Dans cet article, nous allons voir comment permettre l'audit des événements de connexion sur vos terminaux Windows et recevoir un rapport CSV sur les tentatives de connexion qui ont eu lieu entre deux dates.
Le rapport indique l'heure de création de l'événement, le nom de domaine et le résultat de la tentative de connexion. Les trois options de tentative de connexion sont la réussite de la connexion interactive, la réussite de la connexion à distance et l'échec de la connexion.
Vous pouvez utiliser la ligne de commande suivante pour répertorier les paramètres de la politique d'audit :
auditpol /get /category:*
Vous pouvez également activer les événements d'audit de connexion à distance à l'aide de cette commande :
auditpol /set /subcategory:Logon /success:enable /failure:enable
Activation de l'audit des journaux
1. Accédez à votre point de terminaison Windows. Cliquez sur WinKey+R sur votre clavier. Saisissez gpedit.msc et cliquez sur OK.
2. Allez dans le chemin suivant : Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit.
3. Double-cliquez sur Audit des événements de connexion.
4. La fenêtre intitulée Auditer les événements de connexion Propriétés. Cochez les cases Réussite et Échec et cliquez sur OK.
Cloner le script d'audit de connexion
1. Depuis Admin (sur le panneau latéral), cliquez sur Scripts..
La page Scripts apparaît
2. Allez dans la bibliothèque de scripts partagés et recherchez le script intitulé Login Audit (vous pouvez utiliser le champ Nom du script pour filtrer les résultats).
3. Cliquez sur Clone pour copier le script dans Mes Scripts.
Vous trouverez maintenant le script sous 'Mes Scripts' nommé 'Audit de connexion (copie).
4. Exécutez le script cloné sur vos appareils, consultez l'article Exécuter un script pour en savoir plus. Vous obtiendrez un nouveau fichier .csv dans le chemin que vous avez choisi dans $ResultFile comme ci-dessous.