¿Alguna vez ha querido monitorear quién está iniciando sesión en su computadora y cuándo? En las ediciones Professional de Windows, puede habilitar la auditoría de inicio de sesión para que Windows realice un seguimiento de las cuentas de usuario que inician sesión y cuándo.
La configuración Auditar eventos de inicio de sesión realiza un seguimiento tanto de los inicios de sesión locales como de los inicios de sesión de red. Cada evento de inicio de sesión especifica la cuenta de usuario que inició sesión y la hora en que se realizó el inicio de sesión. También puede ver cuándo los usuarios cerraron la sesión.
Nota: La auditoría de inicio de sesión solo funciona en la edición Professional de Windows, por lo que no puede usarla si tiene una edición Home. Esto debería funcionar en Windows 7, 8 y Windows 10. Vamos a cubrir Windows 10 en este artículo. Las pantallas pueden verse un poco diferentes en otras versiones, pero el proceso es más o menos el mismo.
¿De qué vamos a hablar?
Habilitar auditoría de inicio de sesión
Para habilitar la auditoría de inicio de sesión, va a usar el Editor de directivas de grupo local. Es una herramienta bastante poderosa, por lo que si nunca la has usado antes, vale la pena tomarse un tiempo para aprender lo que puede hacer. Además, si está en una red de la empresa, haga un favor a todos y consulte primero con su administrador. Si el equipo de trabajo forma parte de un dominio, también es probable que forme parte de una directiva de grupo de dominio que sustituyrá a la directiva de grupo local, de todos modos.
Para abrir el Editor de directivas de grupo local, presione Inicio, escriba “gpedit.msc,“ y, a continuación, seleccione la entrada resultante.
En el Editor de directivas de grupo local, en el panel izquierdo, profundice en Directiva de equipo local > Configuración de equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría. En el panel derecho, haga doble clic en la configuración “Auditar eventos de inicio de sesión”.
En la ventana de propiedades que se abre, habilite la opción “Correcto” para que Windows registre los intentos de inicio de sesión exitosos. Habilite la opción “Error” si también desea que Windows registre los intentos de inicio de sesión fallidos. Haga clic en el botón “Aceptar” cuando haya terminado.
Ahora puede cerrar la ventana Editor de directivas de grupo local.
Ver eventos de inicio de sesión
Después de habilitar la auditoría de inicio de sesión, Windows registra esos eventos de inicio de sesión, junto con un nombre de usuario y una marca de tiempo, en el registro de seguridad. Puede ver estos eventos mediante el Visor de eventos.
Presione Inicio, escriba “evento” y luego haga clic en el resultado “Visor de eventos”.
En la ventana “Visor de eventos”, en el panel izquierdo, vaya a Windows Logs > Security.
En el panel central, es probable que vea una serie de eventos de “Auditoría de éxito”. Windows registra detalles separados para cosas como cuando a una cuenta con la que alguien inicia sesión se le conceden con éxito sus privilegios. Está buscando eventos con el identificador de evento 4624, que representan eventos de inicio de sesión exitosos. Puede ver detalles sobre un evento seleccionado en la parte inferior de ese panel central, pero también puede hacer doble clic en un evento para ver sus detalles en su propia ventana.
Y si se desplaza hacia abajo solo un poco en los detalles, puede ver la información que busca, como el nombre de la cuenta de usuario.
Y dado que este es solo otro evento en el registro de eventos de Windows con un identificador de evento específico, también puede usar el Programador de tareas para realizar acciones cuando se produce un inicio de sesión. Incluso puede hacer que Windows le envíe un correo electrónico cuando alguien inicie sesión.
