Tutoriel GPO - Audit logon succès et échec [ Étape par étape ]

Souhaitez-vous apprendre à configurer une stratégie de groupe pour vérifier le succès et l’échec du logon ? Dans ce tutoriel, nous vous montrerons comment configurer la fonction d’audit logon à l’aide d’un GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Liste des équipements

La section suivante présente la liste des équipements utilisés pour créer ce didacticiel.

En tant qu’associé Amazon, je gagne des achats admissibles.

Tutoriel lié à Windows:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Windows.

Tutoriel GPO - Audit logon succès et échec

Sur le contrôleur de domaine, ouvrez l’outil de gestion des stratégies de groupe.

Créez une stratégie de groupe.

Entrez un nom pour la nouvelle stratégie de groupe.

Dans notre exemple, le nouveau GPO a été nommé : MY-GPO.

Dans l’écran Gestion des stratégies de groupe, développez le dossier nommé Objets de stratégie de groupe.

Cliquez avec le bouton droit sur votre nouvel objet stratégie de groupe et sélectionnez l’option Modifier.

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier au logon d’audit et à la connexion.

Modifier l’élément de configuration nommé Logon audit.

Activer les options pour auditer logon tentatives réussies et infructueuses.

Modifiez l’élément de configuration nommé Logoff audit.

Activer les options de vérification des tentatives réussies et infructueuses de connexion.

En option, activez l’élément de configuration nommé Audit Other Logon, Logoff Events.

Cette option permettra l’audit du verrouillage et du déverrouillage de l’écran, des connexions RDP et des déconnexions RDP.

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

félicitations! Vous avez terminé la création de GPO.

Tutoriel GPO - Audit logon événements

Dans l’écran Gestion des stratégies de groupe, vous devez cliquer avec le bouton droit sur l’unité organisationnelle souhaitée et sélectionner l’option pour lier un objet de stratégie de stratégie existant.

Dans notre exemple, nous allons lier la stratégie de groupe nommée MY-GPO à la racine du domaine.

Après l’application de l’objet, vous devez attendre 10 ou 20 minutes.

Pendant ce temps, le GPO sera répliqué à d’autres contrôleurs de domaine.

Sur un ordinateur distant, démarrez une ligne de commande Powershell élevée.

Vérifiez les paramètres avancés de stratégie d’audit de sécurité logon.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Liste des tentatives de logon échouées.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

ProviderName: Microsoft-Windows-Security-Auditing

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
3/30/2021 4:17:09 AM          4625 Information      An account failed to log on....
3/30/2021 3:39:31 AM          4625 Information      An account failed to log on....
3/29/2021 7:19:26 AM          4625 Information      An account failed to log on....
3/29/2021 7:11:18 AM          4625 Information      An account failed to log on....
3/29/2021 7:09:05 AM          4625 Information      An account failed to log on....
3/29/2021 7:08:44 AM          4625 Information      An account failed to log on....
3/29/2021 6:58:03 AM          4625 Information      An account failed to log on....
3/29/2021 6:48:43 AM          4625 Information      An account failed to log on....
3/29/2021 6:47:22 AM          4625 Information      An account failed to log on....
3/29/2021 6:44:38 AM          4625 Information      An account failed to log on....

Obtenez les détails de la dernière tentative de logon échouée.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

An account failed to log on.

Subject:
	Security ID:		S-1-0-0
	Account Name:		-
	Account Domain:		-
	Logon ID:		0x0

Logon Type:			3

Account For Which Logon Failed:
	Security ID:		S-1-0-0
	Account Name:		testuser01
	Account Domain:		.

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xC000006D
	Sub Status:		0xC0000064

Process Information:
	Caller Process ID:	0x0
	Caller Process Name:	-

Network Information:
	Workstation Name:	TV01
	Source Network Address:	-
	Source Port:		-

Detailed Authentication Information:
	Logon Process:		NtLmSsp 
	Authentication Package:	NTLM
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Énumérez les logons réussis attemps.

Copy to Clipboard

Dans notre exemple, nous avons configuré un GPO pour auditer les événements de succès et d’échec logon.

GPO - Audit logon succès et échec

GPO - Audit logon succès et échec

Liste des équipements

Tutoriel lié à Windows:

Tutoriel GPO - Audit logon succès et échec

Tutoriel GPO - Audit logon événements

Related Posts