Comment savoir et voir si quelqu’un s’est connecté à votre ordinateur ?
Vérifiez l’historique d’ouverture et fermeture de session de l’utilisateur Windows 10 et Windows 11 est assez simple.
Pour cela, on active la stratégie locales de suivi et audit de connexion qui enregistre tous les événements de connexion utilisateur sous Windows 10 et 11.
Puis ensuite on consulte l’historique de connexion afin de savoir si un personne s’est connecté sur le PC.
Voici comment consulter l’historique de connexion de l’utilisateur dans Windows 10 et 11 pour savoir si quelqu’un s’est connecté à votre ordinateur.
Cela est possible par un moyen simple de configurer et de vérifier l’historique de connexion de l’utilisateur dans Windows 10 et 11.
Table des matières
Comment consulter l’historique d’ouverture et fermeture de session utilisateur dans Windows 10 et 11
Activer le suivi et historique d’ouverture et fermeture de session dans Windows 10 et 11
- Sur votre clavier, appuyez sur les touches + R
- Puis saisissez secpol.msc
- Ensuite déroulez : Paramètres de sécurité > Stratégie locales > Stratégies d’audit
- Puis à droite, cherchez et double cliquez sur Auditer les évènements de connexion
- Ensuite cochez Réussite et Echec dans les propriétés de l’audit de gestion de compte
- Après avoir configuré la stratégie, fermez l’éditeur de stratégie de groupe et redémarrez l’ordinateur. Après le redémarrage, Windows enregistre toutes les activités de connexion utilisateur dans l’observateur d’événements de Windows.
Vérifiez le suivi et historique d’ouverture et fermeture de session de Windows 10 et 11
Ensuite on utilise l’observateur d’évènements pour consulter les journaux de Windows et vérifier le suivi des connexions par les utilisateurs.
- Ouvrez l’observateur d’évènements par un clic droit sur le menu Démarrer > Observateur d’évènements – Pour plus de méthodes : Comment ouvrir l’observateur d’évènements de Windows 10, 11
- A gauche, déroulez et cliquez sur Journaux Windows > Sécurité
- Les évènements liées à la connexion et fermeture de session Windows sont :
Evènements | ID de l’évènement | Catégorie de la tâche | Source |
Connexion de l’utilisateur | 4624 | Logon | Microsoft Windows security auditing |
Echec de la connexion de l’utilisateur | 4625 | Logon | Microsoft Windows security auditing |
Déconnexion de l’utilisateur | 4634 | Logoff | Microsoft Windows security auditing |
- Mais dans Sécurité on trouve beaucoup dévènements d’audit, ainsi, il faut trier par date ou par ID pour trouver ce que l’on cherche. Sinon la méthode la plus simple est de créer une vue personnalisée pour filtrer sur ces deux évènements. C’est que je vous explique dans le paragraphe suivant
Une chose qu’il faut bien comprendre dans l’audit d’ouverture et fermeture de session, c’est ce que cela comprend bien plus que la connexion d’un utilisateur par la page d’identification de Windows.
En effet, cet audit enregistre aussi les évènements de jeton administrateur par le contrôle des comptes (UAC) ou l’exécution en administrateur d’un processus.
Il faut donc bien lire l’évènement pour savoir dans quelle contexte nous sommes.
L’ouverture d’une session utilisateur se caractérise par :
- Compte virtuel sur Oui dans la partie information d’ouverture de session
- Type d’ouverture de session : 2
- Domaine du compte : Window Manager
- Nom du processus : C:\Windows\system32\winlogon.exe – le processus en charge des ouvertures et fermetures des sessions Windows
Lorsqu’il s’agit d’une ouverture session liée à un jeton UAC, on obtient :
- Jeton élevé sur Oui
- Type d’ouverture de session : 5
- Nom du processus : Le processus à l’origine de l’élévation de privilèges du contrôle des comptes UAC
Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows
Pour faciliter la recherche, on peut filtrer les journaux d’évènements pour ne faire ressortir que les tâches de logon et logoff.
- Faites un clic droit sur le journal Système
- Puis Filtrer le journal actuel
- Puis réglez la vue personnalisée comme ci-dessous
- Dans Connecté, définissez la période
- Journal, laissez Sécurité
- Puis en bas, dans ID de l’évènement, saisissez : 4624,4625,4634
- Cliquez sur OK
- Puis saisissez un nom au filtre dans une vue personnalisée, par exemple : connexion utilisateur
- Cliquez sur OK
- Le filtre est disponible dans Affichage personnalisée
- On y trouve alors que les évènements de Logon et Logoff que vous pouvez inspecter
Liens
- Comment savoir si quelqu’un s’est connecté à votre ordinateur
- Comment savoir si quelqu’un contrôle mon PC a distance
- Comment savoir ce qui a été fait sur un ordinateur et vérifier l’activité récente de son PC
- Comment vérifier si le PC a été piraté ou hacké
- Afficher les informations de dernière connexion sur l’écran d’accueil de Windows
- Comment consulter l’historique d’ouverture et fermeture de session utilisateur dans Windows 10 et 11
- Vérifier les dernières activités de connexion à votre compte Microsoft
- LastActivityView : Visualiser les dernières activités de son PC
- FRSSystemWatch : visualiser les modifications de Windows en temps réel
- ProcMon : surveiller/capturer l’activité système Windows ou d’une application
- FRSSystemWatch : visualiser les modifications de Windows en temps réel
- Les meilleurs logiciels pour suivre l’activité système Windows
- Monitorer l’activité système ou d’un programme
- Le moniteur de ressources de Windows
- WireShark : sniff et analyse réseau
- Lister les connexions réseau sur Windows
- Tutoriel Process Explorer : un gestionnaire de tâches avancé qui permet de suivre l’activité des processus