[Résolu] Doute sur la sécurité

[micpal]

Bonjour
par hasard, depuis le passage en version 1803, je suis aller consulté les événements de la rubrique succès de l'audit.
J'ai des événements 4624 avec niveau d'emprunt d'identité: emprunt d'identité.

Bien sur j'ai fait une analyse complète avec Defender, ainsi qu'une analyse hors ligne: aucune menace détectée.
Idem avec malwarbyte prémium: aucune menace détectée. (une analyse est faite tous les matins)

Serais-je parano??

Merci d'avance

[chantal11]

Bonjour,

Oui .... tendance parano

C'est un évènement "normal" qui rapporte donc une ouverture de session.

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.

Tu n'as pas d'inquiétude à avoir pour le niveau d'emprunt d'identité, c'est les libellé normal.

@+

[micpal]

Merci Chantal pour ta réponse rapide, je suis rassuré
Puis-je abusé de ta compétence?
En épluchant windows defender en 1803, j'ai vu que dans la rubrique sécurité des appareils, l'intégrité de la mémoire était désactivée
Doit-on l'activer et quels sont les effets secondaires,
Cordialement

[chantal11]

Bonjour,

Cette option sur l'Intégrité de la mémoire est désactivée par défaut.
C'est une fonctionnalité de l’isolation du noyau pour empêcher des programmes malveillants d’accéder aux processus hautement sécurisés en cas d’attaque, notamment des ransomwares.
Mais attention, une fois activée cette fonctionnalité peut interférer dans le bon fonctionnement de certaines applications.
Surtout destinée aux entreprises pour sécuriser/verrouiller les PCS utilisés par des employés.

Perso, je n'ai pas activé cette option. je reste prudente dans ma navigation, je ne télécharge pas de cracks, je n'ouvre pas de PJ dans des mails douteux, je ne pratique que le Streaming autorisé et sur des sites légaux, je sauvegarde régulièrement sur des supports externes mes données personnelles.

@+

[micpal]

Bonjour
Merci, je vais faire comme vous la laisser désactivée
Cordialement