Surveillance des tentatives de connexion infructueuses via l’outil d’audit de sécurité sous Windows
Introduction• Ce tutoriel vous apprendra à configurer et utiliser les outils natifs de Windows pour surveiller les tentatives de connexion infructueuses. Cette surveillance peut améliorer la sécurité de votre système en identifiant les tentatives d’accès non autorisées.
Prérequis• Un système Windows 10 ou 11.
• Un compte utilisateur avec des droits administratifs.
• L’outil "Observateur d’événements" et les paramètres de stratégie de sécurité locale.
Méthodologie• Introduire les deux approches principales :
• Méthode 1 : Utilisation de l’Observateur d’événements.
• Méthode 2 : Utilisation de commandes PowerShell.
Avantages des 2 méthodes• Méthode 1 : Interface graphique conviviale et facile à naviguer.
• Méthode 2 : Automatisation et extraction rapide des données via des scripts.
Inconvénients des 2 méthodes• Méthode 1 : Peu adaptée à un traitement de données massif.
• Méthode 2 : Exige une connaissance préalable des commandes PowerShell.
Étapes pour chaque méthode• Méthode 1 : Observateur d’événements
Accédez au menu Démarrer et tapez Observateur d’événements.
Naviguez vers Journaux Windows > Sécurité.
Recherchez les événements avec l’ID 4625 (tentatives de connexion infructueuses).
Analysez les informations comme le nom d’utilisateur et l’adresse IP source.
• Méthode 2 : PowerShell
Ouvrez une fenĂŞtre PowerShell en mode Administrateur.
Exécutez la commande suivante pour lister les événements 4625 :
Code:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Select-Object TimeCreated, MessageExportez les résultats vers un fichier pour une analyse détaillée :
Code:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Export-Csv -Path C:\Logs\FailedLogins.csv
Astuce• Configurez une alerte automatique dans l’Observateur d’événements via une tâche planifiée pour notifier immédiatement des échecs de connexion répétés.
Mise en garde• Ne modifiez pas les journaux manuellement, car cela pourrait compromettre les données pour une enquête future.
Conseil• Combinez les deux méthodes pour obtenir des résultats exhaustifs et détaillés.
Solution alternative• Utilisez un logiciel tiers comme Splunk ou SolarWinds pour une gestion avancée des journaux de sécurité.
Références• Support Microsoft
• Microsoft Learn
• Recherche Google
Conclusion• Vous savez désormais comment surveiller efficacement les tentatives de connexion infructueuses sur Windows. Ces outils vous permettent de détecter rapidement des activités suspectes pour renforcer la sécurité de votre système.
