Consulter le historique de connexion sur Windows 11 ou 10 apporte une vue utile sur la sécurité et l’usage quotidien des postes. Les administrateurs et utilisateurs avancés y trouvent les éléments nécessaires pour détecter un accès non autorisé et mesurer l’usage des applications.
Les étapes couvrent l’accès à l’observateur d’événements, l’activation de l’audit de connexion et l’analyse des logs de sécurité pour chaque compte utilisateur. Ce passage mène naturellement à des méthodes d’analyse et de gestion pratique des sessions.
A retenir :
- Visibilité renforcée sur accès et activité utilisateur
- Détection rapide d’activités suspectes sur le poste
- Optimisation de la productivité par suivi d’usage
- Conservation contrôlée des logs et conformité
Accéder à l’observateur d’événements et activer l’audit
Pour ouvrir les outils nécessaires, commencez par lancer l’observateur d’événements afin de consulter le journal des événements lié à l’authentification Windows. Cette étape initie la collecte des logs de sécurité et prépare l’analyse des sessions.
Après avoir confirmé l’accès, activez l’audit de connexion dans la stratégie locale pour enregistrer réussites et échecs. Ce paramétrage facilite ensuite l’identification des session Windows suspectes ou anormales.
Étapes rapides :
- Ouvrir le menu Démarrer et taper Event Viewer
- Choisir Journaux Windows puis Sécurité
- Configurer Stratégie locale de sécurité pour audit
- Sauvegarder la configuration et vérifier les logs
Event ID
Type
Signification
Utilité
4624
Succès
Ouverture de session réussie
Identifier logins valides
4625
Échec
Tentative de connexion refusée
Détecter attaques par force brute
4634
Succès
Fermeture de session
Suivre durée des sessions
4648
Succès
Authentification explicite par autre compte
Repérer élévations de privilèges
Ouvrir l’Observateur d’événements pas à pas
Cette sous-partie montre comment accéder rapidement aux logs via l’interface graphique et la ligne de commande. L’ouverture de l’outil expose le journal des événements et les différents canaux pertinents.
Points techniques :
- Taper Event Viewer dans la barre de recherche
- Accéder à Journaux Windows > Sécurité
- Utiliser wevtutil pour exporter les logs
- Vérifier les permissions d’accès aux logs
« J’ai retrouvé des sessions inhabituelles en croisant les Event ID et l’heure des connexions »
Alice B.
Activer l’audit de connexion localement
Cette étape relie la collecte des événements au suivi opérationnel des accès sur chaque poste Windows. L’activation garantit que les logs de sécurité contiennent les événements nécessaires pour l’analyse.
Bonnes pratiques :
- Activer audit des réussites et des échecs
- Limiter la rétention selon la politique interne
- Consigner les changements de stratégie d’audit
- Testez les paramètres après activation
« L’activation de l’audit m’a permis d’identifier un compte compromis rapidement »
Marc T.
Analyser les logs de sécurité pour retracer les sessions Windows
Suite à la collecte, l’analyse des logs de sécurité permet de reconstituer les séquences d’authentification et d’usage. Une lecture croisée des événements donne une image précise de chaque session Windows.
Selon Microsoft, filtrer par Event ID et nom de compte reste la méthode la plus fiable pour isoler des incidents. L’étape suivante consiste à connaître les filtres utiles pour chaque investigation.
Filtres recommandés :
- Filtrer par Event ID pour authentifications
- Filtrer par nom de compte utilisateur surveillé
- Filtrer par adresse IP distante si disponible
- Filtrer par plage horaire ciblée
Filtrer par compte et plage horaire
Ce chapitre montre comment isoler les événements liés à un compte utilisateur précis en combinant ID et intervalle temporel. Les filtres réduisent le bruit et accélèrent l’identification des anomalies.
Filtre
Expression exemple
Objectif
Event ID
4624 OR 4625
Isoler tentatives de connexion
Account Name
TargetUser
Focaliser sur un utilisateur
Remote IP
192.0.2.*
Identifier connexions distantes
Time range
08:00-18:00
Comparer activité journalière normale
« Filtrer par compte m’a évité des heures d’analyse inutile »
Claire D.
Interpréter une session Windows complète
Relier ouvertures, fermetures et élévations de privilèges permet de reconstituer la chronologie d’une session détaillée. L’interprétation précise exige de corréler les Event ID et les chemins d’accès aux fichiers utilisés.
Checklist d’analyse :
- Correlate Event IDs with timestamps
- Identify unusual logon hours and locations
- Check for concurrent sessions on same account
- Verify post-login activities and file access
Bonnes pratiques pour la gestion des utilisateurs et le suivi d’activité
Après l’analyse, il faut définir des règles de gestion des utilisateurs et d’archivage des logs de sécurité pour maintenir la sécurité durablement. Ces règles assurent la traçabilité sans compromettre la confidentialité.
Selon Microsoft, l’automatisation des alertes sur modèles d’échecs de connexion réduit le temps de détection des incidents. L’automatisation complète le suivi manuel et rationalise la réponse aux incidents.
Bonnes pratiques :
Bonnes pratiques :
- Mettre en place alertes sur échecs répétés
- Archiver logs selon la réglementation interne
- Limiter l’accès aux logs aux administrateurs
- Auditer périodiquement la stratégie d’audit
Alertes et automatisation des incidents
Ce point explique comment configurer des alertes à partir des logs de sécurité pour détecter comportements anormaux en temps réel. L’automatisation réduit les délais et améliore la réactivité opérationnelle.
Actions recommandées :
- Créer règles pour échecs de connexion successifs
- Intégrer SIEM pour corrélation multi-sources
- Tester scénarios d’alerte régulièrement
- Documenter les procédures de réponse
« Les alertes ont transformé notre gestion des incidents en 2024 »
Pierre L.
Conservation, vie privée et conformité
Cette section aborde la durée de conservation des logs et le respect de la vie privée lors du suivi d’activité des utilisateurs. Le principe consiste à conserver le nécessaire tout en limitant l’accès aux données sensibles.
Mesures clés :
- Définir durées de rétention légales et internes
- Anonymiser données non nécessaires pour investigations
- Mettre en place contrôles d’accès stricts
- Conserver journaux d’accès aux logs
Source : Microsoft, « View event logs », Microsoft Docs, 2024 ; Microsoft, « Audit logon events », Microsoft Docs, 2023 ; Microsoft, « Activity history », Microsoft Docs, 2022.