Sous Windows 2008 :
Panneau de configuration - >Voir les journaux d’événements - > Visualiseur d’événements (local) - >Journaux Windows - > Sécurité, la liste à droite affichera toutes les informations de sécurité, puis vous pourrez la trouverL’ID de l’incident est 4776Après avoir cliqué dessus, « Source Workstation : » est suivi du nom d’hôte du client Windows qui se connecte à la machine.
À part cela :
Windows2003
L’endroit pour consulter les journaux de connexion à distance est essentiellement similaire à celui ci-dessus, maisL’identifiant d’événement n’est pas le même que dans Windows 2008,Windows 2003 est l’identifiant de l’événement de vue 528L’adresse IP après « Source Network Address » est l’adresse IP du client Windows qui se connecte à la machine.
Les identifiants d’événements Windows courants sont les suivants
Accès au service d’audit des annuaires
4934 - Les propriétés des objets Active Directory sont copiées
4935 - La copie ne démarre pas
4936 - La réplication n’a pas réussi à s’arrêter
5136 - L’objet du service d’annuaire a été modifié
5137 - L’objet du service d’annuaire a été créé
5138 - L’objet du service d’annuaire a été supprimé
5139 - L’objet du service d’annuaire a été déplacé
5141 - Objet de service d’annuaire supprimé
4932 - La synchronisation réplique de AD pour le contexte nommé a commencé
4933 - La synchronisation de copie de AD pour le contexte nommé est terminée
Auditer les événements de connexion
4634 - Compte annulé
4647 - L’utilisateur initie la déconnexion
4624 - Le compte a été connecté avec succès
4625 - Échec de la connexion au compte
4648 - Tentative de connexion avec des identifiants explicites
4675 - SID est filtré
4649 - Attaques de rediffusion trouvées
4778 - La session est reconnectée à Window Station
4779 - La session se déconnecte de la station Window Station
4800 – Poste de travail verrouillé
4801 - Poste de travail déverrouillé
4802 - Économiseur d’écran activé
4803 - L’économiseur d’écran est désactivé
Le représentant du certificat requis par le 5378 n’est pas autorisé par la politique
5632 Nécessite la validation des réseaux sans fil
5633 Nécessite la validation des réseaux filaires
Audit de l’accès aux objets
5140 - Un objet de partage réseau est accédé
4664 - Tentative de création d’un lien dur
4985 - Le statut de la transaction a changé
5051 - Le fichier a été virtualisé
5031 - Le service de pare-feu Windows empêche une application de recevoir des connexions entrantes depuis le réseau
4698 - Une tâche planifiée a été créée
4699 - Tâche planifiée supprimée
4700 - Les tâches planifiées sont activées
4701 - La tâche programmée est désactivée
4702 - Tâches planifiées mises à jour
4657 - Les valeurs du registre sont modifiées
5039 - Les clés de registre sont virtualisées
4660 - Objet supprimé
4663 - Tentative d’accès à un objet
Modifications de la politique d’audit
4715 - La politique d’audit (SACL) sur un objet a changé
4719 - Changement de politique d’audit système
4902 - Formulaire de politique d’audit par utilisateur a été créé
4906 - La valeur de CrashOnAuditFail a changé
4907 - Les paramètres d’audit d’un objet ont été modifiés
4706 - Création d’une nouvelle fiducie sur un domaine
4707 - La confiance envers un domaine a été supprimée
4713 - La politique de Kerberos a changé
4716 - Les informations du domaine de confiance ont été modifiées
4717 - Compte d’accès sécurisé au système accordé
4718 - L’accès à la sécurité système est supprimé du compte
4864 – Les collisions dans l’espace de noms ont été supprimées
4865 - Entrée d’information sur la forêt en ficelle, ajoutée
4866 - Saisie d’informations forestières de confiance supprimée
4867 - Entrée d’information sur la forêt en fide annulée
4704 - Permissions utilisateur attribuées
4705 - Les permissions utilisateur ont été supprimées
4714 - Politique de récupération de données chiffrée annulée
4944 - La politique suivante est activée lorsque le pare-feu Windows est activé
4945 - Inclure une règle lorsque le pare-feu Windows est activé
4946 - Modification de la liste d’exceptions du pare-feu Windows pour ajouter des règles
4947 - Liste des exceptions de pare-feu Windows modifiée avec modification de règle
4948 - Liste des exceptions du pare-feu Windows modifiée avec la règle supprimée
4949 - Les paramètres du pare-feu Windows ont été restaurés par défaut
4950 - Les paramètres du pare-feu Windows ont été modifiés
4951 - La règle a été ignorée car le numéro de version principale n’est pas reconnu par le pare-feu Windows
4952 - Parce que le numéro de version principal n’est pas reconnu par le pare-feu Windows, certaines règles ont été ignorées et le reste sera appliqué
4953 - Les règles sont ignorées car le pare-feu Windows ne peut pas résoudre les règles
4954 - Les paramètres de la stratégie de groupe du pare-feu Windows ont été modifiés et utiliseront les nouveaux réglages
4956 - Le pare-feu Windows a modifié les profils actifs
4957 - Le pare-feu Windows ne s’applique pas aux règles suivantes
4958 - Comme les entrées concernées par cette règle ne sont pas configurées, les règles suivantes ne s’appliqueront pas au pare-feu Windows :
6144 - La politique de sécurité dans l’objet de la politique de groupe a été appliquée avec succès
6145 - Une ou plusieurs erreurs surviennent lors du traitement d’une politique de sécurité dans un objet de Politique de Groupe
4670 - Les permissions sur un objet ont été modifiées
Utilisation du privilège d’audit
4672 - Attribuer des privilèges aux nouvelles connexions
4673 - Demande de services privilégiés
4674 - Tentative d’opération sur un objet privilégié
Événements du système d’audit
5024 - Le service de pare-feu Windows a été lancé avec succès
5025 - Les services de pare-feu Windows ont été arrêtés
5027 - Le service de pare-feu Windows ne peut pas récupérer les politiques de sécurité depuis le stockage local, et le service continuera d’appliquer la politique actuelle
5028 - Une nouvelle politique de sécurité que le service du pare-feu Windows ne peut pas résoudre et qui continuera d’appliquer la politique actuelle
5029 - Le service de pare-feu Windows ne parvient pas à initialiser les pilotes, qui continueront de faire respecter la politique actuelle
5030 - Le service de pare-feu Windows ne démarre pas
5032 - Le pare-feu Windows ne notifie pas l’utilisateur qu’il bloque une application recevant une connexion entrante
5033 - Le pilote du pare-feu Windows démarré avec succès
5034 - Le pilote du pare-feu Windows a cessé
5035 - Le pilote du pare-feu Windows ne démarre pas
5037 - Le pilote du pare-feu Windows détecte une erreur critique en cours d’exécution, se termine.
4608 - Windows démarre
4609 - Windows s’éteint
4616 - Le temps du système est modifié
4621 - L’administrateur récupère le système de CrashOnAuditFail, les utilisateurs non administrateurs peuvent désormais se connecter, certaines activités d’audit peuvent ne pas être enregistrées
4697 - Installation d’un serveur dans le système
4618 - Surveiller le schéma d’événement de sécurité s’est produit
|
Publié sur 07/05/2018 15:44:05
|
|
|
|
Publié sur 08/05/2018 11:39:53
|
