Auditar los intentos de inicio de sesión en Windows 11

Publicado por P. Ruiz en

En Windows Server, cuando un usuario trata de iniciar sesión en el sistema y se equivoca al escribir la clave, la incidencia queda reflejada en el Registro de eventos. Esto hace que, si alguien trata de iniciar sesión con la cuenta de otro usuario y prueba diferentes contraseñas, quedarán registrados varios eventos consecutivos y el administrador, más tarde, podrá detectar fácilmente que se ha producido una situación anómala.

Esta posibilidad, que puede ser muy útil para detectar posibles intentos de intrusión, viene deshabilitada de forma predeterminada en Windows 11, por lo que, una tentativa de ese tipo, permanecerá indetectable.

No obstante, si estás interesado en registrar este tipo de situaciones, basta con modificar las Directivas locales de tu sistema operativo, que es, precisamente, lo que vamos a explicar hoy.

Comenzaremos por hacer clic sobre el botón Inicio del Escritorio.

 A continuación, cuando aparezca el menú Inicio, hacemos clic sobre el botón Todas las aplicaciones.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-001

Esto hará que cambie el contenido de la ventana, para mostrar las aplicaciones ordenadas alfabéticamente. En nuestro caso, nos interesa la opción Herramientas de Windows, por lo que nos desplazamos hacia abajo hasta encontrarla.

Una vez localizada, hacemos clic sobre ella.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-002

Si lo prefieres, puedes abrir directamente la ventana Herramientas administrativas ejecutando la orden control admintools, tal y como te explicábamos en el artículo Comandos para realizar tareas administrativas en Windows 8.1 (que es completamente válido para Windows 11).

Con la combinación de teclas Windows + R obtenemos la ventana Ejecutar.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11

Así conseguimos que se abra una ventana que muestra diferentes herramientas del sistema. De nuevo aparecen ordenadas alfabéticamente, por lo que será sencillo localizar la que nos interesa. En nuestro caso, Directiva de seguridad local.

Hacemos doble clic sobre Directiva de seguridad local.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-003

Y, de nuevo, al hacerlo, se abre una ventana titulada Directiva de seguridad local.

En ella, nos dirigimos al panel de la izquierda y desplegamos la categoría Directivas locales. A continuación, hacemos clic sobre la entrada Directiva
de auditoría
.

Después, en el panel derecho, hacemos doble clic sobre la entrada Auditar eventos de inicio de sesión.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-004

Finalmente, habremos conseguido abrir la ventana Propiedades: Auditar eventos de inicio de sesión, donde tendremos la posibilidad de elegir si queremos auditar los inicios de sesión correctos y/o los erróneos. En nuestro caso, marcamos sólo la opción Erróneos.

Cuando estemos listos, hacemos clic sobre el botón Aceptar.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-005

De vuelta en la ventana Directiva de seguridad local, comprobaremos que la configuración de seguridad de la directiva Auditar eventos de inicio de sesión se ha modificado.

Después de esto, ya podemos cerrar todas las ventanas.

Auditar-los-intentos-de-inicio-de-sesion-en-Windows-11-006

Dejaremos para otro artículo la tarea de comprobar si se han producido errores de autenticación en el sistema.

Ten en cuenta que en la ventana Directiva de seguridad local puedes realizar muchos más ajustes sobre la configuración de tu equipo.

Por esto, es muy probable que volvamos a ella en el futuro pero, mientras tanto, te invito a curiosear entre sus opciones, porque puedes encontrar algunas cosas útiles… Pero ten cuidado de no romper nada.

Espero que el contenido del artículo te haya parecido interesante.