web-dev-qa-db-fra.com

Identifiant d'événement de l'observateur d'événements pour verrouiller et déverrouiller

Quel est l'identifiant de l'événement dans Event Viewer pour verrouiller, déverrouiller un ordinateur sous Windows XP, Windows 7, Windows Vista et Windows Server 2008 ?

windowsevent-viewer
48
user1500194

Les ID d’événement à rechercher dans les versions antérieures à Windows sont 528 , 538 et 680 . 528 signifie généralement le déverrouillage réussi du poste de travail.

Les codes des nouvelles versions de Windows diffèrent. Voir les réponses ci-dessous pour plus d'informations.

4
Ath An

L'ID d'événement de verrouillage est 4800 et le déverrouillage est 4801. Vous pouvez les trouver dans les journaux de sécurité. Vous devez probablement activer leur audit à l'aide de stratégie de sécurité locale (secpol.msc, paramètres de sécurité locaux sous Windows XP) -> stratégies locales -> stratégie d'audit. Pour Windows 10, voir l'image ci-dessous.

Regardez dans Description des événements de sécurité dans Windows 7 et dans Windows Server 2008 R2 sous Sous-catégorie: Autres événements de connexion/déconnexion.

 Other Logon/Logoff Events in Windows 10

67
eran

Vous devrez activer la journalisation de ces événements. Faites-le en ouvrant l'éditeur de règles de groupe:

lancer -> gpedit.msc

et en configurant la catégorie suivante: 

Configuration de l'ordinateur ->
Paramètres Windows ->
Paramètres de sécurité ->
Configuration avancée de la stratégie d'audit ->
Stratégies d'audit système - Objet de stratégie de groupe local ->
Connexion/Déconnexion ->
Audit Autres événements de connexion/déconnexion

(Dans l'onglet Explain , il est indiqué "... vous permet d'auditer ... Verrouillage et déverrouillage d'un poste de travail".)

35
Mario

Malheureusement, il n’existe pas de verrouillage/déverrouillage. Ce que vous devez faire c'est:

  1. Cliquez sur "Filtrer le journal actuel ..."
  2. Sélectionnez l'onglet XML et cliquez sur "Editer la requête manuellement"

  3. Entrez la requête ci-dessous:

     <QueryList> 
 <Query Id = "0" Path = "Security"> 
 <Select Path = "Security"> 
 * [EventData [Data [@ Name = 'LogonType'] = '7'] 
 et
 (System [(EventID = '4634')] ou System [(EventID = '4624')]) 
 ] </ Select> 
 </ Query> 
 </ QueryList>

C'est tout

4
Bruno Marotta

Pour identifier l'écran de déverrouillage, je pense que vous pouvez utiliser l'ID 4624. Mais vous devez également consulter le type de connexion qui, dans ce cas, est 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx ? eventid = 4624

L'ID d'événement pour la déconnexion est 4634

4
Ingemar

Pour les versions plus récentes de Windows (y compris, sans toutefois s'y limiter, Windows 10 et Windows Server 2016), les ID d'événement sont les suivants:

  • 4800 - Le poste de travail était verrouillé.
  • 4801 - Le poste de travail a été déverrouillé.

Le verrouillage et le déverrouillage d'un poste de travail impliquent également les événements de connexion et de déconnexion suivants:

  • 4624 - Un compte a été connecté avec succès.
  • 4634 - Un compte a été déconnecté. 
  • 4648 - Une tentative de connexion a été tentée à l'aide d'informations d'identification explicites.

Lors de l'utilisation d'une session des services Terminal Server, le verrouillage et le déverrouillage peuvent également impliquer les événements suivants si la session est déconnectée et l'événement 4778 peut remplacer l'événement 4801:

  • 4779 - Une session a été déconnectée d'une station Windows.
  • 4778 - Une session a été reconnectée à une station Windows.

Les événements 4800 et 4801 ne sont pas audités par défaut et doivent être activés à l'aide de l'éditeur de stratégie de groupe local (gpedit.msc) ou de la stratégie de sécurité locale (secpol.msc).

Le chemin d'accès à la stratégie à l'aide de l'éditeur de stratégie de groupe local est le suivant:

  • Stratégie de l'ordinateur local
  • La configuration d'un ordinateur
  • Paramètres Windows
  • Les paramètres de sécurité
  • Configuration avancée de la stratégie d'audit
  • Stratégies d'audit système - Objet de stratégie de groupe local
  • Connexion/Déconnexion
  • Auditer d'autres événements de connexion/déconnexion

Le chemin d'accès à la stratégie à l'aide de la stratégie de sécurité locale est constitué du sous-ensemble suivant du chemin de l'éditeur de stratégie de groupe local:

  • Les paramètres de sécurité
  • Configuration avancée de la stratégie d'audit
  • Stratégies d'audit système - Objet de stratégie de groupe local
  • Connexion/Déconnexion
  • Auditer d'autres événements de connexion/déconnexion
3
Ryan Prechel

Paramètres de sécurité -> Stratégie d'audit avancée -> Audit système -> Connexion/Déconnexion -> Auditer d'autres événements de connexion/déconnexion -> En cas de succès

Permet ce qui suit:

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows 10 professionnel

1
kevinf

Pour Windows 10, l'ID d'événement pour lock = 4800 et unlock = 4801. 

Comme indiqué dans la réponse fournie par Mario et l'utilisateur 00000, vous devez activer la journalisation des événements de verrouillage et de déverrouillage à l'aide de la méthode décrite ci-dessus, en exécutant gpedit.msc et en naviguant jusqu'à la branche indiquée.

Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d'audit -> Stratégies d'audit système - Objet de stratégie de groupe local -> Ouverture/fermeture de session -> Vérifier les autres connexions/déconnexions 

Activer pour les événements de réussite et d’échec.

Après avoir activé la journalisation de ces événements, vous pouvez filtrer directement les ID d'événement 4800 et 4801.

Cette méthode fonctionne pour Windows 10, car je viens de l'utiliser pour filtrer mes journaux de sécurité après avoir verrouillé et déverrouillé mon ordinateur.

0
Brian Johns