Windows 200x serveur : Audit échecs ouvertures de sessions

Avec Windows 200x serveur, si vous avez “ouvert” votre serveur en TSE à Internet pour que des utilisateurs puissent se connecter à distance, il peut être intéressant de connaître l’état des échecs d’ouvertures de sessions afin de vérifier si il y a des tentatives d’intrusions. Pour ce faire :

  • Avec la MMC, (mmc.exe dans exécuter)  chargez le snap-in Editeur de la Stratégie de Groupe Locale (Group Policy Object Editor)
  • Au niveau de Configuration de l’ordinateur -> Paramètres Windows -> Stratégie locale -> Stratégie d’audit, paramétrez l’audit des ouvertures de session

Afin de vérifier les tentative d’ouvertures de sessions infructueuses, exécutez le gestionnaire d’événements (eventvwr.exe), dans Sécurité regardez les événements avec le n° d’événement 529, l’utilisateur est normalement indiqué SYSTEM et le type est Failure Audit (ici en UK). Dans l’évènement vous pouvez voir quel compte à été utilisé. Vous pouvez utiliser le système de filtrage pour mieux cibler les évènements.