Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado. Leer más.

Windows le permite crear múltiples cuentas de usuario para permitir que varios usuarios usen una sola computadora. Pero, ¿qué sucede si sospecha que alguien accedió a su PC o cuenta de usuario sin su conocimiento?

Si bien monitorear físicamente su computadora todo el tiempo no es factible para la mayoría de las personas, el La utilidad de registro de Windows, Visor de eventos, puede revelar las actividades recientes en su computadora, incluido el inicio de sesión intentos Aquí le mostramos cómo auditar los intentos de inicio de sesión fallidos y exitosos en Windows utilizando el Visor de eventos y otros métodos.

Cómo habilitar la auditoría de inicio de sesión a través del editor de políticas de grupo

Debe habilitar la auditoría de inicio de sesión en el Editor de directivas de grupo para poder ver la auditoría de inicio de sesión en el Visor de eventos. Si bien esta función puede estar habilitada de forma predeterminada en algunas computadoras, también puede habilitar la auditoría de inicio de sesión manualmente siguiendo estos pasos.

Tenga en cuenta que el Editor de directivas de grupo solo está disponible en las ediciones Pro, Edu y Enterprise del sistema operativo Windows. Si está en la edición Home, siga nuestra guía para habilite gpedit en la edición de inicio de Windows.

Tenga en cuenta que si no configura su Política de grupo para la auditoría de inicio de sesión, solo podrá ver los intentos de inicio de sesión exitosos en el Visor de eventos.

Una vez que haya habilitado el Editor de directivas de grupo, siga estos pasos para habilitar la auditoría de inicio de sesión:

  1. Prensa Ganar + R abrir Correr.
  2. Tipo gpedit.msc y haga clic DE ACUERDO para abrir el Editor de directivas de grupo.
  3. A continuación, navegue hasta la siguiente ubicación:Configuracion de Computadora > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Política de auditoría
  4. En el panel derecho, haga clic derecho en Auditar eventos de inicio de sesión y seleccione Propiedades.
  5. En el Propiedades cuadro de diálogo, seleccione Éxito y Falla opciones bajo el Auditar estos intentos sección.
  6. Hacer clic Aplicar y DE ACUERDO para guardar los cambios.

Cierre el Editor de directivas de grupo y avance al siguiente conjunto de pasos para ver los intentos de inicio de sesión en el Visor de eventos.

Cómo ver los intentos de inicio de sesión fallidos y exitosos en el Visor de eventos

El Visor de eventos le permite ver los registros de Windows para la aplicación, la seguridad, el sistema y otros eventos. Si bien es una aplicación útil para solucionar problemas del sistema, puede usarla para auditar eventos de inicio de sesión en su PC con Windows.

Siga estos pasos para ver los intentos de inicio de sesión fallidos y exitosos en Windows:

  1. presione el Ganar clave y tipo visor de eventos. Alternativamente, haga clic en Buscar en la barra de tareas y escriba visor de eventos.
  2. Haga clic en Visor de eventos del resultado de la búsqueda para abrirlo.
  3. En el panel izquierdo, expanda el Registros de Windows sección.
  4. A continuación, seleccione Seguridad.
  5. En el panel derecho, busque el Evento 4624 entrada. Es un ID de evento de inicio de sesión de usuario y puede encontrar varias instancias de este ID en el registro de eventos.
  6. Para encontrar intentos fallidos de inicio de sesión, busque Identificador de evento 2625 entradas en su lugar.
  7. A continuación, seleccione el Evento 4624 entrada que desea ver y el Visor de eventos mostrará toda la información relacionada en la sección inferior. Alternativamente, haga clic derecho en la entrada del evento y seleccione Propiedades para ver información detallada en una nueva ventana.

Cómo descifrar las entradas de inicio de sesión en el Visor de eventos

Si bien el ID de evento 4624 está asociado con eventos de inicio de sesión, es probable que encuentre varias instancias de esta entrada cada pocos minutos en el registro. Esto se debe a que el Visor de eventos registra cada evento de inicio de sesión (ya sea de la cuenta de usuario local o de los servicios del sistema, como Seguridad de Windows) con el mismo ID de evento. (Evento 4624).

Para identificar la fuente de inicio de sesión, haga clic con el botón derecho en el registro del evento y seleccione Propiedades. En el General pestaña, desplácese hacia abajo y localice la Información de inicio de sesión sección. Aquí el Tipo de inicio de sesión El campo indica el tipo de inicio de sesión que se produjo.

Por ejemplo, Tipo de inicio de sesión 5 indica un inicio de sesión basado en un servicio, mientras que Tipo de inicio de sesión 2 indica el inicio de sesión basado en el usuario. Obtenga más información sobre los diferentes tipos de inicio de sesión en la siguiente tabla.

A continuación, desplácese hacia abajo hasta la Nuevo inicio de sesión sección y localice el ID de seguridad. Esto mostrará la cuenta de usuario afectada por el inicio de sesión.

Del mismo modo, para los intentos fallidos de inicio de sesión, revise Identificador de evento 4625. En el Propiedades cuadro de diálogo, puede encontrar los motivos del intento fallido de inicio de sesión y la cuenta de usuario afectada. Si encuentra varias instancias de intentos fallidos, considere aprender cómo limitar el número de intentos de inicio de sesión fallidos para proteger su PC con Windows.

A continuación se muestra la lista de los nueve Tipos de inicio de sesión para los eventos de inicio de sesión que puede encontrar al revisar los eventos de inicio de sesión en el Visor de eventos:

Tipo de inicio de sesión Descripción
Tipo de inicio de sesión 2 Un usuario local inició sesión en esta computadora.
Inicio de sesión tipo 3 Un usuario inició sesión en esta computadora desde la red.
Tipo de inicio de sesión 4 Tipo de inicio de sesión por lotes sin intervención del usuario: tareas programadas, etc.
Tipo de inicio de sesión 5 Inicio de sesión por servicio del sistema iniciado por Service Control Manager: tipo más común
Tipo de inicio de sesión 7 Sistema desbloqueado por un usuario de cuenta local
Tipo de inicio de sesión 8 NetworkClearText: intento de inicio de sesión en la red a la que se envió la contraseña como texto no cifrado.
Tipo de inicio de sesión 9 NewCredentials: se activa cuando un usuario usa el comando RunAs con la opción /netonly para iniciar un programa.
Tipo de inicio de sesión 10 RemoteInteractive: se genera cuando se accede a una computadora a través de una herramienta de acceso remoto, como Remote Desktop Connection.
Tipo de inicio de sesión 11 CachedInteractive: cuando el usuario inició sesión en la computadora a través de la consola usando las credenciales almacenadas en caché cuando el controlador de dominio no está disponible.

Cómo ver el último historial de inicio de sesión mediante el símbolo del sistema

Puede usar el símbolo del sistema para ver el último intento de inicio de sesión. Es una forma práctica de encontrar intentos de inicio de sesión basados ​​en el usuario sin tener que pasar por todos los eventos de inicio de sesión en el Visor de eventos.

Para ver el historial de inicio de sesión de un usuario específico mediante el símbolo del sistema:

  1. Prensa Ganar + R abrir Correr.
  2. Tipo cmd. Mientras sostiene el Ctrl + tecla Mayús, haga clic DE ACUERDO. Esto abrirá el Símbolo del sistema como administrador
  3. En la ventana del símbolo del sistema, escriba el siguiente comando y presione Entrar:administrador de usuarios de red | findstr /B /C:"último inicio de sesión"
  4. En el comando anterior, reemplace "administrador" con el nombre de usuario para ver su historial de inicio de sesión.
  5. El resultado mostrará la última hora y fecha de inicio de sesión para el usuario especificado.

Visualización de intentos de inicio de sesión fallidos y exitosos en Windows

Si sospecha que alguien ha iniciado sesión en su PC, es probable que el Visor de eventos detecte y registre el intento. Para que esto funcione, debe habilitar la política de Auditoría de inicio de sesión en el Editor de políticas de grupo. También puede usar el símbolo del sistema para ver el historial de inicio de sesión de un usuario específico.

Dicho esto, cualquier persona que conozca el Visor de eventos puede borrar fácilmente los registros. Entonces, en todo caso, reforzar la seguridad de su computadora con Windows es la mejor manera de evitar el acceso no autorizado. Puede comenzar limitando la cantidad de intentos de inicio de sesión fallidos en su PC con Windows.