¿Alguna vez ha querido controlar quién inicia sesión en su computadora y cuándo? En las ediciones profesionales de Windows, puede habilitar la auditoría de inicio de sesión para que Windows rastree qué cuentas de usuario inician sesión y cuándo.
La configuración Auditar eventos de conexión realiza un seguimiento de las conexiones locales y de red. Cada evento de inicio de sesión especifica la cuenta de usuario que inició sesión y la hora en que tuvo lugar. También puede ver cuándo los usuarios se han desconectado.
Nota: La auditoría de inicio de sesión solo funciona en la edición Professional de Windows, por lo que no puede usarla si tiene una edición Home. Debería funcionar en Windows 7, 8 y Windows 10. Vamos a cubrir Windows 10 en este artículo. Las pantallas pueden verse un poco diferentes en otras versiones, pero el proceso es prácticamente el mismo.
Habilitar la auditoría de conexión
Para habilitar la auditoría de inicio de sesión, utilizará el Editor de políticas de grupo local. Es una herramienta bastante poderosa, por lo que si nunca la ha usado antes, vale la pena tomarse el tiempo para aprender lo que puede hacer. Además, si está en una red corporativa, haga un favor a todos y consulte primero con su administrador. Si su computadora de trabajo es parte de un dominio, también es probable que sea parte de una política de grupo de dominio que anulará la política de grupo local de todos modos.
Para abrir el Editor de políticas de grupo local, presione Inicio, escriba «gpedit.msc,« luego seleccione la entrada resultante.
En el Editor de políticas de grupo local, en el panel izquierdo, vaya a Política de equipo local> Configuración de equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría. En el panel derecho, haga doble clic en la configuración «Auditoría de eventos de conexión».
En la ventana de propiedades que se abre, active la opción «Correcto» para que Windows registre los intentos de conexión correctos. Habilite la opción «Fallido» si también desea que Windows registre las fallas de inicio de sesión. Haga clic en el botón «Aceptar» cuando haya terminado.
Ahora puede cerrar la ventana del Editor de políticas de grupo local.
Ver eventos de conexión
Después de habilitar la auditoría de inicio de sesión, Windows registra estos eventos de inicio de sesión, junto con un nombre de usuario y una marca de tiempo, en el registro de seguridad. Puede ver estos eventos usando el Visor de eventos.
Presione Inicio, escriba «evento», luego haga clic en el resultado «Visor de eventos».
En la ventana «Visor de eventos», en el panel izquierdo, vaya a Registros de Windows> Seguridad.
En el panel central, es probable que vea una serie de eventos de «Aprobación de auditoría». Windows guarda detalles separados para cosas como cuando una cuenta con la que alguien inicia sesión obtiene sus privilegios con éxito. Está buscando eventos con ID de evento 4624, representan eventos de inicio de sesión exitosos. Puede ver los detalles de un evento seleccionado en la parte inferior de este panel central, pero también puede hacer doble clic en un evento para ver sus detalles en su propia ventana.
Y si se desplaza un poco por los detalles, puede ver la información que está buscando, como el nombre de la cuenta de usuario.
Y debido a que este es solo otro evento en el Registro de eventos de Windows con un ID de evento específico, también puede usar el Programador de tareas para tomar medidas cuando se produzca una conexión. Incluso puede pedirle a Windows que le envíe un correo electrónico cuando alguien inicie sesión.