Auditer l’activité de Windows

Windows possède une fonction d’Audit, peu connu des utilisateurs et qui est en général, utilisé sur les réseaux d’entreprise.
Cet audit permet de suivre l’activité de Windows, comme les ouvertures de sessions, changements de mot de passe ou ouverture de logiciels.
Tous ces événements sont enregistrés dans le journal de Windows (Observateurs d’événements de Windows)

Ce tutoriel vous présente le fonctionnement de l’Audit de Windows et comment l’activer.
Ce dernier est plutôt destiné à des utilisateurs confirmés.

gpedit.msc

L’activation des événements peut se faire à partir de l’éditeur de stratégie de groupe locale.
Dans l’édition familiale de Windows, l’éditeur n’est pas disponible.
Vous pouvez activer ce dernier par ce biais : Comment activer gpedit.msc sur Windows 10

Lancez gpedit.msc
Déroulez le modèle : Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégie d’audit système.
Vous obtenez tous les modèles d’audit.

Ci-dessous, la possibilité de suivre l’activité d’ouverture de programmes.

AuditPol

Il est aussi possible d’activer les audits à travers la commande AuditPol depuis l’invite de commandes de Windows.
Auditpol fonctionne avec des catégories et sous-catégorie que vous pouvez activer.


Pour obtenir l’aide :

Aditpol /?

Pour lister les catégories :

AuditPol /get /category:*

Les catégories avec leurs GUID :

Système,{69979848-797A-11D9-BED3-505054503030}
Ouverture/Fermeture de session,{69979849-797A-11D9-BED3-505054503030}
Accès aux objets,{6997984A-797A-11D9-BED3-505054503030}
Utilisation de privilège,{6997984B-797A-11D9-BED3-505054503030}
Suivi détaillé,{6997984C-797A-11D9-BED3-505054503030}
Changement de stratégie,{6997984D-797A-11D9-BED3-505054503030}
 Gestion des comptes,{6997984E-797A-11D9-BED3-505054503030}
Accès DS,{6997984F-797A-11D9-BED3-505054503030}
Connexion de compte,{69979850-797A-11D9-BED3-505054503030}

Ainsi, vous pouvez suivre l’ouverture/fermeture de compte, le suivi détaillée des processus Windows ou la gestion de comptes (ajout/suppression utilisateurs Windows).
La catégorie Accès aux objets permet aussi de suivre les partages ou accès aux fichiers.

Pour lister le contenu d’une catégorie avec ses sous-catégories.
Ici on liste les sous-catégories de la catégorie « Suivi détaillé ».

Auditpol /get /category:"Suivi détaillé"

Pour activer l’audit sur une catégorie.
Le paramètre /catégory permet de choisir la catégorie à activer.

Auditpol /set /user:malekalmorte /category:"Suivi détaillé" /include /success:enable

Pour lister les sous-catégories avec leur GUID :

Auditpol /list /subcategory:* /r

On peut alors activer l’audit d’une sous-catégorie avec son GUID :

Auditpol /set /subcategory:"{0CCE922B-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable


ou par le nom de sous-catégorie.
Ainsi pour suivre l’activité des processus système :

Auditpol /set /subcategory:"Création du processus" /success:enable /failure:enable
Auditpol /set /subcategory:"Fin du processus" /success:enable /failure:enable

Le journal d’audit

Pour lire le journal d’audit, il faut aller dans l’Observateurs d’événements de Windows

Touche Windows + R
tapez eventvwr.msc et OK.

Déroulez le journal Windows et Sécurité.
Les ouvertures de programmes sont enregistrés dans le journal.

Liens

Pour suivre l’activité de Windows, vous pouvez aussi vous rendre sur la page : Monitorer l’activité système ou d’un programme

(Visité 449 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet