Dans cet article, nous allons vous montrer commentutiliser l'Observateur d'événements pour vérifier l'utilisation non autorisée d'un ordinateur Windows. Bien que l'Observateur d'événements Windows se présente comme un outil utile pour afficher les journaux d'événements et résoudre les problèmes et les erreurs avec Windows et d'autres programmes, il peut également être utilisé comme outil de surveillance pour suivre les intrus.
Souvent, le programme affiche des erreurs, des avertissements et des événements système importants sur votre ordinateur, mais ce n'est pas le seul objectif pour lequel il a été conçu. Bien entendu, cela ne sera utile que si vous êtes un utilisateur unique et que vous avez donc choisi de ne pas protéger par mot de passe votre connexion Windows. Voyons comment nous pouvons voir les connexions en utilisant leObservateur d'événements dans Windows 11/10.
Les journaux d'événements sont des fichiers spéciaux qui enregistrent des événements importants sur votre ordinateur, par exemple lorsqu'un utilisateur se connecte à l'ordinateur ou lorsqu'un programme rencontre une erreur. Àutilisez l'Observateur d'événements pour vérifier utilisation non autorisée de votre ordinateur, suivez ces étapes :
PresseGagner+Xen combinaison sur votre PC Windows 11/10 pour afficher le « Menu utilisateur avancé ». Parmi les options affichées, sélectionnez 'Observateur d'événements'.
Pour afficher les événements survenus sur votre ordinateur, sélectionnez la source appropriée dans l'arborescence personnalisée. Ainsi, dans le volet gauche del'Observateur d'événementsécran, cliquez sur la flèche déroulante adjacente à «Journal Windows" dossier et choisissez le 'Système'icône.
Ensuite, faites un clic droit sur Système et choisissezFiltrer le journal actuel.
Ensuite, dans la fenêtre qui s'affiche sur l'écran de votre ordinateur, recherchez leSources d'événementsdérouler. ChoisirOutil de dépannage électriqueà partir de cette liste déroulante et cliquez surD'ACCORD.
Enfin, vérifiez le volet central de la fenêtre de l'Observateur d'événements. Vous devriez remarquer tous les événements récents applicables. Ces événements sont affichés par ordre décroissant de temps.
Vérifiez simplement l'heure à laquelle vous pensez que votre ordinateur a été utilisé et voyez s'il y a eu des événements à ce moment-là. S'il y en a, vous pouvez cliquer dessus pour afficher plus de détails. Ces détails sont affichés dans le volet inférieur du milieu.
Vous pouvez également consulter les journaux de sécurité pour les événements de connexion et de déconnexion.
Lectures connexes qui ne manqueront pas de vous intéresser :
- Commentsous Windows
- avec l'utilitaire de queue SnakeTail Windows
- .
Quel est l’ID d’événement pour une connexion non autorisée ?
L'ID d'événement pour une tentative de connexion non autorisée sous Windows est 4625. Il indique un échec de tentative de connexion à un ordinateur local et est enregistré dans le journal de sécurité de l'Observateur d'événements. L'ID d'événement 4625 fournit des informations sur le compte qui a demandé la connexion, le type de connexion, l'adresse IP et le numéro de port de la machine à partir de laquelle la tentative de connexion provient, la raison de l'échec et le code d'état, ainsi que d'autres informations importantes qui aident les administrateurs à identifier les activités malveillantes sur leur réseau. En surveillant l'ID d'événement 4625, vous pouvez détecter et enquêter sur les tentatives de connexion non autorisées et protéger efficacement votre système contre les attaques par force brute, le bourrage d'informations d'identification ou l'énumération de comptes.
Qu'est-ce que l'ID d'événement 4673 ?
L'ID d'événement 4673 indique qu'un service privilégié a été appelé dans le journal de sécurité Windows. L'événement est généré lorsque des privilèges tels queSeSystemtimePrivilege, SeCreateGlobalPrivilege, ouSeTcbPrivilègesont utilisés. Il fournit des informations essentielles sur l'utilisateur, le service et le processus impliqués, permettant aux administrateurs de garantir que seuls les utilisateurs et processus autorisés effectuent des opérations privilégiées sur le système. L'ID d'événement aide également à identifier une utilisation abusive potentielle des privilèges, telle que des tentatives non autorisées d'utilisation des droits d'administration.
