¿Alguna vez se preguntó si puede realizar un seguimiento de las actividades de inicio de sesión de los usuarios en Windows para poder tener un registro de quién inició sesión y cuándo inicia sesión? Esto es perfectamente posible en el sistema Windows utilizando la función Auditoría de inicio de sesión. El seguimiento de las actividades de inicio y cierre de sesión del usuario es muy útil en entornos de servidores u organizaciones donde los datos son confidenciales y en situaciones en las que solo desea saber «quién hizo esto» en su sistema Windows. De forma predeterminada, la función Auditoría de inicio de sesión está deshabilitada en Windows. En este artículo, veamos cómo habilitar la auditoría de inicio de sesión y cómo ver esos eventos de seguimiento en un sistema Windows.
Nota: Logon Auditing solo está disponible en las versiones Pro, Ultimate y Enterprise de Windows 8.
¿Qué es la auditoría de inicio de sesión?
La auditoría de inicio de sesión es una configuración de directiva de grupo de Windows integrada que permite a un administrador de Windows registrar y auditar cada instancia de actividad de inicio y cierre de sesión del usuario en una computadora local o en una red. Junto con el registro de eventos de inicio y cierre de sesión, esta característica también es capaz de rastrear cualquier intento fallido de inicio de sesión. Esto es particularmente útil para determinar y analizar cualquier ataque en su máquina con Windows.
Habilitar auditoría de inicio de sesión
Para habilitar la Auditoría de inicio de sesión, debemos configurar los ajustes de la Política de grupo de Windows. Presiona “Win + R”, escribe gpedit.msc
y presione el botón Entrar para abrir el Editor de directivas de grupo de Windows.
Una vez que esté en el Editor de políticas de grupo, vaya a «Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales» y luego seleccione «Política de auditoría» en el panel izquierdo.
La acción anterior le mostrará algunas políticas en el panel derecho. Aquí, haga doble clic en la política «Auditoría de eventos de inicio de sesión» para abrirla. No confunda «Auditar eventos de inicio de sesión» con «Auditar eventos de inicio de sesión de cuenta», ya que es una configuración para un propósito completamente diferente.
Una vez que se abra la ventana, seleccione las casillas de verificación «Éxito» y «Fracaso». Ahora haga clic en los botones «Aplicar» y «Aceptar» para guardar los cambios.
Eso es todo lo que hay que hacer. A partir de este momento, cada inicio de sesión, cierre de sesión e intento fallido de inicio de sesión se registrarán en el Visor de eventos como eventos.
Ver eventos de auditoría de inicio de sesión
Puede ver todos los eventos de inicio de sesión, cierre de sesión y intento de inicio de sesión fallido en el Visor de eventos de Windows. Puede iniciar el Visor de eventos buscando en el menú de inicio. Si está utilizando Windows 8, puede iniciar el mismo utilizando el menú Usuario avanzado (Win + X).
Una vez que haya iniciado el Visor de eventos, vaya a Registros de Windows y luego a la pestaña Seguridad.
Aquí encontrará todos los eventos relacionados con la seguridad que ocurrieron en su sistema Windows. Si hace doble clic en la palabra clave «Éxito de la auditoría», encontrará detalles como el usuario que inició o cerró la sesión, la marca de tiempo, etc. Como sugerencia, puede filtrar los registros de eventos usando «ID del evento». ” o “Categoría de tareas”. Como puede ver en la imagen a continuación, Logon Auditing también rastrea cualquier intento fallido de inicio de sesión.
Eso es todo lo que hay que hacer, y es así de simple rastrear los inicios de sesión de los usuarios en su sistema Windows.
Esperemos que eso ayude, y comente a continuación si tiene algún problema al habilitar la función Auditoría de inicio de sesión en Windows.