Des lecteurs comme vous aident à soutenir MUO. Lorsque vous effectuez un achat en utilisant des liens sur notre site, nous pouvons gagner une commission d'affiliation. En savoir plus.

Windows vous permet de créer plusieurs comptes d'utilisateurs pour permettre à plusieurs utilisateurs d'utiliser un seul ordinateur. Mais que se passe-t-il si vous suspectez quelqu'un d'avoir accédé à votre PC ou à votre compte utilisateur à votre insu ?

Bien que la surveillance physique permanente de votre ordinateur ne soit pas réalisable pour la plupart des gens, le L'utilitaire de journal Windows, Event Viewer, peut révéler les activités récentes sur votre ordinateur, y compris la connexion tentatives. Ici, nous vous montrons comment auditer les tentatives de connexion échouées et réussies dans Windows à l'aide de l'Observateur d'événements et d'autres méthodes.

Comment activer l'audit de connexion via l'éditeur de stratégie de groupe

Vous devez activer l'audit de connexion dans l'éditeur de stratégie de groupe pour pouvoir afficher l'audit de connexion dans l'Observateur d'événements. Bien que cette fonctionnalité puisse être activée par défaut sur certains ordinateurs, vous pouvez également activer manuellement l'audit de connexion en suivant ces étapes.

instagram viewer

Notez que l'éditeur de stratégie de groupe n'est disponible que sur les éditions Pro, Edu et Enterprise du système d'exploitation Windows. Si vous êtes sur l'édition Home, suivez notre guide pour activer gpedit dans l'édition familiale de Windows.

Notez que si vous ne configurez pas votre stratégie de groupe pour l'audit des connexions, vous ne pouvez afficher que les tentatives de connexion réussies dans l'Observateur d'événements.

Une fois l'éditeur de stratégie de groupe activé, suivez ces étapes pour activer l'audit de connexion :

  1. Presse Gagner + R ouvrir Courir.
  2. Taper gpedit.msc et cliquez D'ACCORD pour ouvrir le Éditeur de stratégie de groupe.
  3. Ensuite, accédez à l'emplacement suivant :La configuration d'un ordinateur > Paramètres Windows > Les paramètres de sécurité > Politiques locales > Politique d'audit
  4. Dans le volet de droite, faites un clic droit sur Auditer les événements de connexion et sélectionnez Propriétés.
  5. Dans le Propriétés boîte de dialogue, sélectionnez Succès et Échec options sous le Auditez ces tentatives section.
  6. Cliquez sur Appliquer et D'ACCORD pour enregistrer les modifications.

Fermez l'éditeur de stratégie de groupe et passez à l'ensemble d'étapes suivant pour afficher les tentatives de connexion dans l'Observateur d'événements.

Comment afficher les tentatives de connexion échouées et réussies dans l'Observateur d'événements

Le Observateur d'événements vous permet d'afficher les journaux Windows pour l'application, la sécurité, le système et d'autres événements. Bien qu'il s'agisse d'une application utile pour résoudre les problèmes du système, vous pouvez l'utiliser pour auditer les événements de connexion sur votre PC Windows.

Suivez ces étapes pour afficher les tentatives de connexion échouées et réussies dans Windows :

  1. appuie sur le Clé de victoire et tapez Observateur d'événements. Sinon, cliquez sur Recherche dans la barre des tâches et tapez Observateur d'événements.
  2. Cliquer sur Observateur d'événements à partir du résultat de la recherche pour l'ouvrir.
  3. Dans le volet de gauche, développez le Journaux Windows section.
  4. Ensuite, sélectionnez Sécurité.
  5. Dans le volet de droite, recherchez le Événement 4624 entrée. Il s'agit d'un ID d'événement de connexion utilisateur et vous pouvez trouver plusieurs instances de cet ID dans le journal des événements.
  6. Pour trouver les tentatives de connexion infructueuses, localisez ID d'événement 2625 entrées à la place.
  7. Ensuite, sélectionnez le Événement 4624 l'entrée que vous souhaitez afficher, et l'Observateur d'événements affichera toutes les informations connexes dans la section inférieure. Vous pouvez également cliquer avec le bouton droit sur l'entrée d'événement et sélectionner Propriétés pour afficher des informations détaillées dans une nouvelle fenêtre.

Comment déchiffrer les entrées de connexion dans l'Observateur d'événements

Bien que l'ID d'événement 4624 soit associé à des événements de connexion, vous trouverez probablement plusieurs instances de cette entrée se produisant toutes les quelques minutes dans le journal. Cela est dû au fait que l'Observateur d'événements enregistre chaque événement de connexion (que ce soit à partir du compte d'utilisateur local ou des services système tels que la sécurité Windows) avec le même ID d'événement. (Événement 4624).

Pour identifier la source de connexion, cliquez avec le bouton droit sur l'enregistrement de l'événement et sélectionnez Propriétés. Dans le Général onglet, faites défiler vers le bas et localisez l'onglet Informations de connexion section. Ici le Type de connexion Le champ indique le type de connexion qui s'est produit.

Par exemple, Type de connexion 5 indique une connexion basée sur le service, tandis que Type de connexion 2 indique une connexion basée sur l'utilisateur. En savoir plus sur les différents types de connexion dans le tableau ci-dessous.

Ensuite, faites défiler jusqu'à la Nouvelle connexion section et localisez la ID de sécurité. Cela affichera le compte d'utilisateur qui a été affecté par la connexion.

De même, pour les tentatives de connexion infructueuses, consultez ID d'événement 4625. Dans le Propriétés boîte de dialogue, vous pouvez trouver les raisons de l'échec de la tentative de connexion et le compte d'utilisateur concerné. Si vous trouvez plusieurs cas de tentatives infructueuses, envisagez d'apprendre comment limiter le nombre de tentatives de connexion infructueuses pour protéger votre PC Windows.

Ci-dessous la liste des neuf Types de connexion pour les événements de connexion que vous pouvez rencontrer lors de l'examen des événements de connexion dans l'Observateur d'événements :

Type de connexion Description
Type de connexion 2 Un utilisateur local s'est connecté à cet ordinateur.
Type de connexion 3 Un utilisateur s'est connecté à cet ordinateur à partir du réseau.
Type de connexion 4 Type de connexion par lots sans intervention de l'utilisateur – Tâches planifiées, etc.
Type de connexion 5 Connexion par service système démarré par Service Control Manager – Type le plus courant
Type de connexion 7 Système déverrouillé par un utilisateur de compte local
Type de connexion 8 NetworkClearText - Tentative de connexion sur le réseau où le mot de passe a été envoyé en texte clair.
Type de connexion 9 NewCredentials - déclenché lorsqu'un utilisateur utilise la commande RunAs avec l'option /netonly pour démarrer un programme.
Type de connexion 10 RemoteInteractive - Généré lorsqu'un ordinateur est accessible via un outil d'accès à distance tel que Remote Desktop Connection.
Type de connexion 11 CachedInteractive – Lorsque l'utilisateur s'est connecté à l'ordinateur via la console à l'aide des informations d'identification mises en cache lorsque le contrôleur de domaine n'est pas disponible.

Comment afficher l'historique de la dernière connexion à l'aide de l'invite de commande

Vous pouvez utiliser l'invite de commande pour afficher la dernière tentative de connexion. C'est un moyen pratique de trouver des tentatives de connexion basées sur l'utilisateur sans avoir à parcourir tous les événements de connexion dans l'Observateur d'événements.

Pour afficher l'historique de connexion d'un utilisateur spécifique à l'aide de l'invite de commande :

  1. Presse Gagner + R ouvrir Courir.
  2. Taper commande. Tout en tenant le Touche Ctrl + Maj, Cliquez sur D'ACCORD. Cela ouvrira le Invite de commandes en tant qu'administrateur.
  3. Dans la fenêtre d'invite de commande, tapez la commande suivante et appuyez sur Entrée :administrateur d'utilisateurs net | findstr /B /C :"Dernière connexion"
  4. Dans la commande ci-dessus, remplacez "administrateur" par le nom d'utilisateur pour afficher son historique de connexion.
  5. La sortie affichera l'heure et la date de la dernière connexion pour l'utilisateur spécifié.

Affichage des tentatives de connexion échouées et réussies dans Windows

Si vous soupçonnez que quelqu'un s'est connecté à votre PC, l'observateur d'événements détectera et enregistrera probablement la tentative. Pour que cela fonctionne, vous devez activer la stratégie d'audit de connexion dans l'éditeur de stratégie de groupe. Vous pouvez également utiliser l'invite de commande pour afficher l'historique de connexion d'un utilisateur spécifique.

Cela dit, toute personne connaissant l'Observateur d'événements peut facilement effacer les journaux. Donc, si quoi que ce soit, renforcer la sécurité de votre ordinateur Windows est le meilleur moyen d'empêcher tout accès non autorisé. Vous pouvez commencer par limiter le nombre de tentatives de connexion infructueuses sur votre PC Windows.