⚔ Tutoriel Windows : Surveillance des tentatives d’accès non autorisées avec les journaux d’événements de Windows
▶ Introduction
Dans ce tutoriel, vous allez apprendre à surveiller les tentatives d’accès non autorisées à l’aide des journaux d’événements de Windows. Ces journaux permettent de capturer et d’analyser les activités suspectes, telles que les tentatives d’accès échouées ou les modifications de fichiers sensibles. Vous verrez comment activer l’audit, configurer les paramètres de sécurité et consulter les événements pour assurer une surveillance efficace des accès.
Prérequis
• Windows 10 Pro, Enterprise ou Windows 11
• Droits administrateur pour configurer l’audit de sécurité
• Connaissance de base de l’Observateur d’événements pour visualiser les logs
• Fichiers ou dossiers sensibles identifiés pour surveiller les tentatives d’accès
Méthodologie
• Commencez par accéder au Panneau de configuration > Outils d'administration > Stratégie de sécurité locale. Dans la fenêtre, allez dans Stratégies locales > Stratégies d'audit.
• Activez l’audit des tentatives d’accès : sélectionnez Audit des accès aux objets et cochez les cases Succès et Échec pour capturer les tentatives d’accès réussies et échouées sur les objets surveillés.
• Configurez l’audit pour un fichier ou un dossier spécifique en faisant un clic droit sur celui-ci et en sélectionnant Propriétés > Sécurité > Avancé. Cliquez sur l'onglet Audit, puis sur Ajouter.
• Spécifiez les utilisateurs ou groupes à surveiller et sélectionnez les actions à auditer, comme Lire, Écrire, ou Supprimer. Appliquez les modifications pour démarrer la surveillance.
• Ouvrez l’Observateur d’événements pour consulter les logs de sécurité. Accédez à Journaux Windows > Sécurité pour voir les événements relatifs aux tentatives d'accès. Recherchez les ID d’événements tels que 4624 (connexion réussie), 4625 (tentative de connexion échouée), et 4663 (accès à un objet).
Astuce
Utilisez des filtres dans l’Observateur d’événements pour rechercher rapidement les événements liés à des utilisateurs spécifiques ou à des types d'accès. Cela simplifie l’analyse des journaux.
Avertissement
L'activation de l'audit sur des dossiers de grande taille ou très utilisés peut générer un volume important de logs, ce qui pourrait ralentir le système. Activez l’audit uniquement sur les dossiers critiques.
Conseil
Programmez une tâche dans le Planificateur de tâches Windows pour envoyer des notifications ou des emails lorsque des tentatives d’accès non autorisées sont détectées. Cela assure une surveillance en temps réel.
Solution alternative
Pour une analyse avancée, envisagez l’utilisation de Microsoft Sentinel, qui permet de centraliser les journaux d'événements pour une analyse approfondie et une détection automatisée des menaces.
Conclusion
Vous avez configuré avec succès la surveillance des tentatives d’accès non autorisées via les journaux d’événements sous Windows, améliorant ainsi la sécurité et la détection proactive des activités suspectes.
▶ Introduction
Dans ce tutoriel, vous allez apprendre à surveiller les tentatives d’accès non autorisées à l’aide des journaux d’événements de Windows. Ces journaux permettent de capturer et d’analyser les activités suspectes, telles que les tentatives d’accès échouées ou les modifications de fichiers sensibles. Vous verrez comment activer l’audit, configurer les paramètres de sécurité et consulter les événements pour assurer une surveillance efficace des accès.
Prérequis• Windows 10 Pro, Enterprise ou Windows 11
• Droits administrateur pour configurer l’audit de sécurité
• Connaissance de base de l’Observateur d’événements pour visualiser les logs
• Fichiers ou dossiers sensibles identifiés pour surveiller les tentatives d’accès
Méthodologie• Commencez par accéder au Panneau de configuration > Outils d'administration > Stratégie de sécurité locale. Dans la fenêtre, allez dans Stratégies locales > Stratégies d'audit.
• Activez l’audit des tentatives d’accès : sélectionnez Audit des accès aux objets et cochez les cases Succès et Échec pour capturer les tentatives d’accès réussies et échouées sur les objets surveillés.
• Configurez l’audit pour un fichier ou un dossier spécifique en faisant un clic droit sur celui-ci et en sélectionnant Propriétés > Sécurité > Avancé. Cliquez sur l'onglet Audit, puis sur Ajouter.
• Spécifiez les utilisateurs ou groupes à surveiller et sélectionnez les actions à auditer, comme Lire, Écrire, ou Supprimer. Appliquez les modifications pour démarrer la surveillance.
• Ouvrez l’Observateur d’événements pour consulter les logs de sécurité. Accédez à Journaux Windows > Sécurité pour voir les événements relatifs aux tentatives d'accès. Recherchez les ID d’événements tels que 4624 (connexion réussie), 4625 (tentative de connexion échouée), et 4663 (accès à un objet).
AstuceUtilisez des filtres dans l’Observateur d’événements pour rechercher rapidement les événements liés à des utilisateurs spécifiques ou à des types d'accès. Cela simplifie l’analyse des journaux.
AvertissementL'activation de l'audit sur des dossiers de grande taille ou très utilisés peut générer un volume important de logs, ce qui pourrait ralentir le système. Activez l’audit uniquement sur les dossiers critiques.
ConseilProgrammez une tâche dans le Planificateur de tâches Windows pour envoyer des notifications ou des emails lorsque des tentatives d’accès non autorisées sont détectées. Cela assure une surveillance en temps réel.
Solution alternativePour une analyse avancée, envisagez l’utilisation de Microsoft Sentinel, qui permet de centraliser les journaux d'événements pour une analyse approfondie et une détection automatisée des menaces.
ConclusionVous avez configuré avec succès la surveillance des tentatives d’accès non autorisées via les journaux d’événements sous Windows, améliorant ainsi la sécurité et la détection proactive des activités suspectes.
