Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois qu'un
utilisateur ouvre ou ferme une session sur un ordinateur, un événement est
généré dans le journal de sécurité de l'ordinateur sur lequel cette
opération se produit. De plus, lorsqu'un utilisateur se connecte à un
serveur distant, un événement d'ouverture de session est généré dans le
journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se produit.
Les audits négatifs génèrent une entrée lorsqu'une tentative de connexion
échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet événement
indique qu'une attaque de mot de passe a été perpétrée sans succès et a
entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il peut
être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531, 532
et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture de
session. Lorsque cela est possible, il faut analyser ces événements afin
de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot de
passe. Il est nécessaire de rechercher les événements 529 antérieurs pour
ce compte utilisateur et d'essayer de discerner le modèle des tentatives
d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois qu'un
utilisateur ouvre ou ferme une session sur un ordinateur, un événement est
généré dans le journal de sécurité de l'ordinateur sur lequel cette
opération se produit. De plus, lorsqu'un utilisateur se connecte à un
serveur distant, un événement d'ouverture de session est généré dans le
journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se produit.
Les audits négatifs génèrent une entrée lorsqu'une tentative de connexion
échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet événement
indique qu'une attaque de mot de passe a été perpétrée sans succès et a
entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il peut
être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531, 532
et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture de
session. Lorsque cela est possible, il faut analyser ces événements afin
de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot de
passe. Il est nécessaire de rechercher les événements 529 antérieurs pour
ce compte utilisateur et d'essayer de discerner le modèle des tentatives
d'ouverture de session.
Cordialement
Stanislas
"Domigam" <anonymous@discussions.microsoft.com> wrote in message
news:%23Z2M1M1uEHA.2536@TK2MSFTNGP11.phx.gbl...
Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois qu'un
utilisateur ouvre ou ferme une session sur un ordinateur, un événement est
généré dans le journal de sécurité de l'ordinateur sur lequel cette
opération se produit. De plus, lorsqu'un utilisateur se connecte à un
serveur distant, un événement d'ouverture de session est généré dans le
journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se produit.
Les audits négatifs génèrent une entrée lorsqu'une tentative de connexion
échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet événement
indique qu'une attaque de mot de passe a été perpétrée sans succès et a
entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il peut
être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531, 532
et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture de
session. Lorsque cela est possible, il faut analyser ces événements afin
de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot de
passe. Il est nécessaire de rechercher les événements 529 antérieurs pour
ce compte utilisateur et d'essayer de discerner le modèle des tentatives
d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Merci Stanislas pour toutes ses précisions, j'ai une deuxième questions:
Ou se trouvent tous ses audits d'evenements pour les ouvertures de
sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" a écrit dans le
message de news:Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il
peut être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Merci Stanislas pour toutes ses précisions, j'ai une deuxième questions:
Ou se trouvent tous ses audits d'evenements pour les ouvertures de
sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" <squasta@online.microsoft.com> a écrit dans le
message de news: eTxxqS1uEHA.1524@TK2MSFTNGP09.phx.gbl...
Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il
peut être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" <anonymous@discussions.microsoft.com> wrote in message
news:%23Z2M1M1uEHA.2536@TK2MSFTNGP11.phx.gbl...
Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Merci Stanislas pour toutes ses précisions, j'ai une deuxième questions:
Ou se trouvent tous ses audits d'evenements pour les ouvertures de
sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" a écrit dans le
message de news:Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser des
attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu ou
avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau. Cette
opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son mot
de passe ou commence à naviguer sur le réseau sous Favoris réseau. Il
peut être difficile d'interpréter efficacement ces événements. En règle
générale, il faut analyser ces modèles s'ils se produisent de façon
répétée ou coïncident avec d'autres facteurs inhabituels. Par exemple,
plusieurs événements 529 suivis par un événement 528 au milieu de la nuit
peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et sur
quelle machine ce nom d'utilisateur essaye de se connecter au domaine?
Merci d'avance.
Il faut activer l'audit dans la stratégie locale du serveur (ou via GPO) :
Ouvrir la console MMC Local Security Settings (c'est dans les outils
d'administration),
dans la branche Security settings --> local policy --> Audit policy ==> Là
il y a l'activation de l'audit pour tout ce qui est logon.
(désolé pour les termes US, je n'ai pas à l'instant de version FR de
Windows :-o )
Cordialement.
Stanislas
"Domigam" wrote in message
news:Merci Stanislas pour toutes ses précisions, j'ai une deuxième
questions: Ou se trouvent tous ses audits d'evenements pour les
ouvertures de sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" a écrit dans le
message de news:Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser
des attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu
ou avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau.
Cette opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son
mot de passe ou commence à naviguer sur le réseau sous Favoris réseau.
Il peut être difficile d'interpréter efficacement ces événements. En
règle générale, il faut analyser ces modèles s'ils se produisent de
façon répétée ou coïncident avec d'autres facteurs inhabituels. Par
exemple, plusieurs événements 529 suivis par un événement 528 au milieu
de la nuit peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et
sur quelle machine ce nom d'utilisateur essaye de se connecter au
domaine?
Merci d'avance.
Il faut activer l'audit dans la stratégie locale du serveur (ou via GPO) :
Ouvrir la console MMC Local Security Settings (c'est dans les outils
d'administration),
dans la branche Security settings --> local policy --> Audit policy ==> Là
il y a l'activation de l'audit pour tout ce qui est logon.
(désolé pour les termes US, je n'ai pas à l'instant de version FR de
Windows :-o )
Cordialement.
Stanislas
"Domigam" <anonymous@discussions.microsoft.com> wrote in message
news:O0iazf1uEHA.2136@TK2MSFTNGP15.phx.gbl...
Merci Stanislas pour toutes ses précisions, j'ai une deuxième
questions: Ou se trouvent tous ses audits d'evenements pour les
ouvertures de sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" <squasta@online.microsoft.com> a écrit dans le
message de news: eTxxqS1uEHA.1524@TK2MSFTNGP09.phx.gbl...
Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser
des attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu
ou avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau.
Cette opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son
mot de passe ou commence à naviguer sur le réseau sous Favoris réseau.
Il peut être difficile d'interpréter efficacement ces événements. En
règle générale, il faut analyser ces modèles s'ils se produisent de
façon répétée ou coïncident avec d'autres facteurs inhabituels. Par
exemple, plusieurs événements 529 suivis par un événement 528 au milieu
de la nuit peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" <anonymous@discussions.microsoft.com> wrote in message
news:%23Z2M1M1uEHA.2536@TK2MSFTNGP11.phx.gbl...
Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et
sur quelle machine ce nom d'utilisateur essaye de se connecter au
domaine?
Merci d'avance.
Il faut activer l'audit dans la stratégie locale du serveur (ou via GPO) :
Ouvrir la console MMC Local Security Settings (c'est dans les outils
d'administration),
dans la branche Security settings --> local policy --> Audit policy ==> Là
il y a l'activation de l'audit pour tout ce qui est logon.
(désolé pour les termes US, je n'ai pas à l'instant de version FR de
Windows :-o )
Cordialement.
Stanislas
"Domigam" wrote in message
news:Merci Stanislas pour toutes ses précisions, j'ai une deuxième
questions: Ou se trouvent tous ses audits d'evenements pour les
ouvertures de sessions?
En effet, lorsque je suis sur mon seveur et je vais dans ->outil
d'aministration->Observateur d'événements, je sélectionne le journal
sécurité, je ne trouve pas ce genre d'evenements.
Pourriez-vous m'en dire plus?
Merci bcp.
Domigam.
"Stanislas Quastana [MS]" a écrit dans le
message de news:Bonjour
Si les événements d'ouverture de session sont audités, à chaque fois
qu'un utilisateur ouvre ou ferme une session sur un ordinateur, un
événement est généré dans le journal de sécurité de l'ordinateur sur
lequel cette opération se produit. De plus, lorsqu'un utilisateur se
connecte à un serveur distant, un événement d'ouverture de session est
généré dans le journal de sécurité de ce serveur.
Les événements d'ouverture de session peuvent être utiles pour détecter
des tentatives de connexion interactive aux serveurs ou pour analyser
des attaques perpétrées à partir d'un ordinateur spécifique. Les audits
positifs génèrent une entrée lorsqu'une tentative de connexion se
produit. Les audits négatifs génèrent une entrée lorsqu'une tentative de
connexion échoue.
ID d'événement
Description
528
Ouverture de session réussie sur un ordinateur.
529
Tentative d'ouverture de session avec un nom d'utilisateur inconnu
ou avec un nom connu et un mot de passe incorrect.
530
Tentative de connexion d'un compte utilisateur hors de la durée
maximale allouée.
531
Tentative de connexion via un compte désactivé.
532
Tentative de connexion via un compte qui a expiré.
533
L'utilisateur n'est pas autorisé à se connecter à cet ordinateur.
534
Tentative de connexion avec un type de connexion qui n'est pas
autorisé, notamment réseau, interactive, par fichier de commande, à un
service ou interactive à distance.
535
Le mot de passe du compte spécifié a expiré.
536
Le service Net Logon n'est pas activé.
537
La tentative de connexion a échoué pour d'autres raisons.
538
Fermeture d'une session utilisateur.
539
Verrouillage d'un compte lors d'une tentative d'attaque. Cet
événement indique qu'une attaque de mot de passe a été perpétrée sans
succès et a entraîné le verrouillage d'un compte.
540
Connexion réseau. Cet événement indique qu'un utilisateur distant
s'est connecté à une ressource locale sur le serveur via le réseau.
Cette opération a généré un jeton pour l'utilisateur réseau.
682
Un utilisateur s'est reconnecté à une session des Services Terminal
Server déconnectée. Cet événement indique qu'une session des Services
Terminal Server était ouverte précédemment.
683
Un utilisateur a déconnecté une session des Services Terminal Server
sans la fermer. Cet événement se produit lorsqu'un utilisateur est
connecté à une session des Services Terminal Server sur le réseau. Il
s'affiche sur le serveur Terminal Server.
Les événements de sécurité ci-après peuvent être diagnostiqués en
utilisant les entrées d'événements d'ouverture de session :
· Échecs de tentatives d'ouverture de session locale. Les ID
d'événements ci-après indiquent des échecs de tentatives d'ouverture de
session : 529, 530, 531, 532, 533, 534 et 537. Les événements 529 et 534
se produisent si un assaillant ne réussit pas à deviner le nom
d'utilisateur et le mot de passe d'un compte local. Cependant, ces
événements peuvent également se produire si un utilisateur oublie son
mot de passe ou commence à naviguer sur le réseau sous Favoris réseau.
Il peut être difficile d'interpréter efficacement ces événements. En
règle générale, il faut analyser ces modèles s'ils se produisent de
façon répétée ou coïncident avec d'autres facteurs inhabituels. Par
exemple, plusieurs événements 529 suivis par un événement 528 au milieu
de la nuit peuvent indiquer une attaque de mot de passe réussie.
· Utilisation incorrecte d'un compte. Les événements 530, 531,
532 et 533 peuvent représenter une utilisation incorrecte d'un compte
utilisateur. Ces événements indiquent que l'association compte/mot de
passe est correcte mais que d'autres restrictions empêchent l'ouverture
de session. Lorsque cela est possible, il faut analyser ces événements
afin de déterminer s'il s'agit d'une utilisation incorrecte ou si les
restrictions en cours doivent être modifiées. Par exemple, il faut
peut-être prolonger les heures d'ouverture de session de certains
comptes.
· Verrouillage des comptes. L'événement 539 représente le
verrouillage d'un compte. Il peut indiquer l'échec d'une attaque de mot
de passe. Il est nécessaire de rechercher les événements 529 antérieurs
pour ce compte utilisateur et d'essayer de discerner le modèle des
tentatives d'ouverture de session.
Cordialement
Stanislas
"Domigam" wrote in message
news:%Bonjour à tous,
Voilà j'ai un serveur 2kserver et l'un de mes utilisateurs à son compte
verrouiller très frequement, je me demande s'il n'y a pas qqun qui
voudrait se connecter avec son login.
Ma question est la suivante: existe-t-il un moyen de savoir quand et
sur quelle machine ce nom d'utilisateur essaye de se connecter au
domaine?
Merci d'avance.
