Contrôler les tentatives d’accès effectuées sur votre ordinateur pour y modifier des paramètres

Vous devez avoir ouvert une session en tant qu’administrateur pour effectuer ces étapes.

Vous pouvez contrôler (ou auditer) tous les mouvements enregistrés sur un ordinateur afin de renforcer sa sécurité. L’audit permet de déterminer qui s’est connecté à l’ordinateur, a créé un compte d’utilisateur, a modifié une stratégie de sécurité ou a ouvert un document. L’audit n’empêche pas un pirate informatique ou une personne disposant d’un compte sur votre ordinateur d’effectuer des modifications, il permet simplement de savoir à quel moment une modification a eu lieu et qui l’a effectuée.

Le tableau suivant décrit les différents types d’événements pouvant être contrôlés. Si vous choisissez d’auditer l’un de ces types d’événements, Windows enregistre les événements dans un journal consultable à l’aide de l’Observateur d’événements.

Événement Description
Événement

Gestion des comptes

Description

Auditez cet événement pour savoir à quel moment un utilisateur a modifié un nom de compte, activé ou désactivé un compte, créé ou supprimé un compte, changé un mot de passe ou modifié un groupe d’utilisateurs.

Événement

Événements de connexion

Description

Auditez cet événement pour savoir à quel moment un utilisateur s’est connecté ou s’est déconnecté de votre ordinateur (physiquement ou via un réseau).

Événement

Accès au service d’annuaire

Description

Auditez cet événement pour savoir à quel moment un utilisateur accède à un objet Active Directory qui possède sa propre liste de contrôle d’accès système.

Événement

Accès aux objets

Description

Auditez cet événement pour savoir à quel moment un utilisateur s’est servi d’un fichier, d’un dossier, d’une imprimante ou d’un autre objet. Même si vous pouvez également auditer des clés de Registre, cette opération est déconseillée sauf si vous êtes un utilisateur averti et si vous savez comment utiliser le Registre.

Événement

Modifications de stratégie

Description

Auditez cet événement pour afficher les tentatives de modification des stratégies de sécurité locales et pour vérifier si un utilisateur a modifié les affectations des droits d’utilisateur, les stratégies d’audit ou les stratégies d’approbation.

Événement

Utilisation d’un privilège

Description

Auditez cet événement pour savoir à quel moment un utilisateur effectue une tâche pour laquelle il dispose des autorisations nécessaires sur l’ordinateur.

Événement

Suivi des processus

Description

Auditez cet événement pour savoir à quel moment ont lieu des actions telles que l’activation d’un programme ou la sortie d’un processus.

Événement

Événements système

Description

Auditez ces événements pour savoir à quel moment un utilisateur a arrêté ou a redémarré l’ordinateur, ou bien à quel moment un processus ou un programme a tenté d’effectuer une tâche sans y être autorisé. Ainsi, si un logiciel espion a tenté de modifier un paramètre sur votre ordinateur sans votre autorisation, l’audit des événements système l’enregistre.

Afficher tout

Pour activer l’audit

  1. Pour ouvrir Stratégie de sécurité locale, cliquez sur le bouton DémarrerImage du bouton Démarrer, tapez secpol.msc dans la zone de recherche, puis cliquez sur secpol.msc. Autorisation de l’administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

  2. Dans le volet gauche, double-cliquez sur Stratégies locales, puis cliquez sur Stratégie d’audit.

  3. Double-cliquez sur le type d’événement que vous souhaitez auditer.

  4. Activez la case à cocher Réussite et/ou Échec, puis cliquez sur OK.

    • Si vous activez la case à cocher Réussite, Windows enregistre toutes les tentatives réussies pour réaliser le type d’événement que vous auditez. Par exemple, si vous auditez des événements de connexion, chaque connexion d’un utilisateur à votre ordinateur est considérée comme un événement réussi.

    • Si vous activez la case à cocher Échec, toute tentative ratée de connexion à votre ordinateur est enregistrée.

    • Si vous activez les deux cases à cocher Réussite et Échec, Windows enregistre toutes les tentatives.

    Le nombre d’événements enregistrés est limité et, si le journal d’audit est saturé, cela peut ralentir l’ordinateur. Pour faire de la place, vous pouvez supprimer des événements du journal lorsque vous affichez ceux-ci dans l’Observateur d’événements.

Pour contrôler les personnes qui ouvrent des documents

  1. Cliquez avec le bouton droit sur le document ou sur le fichier dont vous souhaitez effectuer le suivi, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Sécurité, sur Avancé, puis sur l’onglet Audit.

  3. Cliquez sur Continuer. Autorisation de l’administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

  4. Cliquez sur Ajouter.

  5. Dans la zone Entrez le nom de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe dont vous souhaitez effectuer le suivi des actions, puis cliquez sur OK dans chacune des quatre boîtes de dialogue ouvertes.

    Si vous souhaitez contrôler toutes les personnes, tapez Tout le monde. Si vous souhaitez contrôler un utilisateur spécifique, tapez le nom de l’ordinateur suivi du nom d'utilisateur de l'utilisateur ou le nom du domaine suivi du nom d’utilisateur de l’utilisateur (si l’ordinateur se trouve dans un domaine). ordinateur\nom d’utilisateur ou domaine\nom d'utilisateur.

  6. Activez la case à cocher correspondant aux options que vous souhaitez auditer, puis cliquez sur OK. Le tableau suivant décrit les tâches qu’il est possible d’auditer.

    Actions à auditer pour les fichiers

    Action Description
    Action

    Parcours du dossier/exécution du fichier

    Description

    Effectue le suivi des dates auxquelles un utilisateur exécute un fichier programme.

    Action

    Liste du dossier/lecture de données

    Description

    Effectue le suivi des dates auxquelles un utilisateur affiche les données d’un fichier.

    Action

    Attributs de lecture

    Description

    Effectue le suivi des dates auxquelles un utilisateur affiche les attributs d’un fichier, tels que les attributs Lecture seule ou Masqué.

    Action

    Attributs de lecture étendus

    Description

    Effectue le suivi des dates auxquelles un utilisateur affiche les attributs étendus d’un fichier. Les attributs étendus sont définis par le programme qui a créé le fichier.

    Action

    Création de fichiers/écriture de données

    Description

    Effectue le suivi des dates auxquelles un utilisateur modifie le contenu d’un fichier.

    Action

    Création de dossiers/ajout de données

    Description

    Effectue le suivi des dates auxquelles un utilisateur ajoute des données à la fin d’un fichier.

    Action

    Attributs d’écriture

    Description

    Effectue le suivi des dates auxquelles un utilisateur modifie les attributs d’un fichier.

    Action

    Attributs d’écriture étendus

    Description

    Effectue le suivi des dates auxquelles un utilisateur modifie les attributs étendus du fichier.

    Action

    Suppression de sous-dossiers et de fichiers.

    Description

    Effectue le suivi des dates auxquelles un utilisateur supprime un dossier.

    Action

    Suppression

    Description

    Effectue le suivi des dates auxquelles un utilisateur supprime un fichier.

    Action

    Autorisations de lecture

    Description

    Effectue le suivi des dates auxquelles un utilisateur lit les autorisations sur un fichier.

    Action

    Modifier les autorisations

    Description

    Effectue le suivi des dates auxquelles un utilisateur modifie les autorisations sur un fichier.

    Action

    Appropriation

    Description

    Effectue le suivi des dates auxquelles un utilisateur s’approprie un fichier.

    Remarque

    • Si vous activez la case à cocher Contrôle total, toutes les actions pouvant faire l’objet d’un audit sont sélectionnées.

Pour afficher les journaux d’audit

  1. Pour ouvrir l’Observateur d’événements, cliquez sur le bouton DémarrerImage du bouton Démarrer, sur Panneau de configuration, sur Système et sécurité, sur Outils d’administration, puis double-cliquez sur Observateur d’événements. Autorisation de l’administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

  2. Dans le volet gauche, double-cliquez sur Journaux Windows, puis cliquez sur Sécurité.

  3. Double-cliquez sur un événement pour en afficher les informations.

Remarque

  • Pour supprimer des journaux, cliquez sur Effacer le journal dans le volet Actions.

Pour plus d’informations sur l’audit de sécurité, notamment les stratégies d'audit détaillées, accédez à la page Audit de sécurité du site Web Microsoft.