Comment suivre l'activité des utilisateurs en mode groupe de travail sous Windows 10/8/7
Fonctionnalité multi-utilisateur dans les fenêtres nous a permis de l’utiliser facilement dans des lieux publics tels que des écoles, des collèges, des bureaux, etc. À ces endroits, il existe généralement un administrateur qui parvient à surveiller les activités des utilisateurs qui y travaillent. Parfois, les utilisateurs vont au-delà de leurs limites et modifient les comptes configurés en mode Groupe de travail. Cela peut avoir des répercussions sur la sécurité, et nous devrions donc configurer les fenêtres pour dépister les activités des utilisateurs.
En configurant Windows pour surveiller les activités des utilisateurs, nous pouvons augmenter la sécurité de l'administration et punir les utilisateurs victimes en observant leurs enregistrements en cas d'infraction. Dans cet article, nous vous expliquerons comment suivre les activités des utilisateurs dans Windows 10 / 8.1 / 8/7 en utilisant la politique d'audit. Voici comment:
Suivre l'activité de l'utilisateur à l'aide de la stratégie d'audit
1. presse Touche Windows + R combinaison, type put secpol.msc dans Courir boîte de dialogue et appuyez sur Entrer ouvrir le Stratégie de sécurité locale.
2. dans le Stratégie de sécurité locale fenêtre, développez Les paramètres de sécurité -> Politiques locales -> Politique d'audit. Maintenant, vous devriez faire ressembler votre fenêtre avec celle-ci:
3. Dans le volet de droite, vous pouvez voir 9 Vérification… [] les politiques ont Pas d'audit comme prédéfini paramètre de sécurité. Cliquez une par une toutes les politiques et faites la sélection pour Succès et Échec, Cliquez sur Appliquer suivi par D'accord pour chaque politique.
De cette façon, nous aurons configuré Windows pour suivre l'activité des utilisateurs.
Suivez ces étapes pour obtenir les enregistrements tracés:
Suivi de l'activité d'un utilisateur à l'aide de l'Observateur d'événements
1. presse Touche Windows + R combinaison, type put eventvwr dans Courir boîte de dialogue et appuyez sur Entrer ouvrir le Observateur d'événements.
2. Maintenant, dans le Vue de l'événementfenêtre r, dans le volet de gauche, sélectionnez Journaux Windows -> Sécurité. Ici, Windows garde une trace de chaque événement concernant la sécurité.
3. Dans le volet central, cliquez sur n’importe quel événement pour obtenir ses informations:
1. Créer un utilisateur : Vous trouverez ci-dessous les ID d'événement consignés lors de la création de l'utilisateur..
- ID de l'événement: 4728 | Type: Succès de l'audit | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été ajouté à un groupe global activé par la sécurité..
- ID de l'événement: 4720 | Type: Succès de l'audit | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été créé.
- ID de l'événement: 4722 | Type: Succès de l'audit | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été activé.
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
- ID de l'événement: 4732 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été ajouté à un groupe local avec sécurité activée.
2. Supprimer l'utilisateur : Vous trouverez ci-dessous les ID d'événement consignés lors de la suppression de l'utilisateur..
- ID de l'événement: 4733 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été supprimé d'un groupe local avec sécurité activée.
- ID de l'événement: 4729 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été ajouté à un groupe global activé par la sécurité..
- ID de l'événement: 4726 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été supprimé.
3. Compte d'utilisateur désactivé: Vous trouverez ci-dessous les ID d'événement consignés lorsque l'utilisateur est désactivé..
- ID de l'événement: 4725 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été désactivé.
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
4. Compte d'utilisateur activé: Vous trouverez ci-dessous les ID d'événement consignés lorsque l'utilisateur est activé..
- ID de l'événement: 4722 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été activé.
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
5. Réinitialisation du mot de passe du compte utilisateur: Vous trouverez ci-dessous les ID d'événement enregistrés lors de la réinitialisation du mot de passe du compte d'utilisateur..
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
- ID de l'événement: 4724 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Une tentative de réinitialisation du mot de passe d'un compte a été effectuée..
6. Chemin d'accès au profil du compte d'utilisateur: Vous trouverez ci-dessous l'ID d'événement consigné lorsque le chemin du profil est défini pour un compte d'utilisateur..
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
7. Renommer compte utilisateur: Vous trouverez ci-dessous les ID d'événement consignés lorsque le compte d'utilisateur est renommé..
- ID de l'événement: 4781 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Le nom d'un compte a été changé.
- ID de l'événement: 4738 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un compte d'utilisateur a été changé.
8. Créer un groupe local: Vous trouverez ci-dessous les ID d'événement consignés lors de la création d'un groupe local..
- ID de l'événement: 4731 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un groupe local avec sécurité activée a été créé
- ID de l'événement: 4735 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un groupe local activé par la sécurité a été modifié
9. Ajouter un utilisateur au groupe local: Ci-dessous, l'ID d'événement enregistré dans le journal lorsque l'utilisateur est ajouté au groupe Local..
- ID de l'événement: 4732 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été ajouté à un groupe local avec sécurité activée
dix. Supprimer un utilisateur du groupe local: Ci-dessous, l'ID d'événement enregistré dans le journal lorsque l'utilisateur est supprimé du groupe local..
- ID de l'événement: 4733 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un membre a été supprimé d'un groupe local avec sécurité activée
11. Supprimer le groupe local: Vous trouverez ci-dessous l'ID d'événement consigné lorsque le groupe local est supprimé..
- ID de l'événement: 4734 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un groupe local avec sécurité activée a été supprimé
12. Renommer le groupe local: Vous trouverez ci-dessous les ID d'événement consignés lorsque le groupe local est renommé..
- ID de l'événement: 4781 | Type: Audit de réussite | Catégorie: Gestion de compte d'utilisateur | La description: Un nom de compte a été changé
- ID de l'événement: 4735 | Type: Audit de réussite | Catégorie: Gestion du groupe de sécurité | La description: Un groupe local activé par la sécurité a été modifié
