Los sistemas operativos Windows cuentan con herramientas que nos permiten llevar a cabo múltiples acciones sobre el sistema operativo tales como restringir accesos, evitar la modificación de programas, ocultar elementos del sistema y muchas más.
Una de las opciones más prácticas y fundamentales para llevar una correcta gestión del sistema es verificar que usuario ha accedido al sistema para de esta forma comprobar si algún cambio no autorizado fue realizado por alguien en especial o por llevar un control detallada para tareas de gestión, auditoria o seguridad.
Solvetic analizará cómo podemos observar qué usuarios han accedido al sistema operativo con información detallada del acceso. Con el siguiente videotutorial te podrás ayudar para , a través de auditorias, comprobar quién y en qué momento ha iniciado sesión en un equipo que tu gestionar y así prevenir o resolver problemas de seguridad en Windows 10.
1. Habilitar la auditoria de inicios de sesión en Windows 10
El primer paso a realizar es habilitar el registro de los eventos asociados a los inicios la cual por defecto esta deshabilitada en Windows. Para esto debemos acceder al editor de políticas de grupo la cual solo está disponible para las ediciones Pro, Enterprise y Education de Windows 10 las versiones Pro y Enterprise de Windows 7 y Windows 8.
Para acceder a ellas usaremos la combinación de teclas siguiente y en la ventana desplegada ejecutaremos el comando gpedit.msc. Pulsamos Enter o Aceptar.
+ R
gpedit.msc
En la ventana desplegada vamos a la siguiente ruta:
- Configuración del equipo
- Configuración de Windows
- Configuración de Seguridad
- Directivas Locales
- Directiva de auditoria
En la columna derecha seleccionaremos la política llamada Auditar eventos de inicio de sesión, daremos doble clic sobre ella y será desplegada la siguiente ventana donde podremos activar dos tipos de eventos de inicio de sesión:
Pulsamos en Aplicar y Aceptar para guardar los cambios. Podemos ver que la configuración ha sido realizada de forma correcta:
2. Acceder a los eventos de inicio de sesión en Windows 10
El siguiente paso consiste en acceder al Visor de eventos el cual traen todas las ediciones de Windows con el fin de analizar los respectivos inicios de sesión.
Para acceder al visor de eventos, en este caso en Windows 10, contamos con las siguientes alternativas:
Una vez accedamos al Visor de eventos vamos a la ruta "Registros de Windows / Seguridad" y veremos lo siguiente:
En dicho visor debemos centrarnos en el código 4624 el cual está asociado a los inicios de sesión y al ubicarlo podemos dar doble clic sobre el para conocer en detalle su información:
- Nombre del equipo
- Dominio al cual pertenece
- ID del evento seleccionado
- Nivel de prioridad del evento
- Usuario
- Fecha y hora en la cual se ejecutó el acceso al sistema
- Equipo afectado
En la parte superior podemos desplegar muchos más detalles asociados a la cuenta
Si no deseamos buscar de forma manual los ID asociados a los inicios de sesión, es posible crear una vista personalizada que filtre solo ese evento. Para esto pulsamos en el botón Crear vista personalizada y allí seleccionar la opción Seguridad en la casilla Registros de eventos e ingresar el ID en el campo respectivo:
Pulsamos en Aceptar, asignaremos un nombre a dicha vista y podremos ver todos los eventos de ese ID en especial:
Con este proceso podremos conocer en detalle que usuario y en que fecha exacta accedió al sistema para tomar las medidas necesarias.
