Auditer les événements de connexion
Détermine s’il faut auditer chaque instance d’un utilisateur qui se connecte ou se déconnecte d’un appareil.
Les événements d’ouverture de session de compte sont générés sur les contrôleurs de domaine pour l’activité du compte de domaine et sur les appareils locaux pour l’activité du compte local. Si les catégories de stratégie d’audit de compte et d’ouverture de session sont activées, les ouvertures de session qui utilisent un compte de domaine génèrent un événement d’ouverture de session ou de déconnexion sur la station de travail ou le serveur, et génèrent un événement d’ouverture de session de compte sur le contrôleur de domaine. En outre, les connexions interactives à un serveur membre ou à une station de travail qui utilisent un compte de domaine génèrent un événement d’ouverture de session sur le contrôleur de domaine, car les scripts et stratégies d’ouverture de session sont récupérés lorsqu’un utilisateur ouvre une session. Pour plus d’informations sur les événements d’ouverture de session de compte, consultez Auditer les événements d’ouverture de session de compte.
Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s’il faut auditer les réussites, les échecs d’audit ou ne pas auditer du tout le type d’événement. Les audits de réussite génèrent une entrée d’audit lorsqu’une tentative d’ouverture de session réussit. Les audits d’échec génèrent une entrée d’audit lorsqu’une tentative d’ouverture de session échoue.
Pour définir cette valeur sur Aucun audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec .
Pour plus d’informations sur les paramètres de stratégie de sécurité avancés pour les événements d’ouverture de session, consultez la section Ouverture de session/déconnexion dans Paramètres de stratégie d’audit de sécurité avancés.
Configurer ce paramètre d’audit
Vous pouvez configurer ce paramètre de sécurité en ouvrant la stratégie appropriée sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d’audit.
| Événements d’ouverture de session | Description |
|---|---|
| 4624 | Un utilisateur s’est connecté à un ordinateur. Pour plus d’informations sur le type d’ouverture de session, consultez le tableau Types d’ouverture de session ci-dessous. |
| 4625 | Échec de connexion. Une tentative d’ouverture de session a été effectuée avec un nom d’utilisateur inconnu ou un nom d’utilisateur connu avec un mot de passe incorrect. |
| 4634 | Le processus de fermeture de session a été terminé pour un utilisateur. |
| 4647 | Un utilisateur a lancé le processus de déconnexion. |
| 4648 | Un utilisateur s’est correctement connecté à un ordinateur à l’aide d’informations d’identification explicites alors qu’il était déjà connecté en tant qu’utilisateur différent. |
| 4779 | Un utilisateur a déconnecté une session de serveur Terminal Server sans se déconnecter. |
Lorsque l’événement 4624 (ID d’événement Windows hérité 528) est journalisé, un type d’ouverture de session est également répertorié dans le journal des événements. Le tableau suivant décrit chaque type d’ouverture de session.
| Type d’ouverture de session | Titre de l’ouverture de session | Description |
|---|---|---|
| 2 | Interactive | Un utilisateur s’est connecté à cet ordinateur. |
| 3 | Network | Un utilisateur ou un ordinateur connecté à cet ordinateur à partir du réseau. |
| 4 | Lot | Le type d’ouverture de session Batch est utilisé par les serveurs batch, où les processus peuvent s’exécuter pour le compte d’un utilisateur sans intervention directe. |
| 5 | Service | Un service a été démarré par le Gestionnaire de contrôle des services. |
| 7 | Déverrouiller | Cette station de travail a été déverrouillée. |
| 8 | NetworkCleartext | Un utilisateur s’est connecté à cet ordinateur à partir du réseau. Le mot de passe de l’utilisateur a été passé au package d’authentification dans son formulaire non mis en cache. L’authentification intégrée empaquette toutes les informations d’identification de hachage avant de les envoyer sur le réseau. Les informations d’identification ne traversent pas le réseau en texte clair (également appelé texte clair). |
| 9 | NewCredentials | Un appelant a cloné son jeton actuel et spécifié de nouvelles informations d’identification pour les connexions sortantes. La nouvelle session d’ouverture de session a la même identité locale, mais utilise des informations d’identification différentes pour d’autres connexions réseau. |
| 10 | RemoteInteractive | Un utilisateur s’est connecté à cet ordinateur à distance à l’aide des services Terminal Server ou du Bureau à distance. |
| 11 | CachedInteractive | Un utilisateur s’est connecté à cet ordinateur avec des informations d’identification réseau stockées localement sur l’ordinateur. Le contrôleur de domaine n’a pas été contacté pour vérifier les informations d’identification. |
Rubriques associées
Commentaires
Envoyer et afficher des commentaires pour