecter d’éventuelles tentatives d’intrusion. En configurant les paramètres de sécurité et les audits dans Observateur d’événements, vous serez en mesure de suivre les tentatives de connexion et d'identifier les accès non autorisés.
Prérequis• Windows 10 Pro ou version ultérieure
• Accès administrateur pour configurer les audits de sécurité
• Connaissance de base de l’Observateur d’événements Windows
Support Microsoft - Surveillance des journaux d’événements Windows
Microsoft Learn - Surveillance des connexions via les journaux d’événements
Recherche Google - Surveillance des connexions événements Windows
Méthodologie
Étape 1 : Activer l’audit des connexions dans les stratégies de sécurité• Ouvrez l’Éditeur de stratégie de groupe locale (GPedit.msc) en recherchant "gpedit.msc" dans la barre de recherche Windows.
• Naviguez jusqu’à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit.
• Activez les audits pour Connexion réussie et Échec de connexion en cochant ces options dans Auditer les tentatives de connexion. Cela permet d'enregistrer toutes les connexions réussies et les tentatives échouées dans les journaux d'événements.
Étape 2 : Utiliser l'Observateur d'événements pour surveiller les tentatives de connexion• Ouvrez Observateur d’événements en recherchant "eventvwr" dans la barre de recherche Windows.
• Allez dans Journaux Windows > Sécurité. Vous verrez les événements liés aux connexions dans le journal.
• Recherchez les ID d'événement 4624 (connexion réussie) et ID d'événement 4625 (échec de connexion) pour identifier les tentatives de connexion et vérifier si des utilisateurs non autorisés essaient d'accéder au système.
Étape 3 : Créer des alertes pour les tentatives de connexion suspectes• Dans l'Observateur d'événements, faites un clic droit sur Sécurité et sélectionnez Attacher une tâche à cet événement.
• Configurez une tâche pour envoyer une notification par email en cas d'événement de type Échec de connexion. Cela permet de recevoir une alerte immédiate en cas de tentative de connexion infructueuse répétée.
AstuceUtilisez PowerShell pour automatiser l'extraction des événements de connexion en exécutant une commande telle que :
Code:
Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4625 }
AvertissementActivez uniquement l’audit des événements nécessaires, car l'enregistrement d'un grand nombre d'événements peut rapidement remplir le journal et affecter les performances du système.
ConseilNettoyez régulièrement les journaux d'événements pour optimiser les performances de l'Observateur d'événements et éviter la saturation du disque.
Solution alternativeUtilisez AOMEI Backupper pour sauvegarder régulièrement les journaux d'événements, afin de conserver un historique des tentatives de connexion.
ConclusionEn suivant ce guide, vous pouvez surveiller efficacement les tentatives de connexion à distance et détecter d'éventuelles intrusions en configurant les journaux d'événements Windows. Cette surveillance améliore la sécurité de votre système en permettant une détection rapide des accès non autorisés.
