Las versiones de Microsoft Windows almacenan por defecto todos los registros de inicio de sesión en su sistema operativo, ya sea que el loginhaya sido correcto o no. En ocasiones queremos ver quien ha iniciado sesión en el sistema por diversas razones y esta información la podemos visualizar a través del visor de sucesos de Windows pero puede ser un poco complejo este proceso ya que debemos conocer el ID del suceso, la fecha del suceso, etc.
Solvetic siempre buscando las mejores alternativas y las más prácticas, en esta oportunidad brinda este estudio para que veamos como poder revisar los inicios de sesión en nuestro sistema cuando realizamos inicios de sesión y estar al tanto de quien entró o cuantas veces intentaron de forma errónea entrar, pero debemos aclarar lo siguiente.
El proceso que vamos a analizar es habilitado desde la versión Windows Vista en adelante pero en las versiones de Windows 8, 8.1 y 10 solo funciona para las cuentas locales ya que no podemos editar los registros para las cuentas de Microsoft (recordemos que en Windows 8 y 10 podemos iniciar sesión con nuestra cuenta de Hotmail u Outlook).
Lo primero, debemos tener deshabilitado el inicio de sesión automático para que la política sea aplicada. En este estudio vamos a usar Windows 10 Enterprise.
Te dejamos también el tutorial con el que poder aprender cómo controlar los accesos a tus equipos Windows 10 a través del registro de logs.
1. Ver inicios de sesión usando el editor de Registro en Windows 10
Esta opción la usaremos para las máquinas con el sistema operativo Windows Home ya que si intentamos ingresar el comando gpedit.msc veremos el siguiente mensaje porque no soporta GPO:
Pero no os preocupéis los de esas versiones, porque podéis activar esto también desde el Registro. Por lo tanto el proceso para validar los inicios de sesión en Windows 10 Home (O cualquier otra versión) es el siguiente. Ingresaremos al editor de registros o regedit usando cualquiera de las siguientes opciones:
Con cualquiera de estas opciones se desplegará el Registro de Windows. Estando allí nos vamos a dirigir a la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
En esta ventana debemos agregar un Nuevo registro, para ello:
- Clic derecho sobre cualquier espacio en blanco del área de trabajo de System y pulsamos Nuevo.
- Seleccionamos la opción Valor de DWORD (32 bits), ingresamos el nombre DisplayLastLogonInfo.
- Una vez creado el registro damos doble clic sobre él y cambiaremos el valor 0 por el valor 1.
Pulsamos Aceptar y reiniciamos nuestro sistema operativo o cerramos sesión para validar que podemos ver la información de los últimos inicios de sesión.
En este punto simplemente damos clic en Aceptar y accederemos a nuestro sistema de manera normal.
Como vemos es muy sencillo establecer las políticas para ver la información exacta de quién, cuándo y como se inicio sesión en nuestros sistemas operativos Windows 10.
2. Ver inicios de sesión usando una GPO (Group Policy Object) en Windows 10
Esta opción la podemos ejecutar en ambientes Windows versiones Profesional o Enterprise y consiste en editar una GPO o política de grupo, sabemos que usando las políticas de grupo podemos implementar muchas tareas para nuestro sistema, recordemos simplemente que si nuestra máquina está en un dominio empresarial debemos tener autorización previa para ejecutar alguna tarea sobre las políticas de grupo en la máquina.
Vamos a ingresar el editor de directivas de grupo local usando cualquiera de los siguientes métodos:
- En el cuadro de búsqueda de Windows 10 ingresamos el término Editor de directivas y en las opciones desplegadas elegimos editor de directivas de grupo local.
- Ingresar al comando Ejecutar usando la combinación de teclas + R e ingresamos el término siguiente y pulsamos Enter o Aceptar.
gpedit.msc
Ingresar en la siguiente ruta:
- Panel de control
- Sistema y seguridad
- Herramientas administrativas
- Directiva de seguridad local
Cualquiera de estas opciones nos desplegará la siguiente ventana:
Estando en esta ventana debemos ir a la siguiente ruta:
- Configuración de equipo
- Plantillas administrativas
- Componentes de Windows
- Opciones de inicio de sesión de Windows
Daremos doble clic en la segunda opción “Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario”, se desplegará la siguiente ventana donde debemos configurar los parámetros de la política de grupo local.
Solamente debemos habilitar la política seleccionando la opción "Habilitada" y pulsamos Aplicar y posteriormente Aceptar.
Podemos reiniciar el sistema o cerrar sesión para ver lo que ocurre cuando hemos aplicado esta política. Así cuando reiniciemos la máquina o cerremos sesión ocurrirá lo siguiente:
Ingresamos nuestra contraseña y a continuación veremos los datos tanto correctos como fallidos de inicio de sesión.
De esta forma ya podríamos ver los logs de inicio de sesión y así controlar quién accede a tu equipo Windows 10.