Auditar los intentos de inicio de sesión en Windows 10

Publicado por P. Ruiz en

En Windows Server, cuando un usuario trata de iniciar sesión en el sistema y se equivoca al escribir la clave, la incidencia queda reflejada en el Registro de eventos. Esto hace que, si alguien trata de iniciar sesión con la cuenta de otro usuario y prueba diferentes contraseñas, quedarán registrados varios eventos consecutivos y el administrador, más tarde, podrá detectar fácilmente que se ha producido una situación anómala.

Esta posibilidad, que puede ser muy útil para detectar posibles intentos de intrusión, viene deshabilitada de forma predeterminada en Windows 10, por lo que, una tentativa de ese tipo, permanecerá indetectable.

No obstante, si estás interesado en registrar este tipo de situaciones, basta con modificar las Directivas locales de tu sistema operativo, que es, precisamente, lo que vamos a explicar hoy.

Comenzaremos por hacer clic sobre el botón Inicio del Escritorio.

En la lista de aplicaciones localizamos la categoría Sistema de Windows y, en su interior, hacemos clic sobre la opción Panel de control.

Al hacerlo, conseguiremos que se abra la ventana Panel de control. Se trata de la interfaz gráfica que nos facilita la consulta y modificación de los ajustes más importantes del sistema operativo.

 En concreto, nosotros necesitamos acceder a las opciones de Sistema y seguridad.

Hacemos clic sobre Sistema y seguridad.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-001

Cuando se muestren las diferentes opciones de la categoría, nos desplazamos hasta el final de la lista.

… Y hacemos clic sobre el elemento Herramientas administrativas.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-002

Al hacerlo, conseguiremos que se abra una nueva ventana titulada Herramientas administrativas.

Si lo prefieres, puedes abrir directamente la ventana Herramientas administrativas (Sin pasar por la ventana Panel de control) ejecutando la orden control admintools, tal y como te explicábamos en el artículo Acceder al Panel de control de Windows 8.1 desde la línea de comandos (que es completamente válido para Windows 10).

Con la combinación de teclas Windows + R obtenemos la ventana Ejecutar.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-003

A continuación, hacemos doble clic sobre el elemento Directiva de seguridad local.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-004

Y, de nuevo, al hacerlo, se abre una ventana titulada Directiva de seguridad local.

En ella, nos dirigimos al panel de la izquierda y desplegamos la categoría Directivas locales. A continuación, hacemos clic sobre la entrada Directiva de auditoría.

Después, en el panel derecho, hacemos doble clic sobre la entrada Auditar eventos de inicio de sesión.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-005

Finalmente, habremos conseguido abrir la ventana Propiedades: Auditar eventos de inicio de sesión, donde tendremos la posibilidad de elegir si queremos auditar los inicios de sesión correctos y/o los erróneos. En nuestro caso, marcamos sólo la opción Erróneos.

Cuando estemos listos, hacemos clic sobre el botón Aceptar.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-006

De vuelta en la ventana Directiva de seguridad local, comprobaremos que la configuración de seguridad de la directiva Auditar eventos de inicio de sesión se ha modificado.

Después de esto, ya podemos cerrar todas las ventanas.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-10-007

Dejaremos para otro artículo la tarea de comprobar si se han producido errores de autenticación en el sistema.

Ten en cuenta que en la ventana Directiva de seguridad local puedes realizar muchos más ajustes sobre la configuración de tu equipo.

Por esto, es muy probable que volvamos a ella en el futuro pero, mientras tanto, te invito a curiosear entre sus opciones, porque puedes encontrar algunas cosas útiles… Pero ten cuidado de no romper nada.

Espero que el artículo de hoy te haya parecido interesante.