Comment consulter l’historique d’ouverture et fermeture de session utilisateur dans Windows 10 et 11

Comment savoir et voir si quelqu'un s'est connecté à votre ordinateur ?

Vérifiez l'historique d'ouverture et fermeture de session de l'utilisateur Windows 10 et Windows 11 est assez simple.
Pour cela, on active la stratégie locales de suivi et audit de connexion qui enregistre tous les événements de connexion utilisateur sous Windows 10 et 11.
Puis ensuite on consulte l'historique de connexion afin de savoir si un personne s'est connecté sur le PC.

Voici comment consulter l'historique de connexion de l'utilisateur dans Windows 10 et 11 pour savoir si quelqu'un s'est connecté à votre ordinateur.
Cela est possible par un moyen simple de configurer et de vérifier l'historique de connexion de l'utilisateur dans Windows 10 et 11.

Comment consulter l'historique d'ouverture et fermeture de session utilisateur dans Windows 10 et 11

Comment consulter l'historique d'ouverture et fermeture de session utilisateur dans Windows 10 et 11

Activer le suivi et historique d'ouverture et fermeture de session dans Windows 10 et 11

  • Sur votre clavier, appuyez sur les touches
    + R
  • Puis saisissez secpol.msc
  • Ensuite déroulez : Paramètres de sécurité > Stratégie locales > Stratégies d'audit
  • Puis à droite, cherchez et double cliquez sur Auditer les évènements de connexion
Activer le suivi et historique d'ouverture et fermeture de session dans Windows 10 et 11
  • Ensuite cochez Réussite et Echec dans les propriétés de l'audit de gestion de compte
Activer le suivi et historique d'ouverture et fermeture de session dans Windows 10 et 11
  • Après avoir configuré la stratégie, fermez l'éditeur de stratégie de groupe et redémarrez l'ordinateur. Après le redémarrage, Windows enregistre toutes les activités de connexion utilisateur dans l'observateur d'événements de Windows.

Vérifiez le suivi et historique d'ouverture et fermeture de session de Windows 10 et 11

Ensuite on utilise l'observateur d'évènements pour consulter les journaux de Windows et vérifier le suivi des connexions par les utilisateurs.

Vérifiez le suivi et historique d'ouverture et fermeture de session de Windows 10 et 11
  • A gauche, déroulez et cliquez sur Journaux Windows > Sécurité
  • Les évènements liées à la connexion et fermeture de session Windows sont :
EvènementsID de l'évènementCatégorie de la tâcheSource
Connexion de l'utilisateur4624LogonMicrosoft Windows security auditing
Echec de la connexion de l'utilisateur4625 Logon Microsoft Windows security auditing
Déconnexion de l'utilisateur 4634LogoffMicrosoft Windows security auditing
Les audit d'ouverture et fermeture de session utilisateur
  • Mais dans Sécurité on trouve beaucoup dévènements d'audit, ainsi, il faut trier par date ou par ID pour trouver ce que l'on cherche. Sinon la méthode la plus simple est de créer une vue personnalisée pour filtrer sur ces deux évènements. C'est que je vous explique dans le paragraphe suivant
Vérifiez le suivi et historique d'ouverture et fermeture de session de Windows 10 et 11

Une chose qu'il faut bien comprendre dans l'audit d'ouverture et fermeture de session, c'est ce que cela comprend bien plus que la connexion d'un utilisateur par la page d'identification de Windows.
En effet, cet audit enregistre aussi les évènements de jeton administrateur par le contrôle des comptes (UAC) ou l'exécution en administrateur d'un processus.
Il faut donc bien lire l'évènement pour savoir dans quelle contexte nous sommes.

L'ouverture d'une session utilisateur se caractérise par :

  • Compte virtuel sur Oui dans la partie information d'ouverture de session
  • Type d'ouverture de session : 2
  • Domaine du compte : Window Manager
  • Nom du processus : C:\Windows\system32\winlogon.exe - le processus en charge des ouvertures et fermetures des sessions Windows
Vérifiez le suivi et historique d'ouverture et fermeture de session de Windows 10 et 11

Lorsqu'il s'agit d'une ouverture session liée à un jeton UAC, on obtient :

  • Jeton élevé sur Oui
  • Type d'ouverture de session : 5
  • Nom du processus : Le processus à l'origine de l'élévation de privilèges du contrôle des comptes UAC
Vérifiez le suivi et historique d'ouverture et fermeture de session de Windows 10 et 11

Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows

Pour faciliter la recherche, on peut filtrer les journaux d'évènements pour ne faire ressortir que les tâches de logon et logoff.

  • Faites un clic droit sur le journal Système
  • Puis Filtrer le journal actuel
Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows
  • Puis réglez la vue personnalisée comme ci-dessous
    • Dans Connecté, définissez la période
    • Journal, laissez Sécurité
    • Puis en bas, dans ID de l'évènement, saisissez : 4624,4625,4634
  • Cliquez sur OK
Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows
  • Puis saisissez un nom au filtre dans une vue personnalisée, par exemple : connexion utilisateur
  • Cliquez sur OK
Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows
  • Le filtre est disponible dans Affichage personnalisée
  • On y trouve alors que les évènements de Logon et Logoff que vous pouvez inspecter
Créer une vue personnalisée pour suivre les connexions des utilisateurs à Windows