Auditar los intentos de inicio de sesión en Windows 8.1

En Windows Server, cuando un usuario trata de iniciar sesión en el sistema y se equivoca al escribir la clave, la incidencia queda reflejada en el Registro de eventos. Esto hace que, si alguien trata de iniciar sesión con la cuenta de otro usuario y prueba diferentes contraseñas, quedarán registrados varios eventos consecutivos y el administrador, más tarde, podrá detectar fácilmente que se ha producido una situación anómala.

Esta posibilidad, que puede ser muy útil para detectar posibles intentos de intrusión, viene deshabilitada de forma predeterminada en Windows 8.1, por lo que, una tentativa de ese tipo, permanecerá indetectable.

No obstante, si estás interesado en registrar este tipo de situaciones, basta con modificar las Directivas locales de tu sistema operativo, que es, precisamente, lo que vamos a explicar hoy.

Comenzaremos por hacer clic, con el botón derecho del ratón sobre el botón Inicio del Escritorio.

1

En el menú de contexto que aparece, hacemos clic sobre la opción Panel de control.

Al hacerlo, conseguiremos que se abra la ventana del Panel de control, que incluye multitud de herramientas de configuración del sistema operativo. En concreto, nosotros necesitamos acceder a las opciones de Sistema y seguridad.

2

Hacemos clic sobre Sistema y seguridad.

Cuando se muestren las diferentes opciones de la categoría, nos desplazamos hasta el final de la lista.

3

… Y hacemos clic sobre el elemento Herramientas administrativas.

Al hacerlo, conseguiremos que se abra una nueva ventana titulada Herramientas administrativas.

Si lo prefieres, puedes abrir directamente la ventana Herramientas administrativas (Sin pasar por la ventana Panel de control) ejecutando la orden control admintools, tal y como te explicábamos en el artículo Acceder al Panel de control de Windows 8.1 desde la línea de comandos.

O puedes desplazar el puntero del ratón hasta la esquina inferior derecha de la pantalla para mostrar la Barra de acceso y, cuando aparezca, hacer clic sobre el elemento Buscar.

A continuación, basta con comenzar a escribir Herramientas administrativas en el cuadro de búsqueda y, cuando aparezca en la lista inferior, hacer clic sobre su nombre.

4

En ella, hacemos doble clic sobre el elemento Directiva de seguridad local.

Y, de nuevo, al hacerlo, se abre una ventana titulada Directiva de seguridad local.

En ella, nos dirigimos al panel de la izquierda y desplegamos la categoría Directivas locales. A continuación, hacemos clic sobre la entrada Directiva de auditoría.

5

Después, en el panel de la derecha, hacemos doble clic sobre la entrada Auditar eventos de inicio de sesión.

Finalmente, habremos conseguido abrir la ventana Propiedades: Auditar eventos de inicio de sesión, donde tendremos la posibilidad de elegir si queremos auditar los inicios de sesión correctos y/o los erróneos. En nuestro caso, marcamos sólo la opción Erróneos.

6

Cuando estemos listos, hacemos clic sobre el botón Aceptar.

De vuelta en la ventana Directiva de seguridad local, comprobaremos que la configuración de seguridad de la directiva Auditar eventos de inicio de sesión se ha modificado.

7

Después de esto, ya podemos cerrar todas las ventanas.

En unos días publicaremos un artículo para mostrarte cómo podemos comprobar si se han producido errores de autenticación en el sistema.

Ten en cuenta que en la ventana Directiva de seguridad local puedes realizar muchos más ajustes sobre la configuración de tu equipo. Por ello, es muy probable que volvamos a ella en el futuro pero, mientras tanto, te invito a curiosear entre sus opciones, porque puedes encontrar algunas cosas útiles… Pero ten cuidado de no romper nada.

Espero que el artículo de hoy te haya parecido interesante.