Tengo una instalación relativamente nueva de Windows 7 Professional de 64 bits con todos los parches aplicados. Estoy intentando probar los eventos de fallas de inicio de sesión para ver cómo se ven y cómo se verán en nuestra herramienta de administración de registros. Para probar, bloqueé la pantalla, ingresé una contraseña incorrecta (que, por supuesto, dio el mensaje de error) y luego inicié sesión correctamente. Luego revisé el visor de eventos y, para mi sorpresa, no había ningún evento de falla de inicio de sesión en los registros de seguridad, ¡pero sí tuvo varios eventos de inicio de sesión exitosos!
Editar: Lo siento, enviado accidentalmente. De todos modos, ¿alguien sabe por qué es así? No puedo encontrar nada ni en Sistema ni en Aplicación. Parece un gran descuido que los eventos de falla de inicio de sesión no se almacenen de forma predeterminada.
Además, aquí están los eventos que veo en orden cronológico y que están asociados con el inicio de sesión exitoso:
- Código: 4648 - Auditoría exitosa: se intentó iniciar sesión utilizando credenciales explícitas.
- Código: 4624 - Auditoría exitosa: se inició sesión correctamente en una cuenta.
- Código: 4624 - Auditoría exitosa: se inició sesión correctamente en una cuenta.
- Código: 4672 - Auditoría exitosa: privilegios especiales asignados al nuevo inicio de sesión.
- Código: 4634 - Auditoría exitosa: se cerró la sesión de una cuenta.
- Código: 4634 - Auditoría exitosa: se cerró la sesión de una cuenta.
Esos dos mensajes de "cuenta cerrada" tampoco tienen mucho sentido para mí, pero ocurren exactamente al mismo tiempo que los eventos de inicio de sesión...
Respuesta1
En el Editor de políticas de grupo:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
La configuración que está buscando es "Auditar eventos de inicio de sesión": puede configurarla para que inicie sesión correctamente o falle individualmente.