Journalisation • Créer une partition séparée pour les journaux HKLM\SYSTEM\CurrentControlSet\Services\EventLog\<journal> \File • Attention au problème de remplissage des journaux (crashonauditfail = 2) • Auditer en échec seul Directory Access, en succès et échec tous les autres événements sauf Process Tracking – Audit Logon, audit account logon • Surveiller les événements: Auditing Disabled • Restrict guest access (gpo)

		–Audit Logon: là où le logon a eu lieu
		–Audit Account Logon: là où le compte existe