⚔ Tutoriel Windows : Surveillance des tentatives de connexion pour identifier les activités suspectes
▶ Introduction
Dans ce tutoriel, vous apprendrez à surveiller les tentatives de connexion sur votre système Windows afin d'identifier les activités suspectes. En analysant les journaux d’événements, vous pouvez détecter les tentatives de connexion échouées et les connexions non autorisées, améliorant ainsi la sécurité de votre système.
Prérequis
• Windows 10 Pro, Enterprise, ou Windows 11
• Droits administrateur pour accéder aux journaux d'événements de sécurité
• Connaissances de base sur l’Observateur d’événements pour consulter et filtrer les journaux
Méthodologie
• Accédez au Panneau de configuration > Outils d'administration > Stratégie de sécurité locale. Dans la section Stratégies locales > Stratégies d'audit, activez l’audit des connexions en sélectionnant Audit des connexions réussies et échouées. Cela vous permettra de capturer les tentatives de connexion.
• Ouvrez l’Observateur d’événements en appuyant sur Win + R, tapez eventvwr.msc et appuyez sur Entrée. Accédez à Journaux Windows > Sécurité pour consulter les événements de connexion.
• Utilisez des filtres pour cibler les événements de connexion spécifiques. Cliquez sur Filtrer le journal actuel et recherchez les ID d'événements importants :
4624 : Connexion réussie
4625 : Connexion échouée
4771 : Tentative d’authentification échouée avec Kerberos
• Analyser les détails des événements de connexion échouée (ID 4625) pour repérer des tentatives suspectes. Ces événements indiquent généralement des tentatives de connexion avec des identifiants incorrects, ce qui peut signaler une activité suspecte.
• Configurez des alertes d'événements avec le Planificateur de tâches Windows. Créez une nouvelle tâche en sélectionnant À la création d'un événement comme déclencheur, en spécifiant l’ID de l’événement, pour recevoir une notification en cas de connexion échouée.
Astuce
Utilisez les filtres de l’Observateur d’événements pour surveiller uniquement les connexions provenant de réseaux externes, en vérifiant l’adresse IP source de chaque tentative de connexion pour des accès non familiers.
Avertissement
Les journaux d’événements peuvent rapidement se remplir si vous surveillez de nombreuses activités. Configurez une rotation des journaux dans les Paramètres de journalisation pour éviter de saturer votre disque dur.
Conseil
Planifiez une tâche hebdomadaire pour examiner les événements critiques et identifier toute activité inhabituelle. Cette routine permet de maintenir la sécurité de votre système.
Solution alternative
Pour une surveillance plus centralisée, explorez Splunk, un outil de gestion des journaux offrant des capacités avancées d'analyse des événements de sécurité sous Windows.
Conclusion
Vous avez configuré la surveillance des tentatives de connexion sous Windows pour identifier les activités suspectes, renforçant ainsi la sécurité de votre environnement de travail et limitant les accès non autorisés.
▶ Introduction
Dans ce tutoriel, vous apprendrez à surveiller les tentatives de connexion sur votre système Windows afin d'identifier les activités suspectes. En analysant les journaux d’événements, vous pouvez détecter les tentatives de connexion échouées et les connexions non autorisées, améliorant ainsi la sécurité de votre système.
Prérequis• Windows 10 Pro, Enterprise, ou Windows 11
• Droits administrateur pour accéder aux journaux d'événements de sécurité
• Connaissances de base sur l’Observateur d’événements pour consulter et filtrer les journaux
Méthodologie• Accédez au Panneau de configuration > Outils d'administration > Stratégie de sécurité locale. Dans la section Stratégies locales > Stratégies d'audit, activez l’audit des connexions en sélectionnant Audit des connexions réussies et échouées. Cela vous permettra de capturer les tentatives de connexion.
• Ouvrez l’Observateur d’événements en appuyant sur Win + R, tapez eventvwr.msc et appuyez sur Entrée. Accédez à Journaux Windows > Sécurité pour consulter les événements de connexion.
• Utilisez des filtres pour cibler les événements de connexion spécifiques. Cliquez sur Filtrer le journal actuel et recherchez les ID d'événements importants :
4624 : Connexion réussie
4625 : Connexion échouée
4771 : Tentative d’authentification échouée avec Kerberos
• Analyser les détails des événements de connexion échouée (ID 4625) pour repérer des tentatives suspectes. Ces événements indiquent généralement des tentatives de connexion avec des identifiants incorrects, ce qui peut signaler une activité suspecte.
• Configurez des alertes d'événements avec le Planificateur de tâches Windows. Créez une nouvelle tâche en sélectionnant À la création d'un événement comme déclencheur, en spécifiant l’ID de l’événement, pour recevoir une notification en cas de connexion échouée.
AstuceUtilisez les filtres de l’Observateur d’événements pour surveiller uniquement les connexions provenant de réseaux externes, en vérifiant l’adresse IP source de chaque tentative de connexion pour des accès non familiers.
AvertissementLes journaux d’événements peuvent rapidement se remplir si vous surveillez de nombreuses activités. Configurez une rotation des journaux dans les Paramètres de journalisation pour éviter de saturer votre disque dur.
ConseilPlanifiez une tâche hebdomadaire pour examiner les événements critiques et identifier toute activité inhabituelle. Cette routine permet de maintenir la sécurité de votre système.
Solution alternativePour une surveillance plus centralisée, explorez Splunk, un outil de gestion des journaux offrant des capacités avancées d'analyse des événements de sécurité sous Windows.
ConclusionVous avez configuré la surveillance des tentatives de connexion sous Windows pour identifier les activités suspectes, renforçant ainsi la sécurité de votre environnement de travail et limitant les accès non autorisés.
