L’un des meilleurs moyens de surveiller l’activité des utilisateurs et aussi de détecter des attaques contre vos systèmes, consiste à suivre l’activité de connexion. En raison de l’architecture en domaines de Windows, le logon et l’authentification sont deux notions distinctes : quand vous vous connectez à la station de travail
Logon et authentification
en utilisant un compte de domaine, la station doit s’authentifier avec l’AD sur le DC (domain controller). Deux catégories d’événements de sécurité vous permettent de suivre l’un ou l’autre, ou les deux, types d’activité : la catégorie Logon/Logoff permet de suivre l’activité de logon, et Account Logon permet de suivre les événements d’authentification.
A l’époque de Windows NT, la catégorie Account Logon n’existait pas : on ne pouvait suivre que Logon/ Logoff. C’était très gênant pour les gens qui voulaient suivre les tentatives d’authentification dans leur domaine. Les événements Logon/Logoff sont enregistrés sur les ordinateurs où les événements se produisent – stations de travail et serveurs membre – pas sur les DC. Il fallait donc essayer de surveiller chaque station de travail et serveur membre pour déceler les tentatives de logon infructueuses ! Pis encore, il n’y avait aucun moyen de détecter les tentatives de logon provenant d’ordinateurs non autorisés.
Heureusement, Windows 2000 a introduit la catégorie Account Logon qui, malgré un nom discutable – catégorie Authentication eût été mieux inspiré –permet de capturer tous les événements de logon des comptes de domaines sur le DC. Il faut quand même continuer à surveiller tous vos journaux de Securité de DC, mais c’est bien mieux que de surveiller le journal de Sécurité de chaque ordinateur sur votre réseau.
La catégorie Logon/Logoff garde son utilité, malgré l’arrivée de Account Logon. Entre autres, Logon/Logoff aide à suivre une session de logon entière. Les événements Account Logon indiquent qui essaie de se connecter, où et quand, mais les événements Logon/Logoff indiquent pendant combien de temps ils restent connectés. Les événements Logon/Logoff fournissent aussi plus de détails sur la raison de l’échec d’une tentative de logon/authentification.
Nouveau dans Windows 2003 : Win2K a un ensemble d’event ID pour les événements d’authentification réussis et un autre ensemble pour les authentifications ratées. Les événements Account Logon n’ont pas changé dans Windows XP mais, dans Windows 2003, la catégorie journalise quelques détails supplémentaires et Microsoft, on ne sait pourquoi, a éliminé les event ID spécifiques pour les événements d’authentification en échec, et les a fusionnés avec leurs événements d’authentification réussis correspondants.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
