Comment activer les stratégies d’audit de Windows 10, 11

Windows 10 et Windows 11 possède une fonction d’Audit, peu connu des utilisateurs et qui est en général, utilisé sur les réseaux d’entreprise.
En activant la stratégie d’audit, vous pouvez surveiller l’activité de Windows, comme la création de processus, les ouvertures et fermeture de sessions utilisateurs, les modifications des comptes utilisateurs ou ouverture de logiciels.
Tous ces événements sont enregistrés dans le journal de Windows soit donc dans l’Observateur d’événements de Windows.

Ce tutoriel vous présente le fonctionnement des stratégies d’Audit de Windows et comment les activer.
Ce dernier est plutôt destiné à des utilisateurs confirmés.

Comment activer les stratégies d’audit système de Windows 10, 11

gpedit.msc est l’éditeur de stratégie de groupe locale pour activer ou désactiver des modèles de configuration ou de restrictions administrateur.
Ce dernier n’est pas disponible dans les éditions familles de Windows 11 et Windows 10.
Si vous utilisez ces éditions, vous devez l’activer :

• Comment activer gpedit.msc sur Windows 11
• Comment activer gpedit.msc sur Windows 10

• Sur votre clavier, appuyez sur les touches + R
• Puis saisissez gpedit.msc
• Puis déroulez Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégie d’audit système

• Déroulez le type d’audits qui vous intéresse. Les audits disponibles pour surveiller l’activité du système sont :
  • Connexion de compte : Les validations et authentification Kerberos et autres
  • Gestion du compte : Toutes les modifications, création et suppression des comptes utilisateurs Windows
  • Suivi détaillée : Auditer certaines activités du systèmes comme la création de processus, les appels RPC, activités Plug & Play ou DPAPI
  • Accès DS : Les activités Active Directory
  • Ouvrir/fermer la session : Les activités d’ouverture, fermeture et verrouillage de session. On trouve aussi les audits IPSec. Par exemple, lire : Comment consulter l’historique d’ouverture et fermeture de session utilisateur dans Windows 10 et 11
  • Accès à l’objet : Auditer l’accès à des composants Windows comme le registre Windows, SAM, disque amovible, partage de fichiers ou systèmes de fichiers
  • Changement de stratégie : Les modifications de stratégie d’autorisations, authentification ou filtrages
  • Utilisation privilège : Surveiller les activités des privilèges systèmes
  • Système : Auditer le pilote IPSec, évènements systèmes ou intégrité du système
  • Audit de l’accès global aux objets : Auditer les accès au système de fichiers ou registre

• Puis dans le volet de droite, les audits de sécurité s’affichent. Double-cliquez dessus pour configurer l’audit de sécurité

• Cochez Configurer les évènements d’audit suivants. En général, vous avez le choix entre Succès et Echec. Par exemple pour auditer les ouvertures de session, création de processus réussi ou en échec

Comment visualiser les audits de sécurité de Windows

Une fois les stratégies d’audits activés, il faut se rendre dans l’observateur d’évènements pour ouvrir le journal de Sécurité de Windows.

• Faites un clic droit sur le menu Démarrer puis Observateur d’évènements. Pour plus de méthodes : Comment ouvrir l’observateur d’évènements de Windows 10, 11

• A gauche, déroulez Journaux Windows > Sécurité
• A droite, les évènements succès de l’audit s’affichent
• Puis en dessous le détails

• Appliquez des filtres ou faites une recherche pour trouver les audits souhaités

Par exemple ci-dessous, l’audit pour surveiller la création et fin de processus dans Suivi Détaillé.
La catégorie de de la tâche est Processus Creation et Processus Termination