Cada vez que apagamos el PC e iniciamos una nueva sesión, el sistema se encargará de realizar un registro de este proceso, ya sea por temas de administración o seguridad. Por ello, hoy vamos a ver cómo verificar el historial de inicio de sesión de un usuario.
Si tenemos sospechas de que terceras personas hayan podido acceder a nuestro ordenador sin nuestro permiso, podemos averiguarlo a través de la herramienta del Visor de eventos. Y es que, por lo general, aunque no hayan dejado evidencias físicas, es posible que haber dejado huella a través de los registros de Windows 10 y Windows 11, por lo que podemos comprobarlo.
Y es que el sistema operativo de Microsoft cuenta con una serie de funciones que permiten monitorizar las auditorias que registran todo lo que sucede en el equipo, como errores, problemas de seguridad o los inicios de sesión que se realizan en él. Por ello, podremos tener acceso a un historial donde poder consultar con certeza las fechas, hora y usuario en la que un usuario ha accedido iniciando sesión.
Habilitar el seguimiento del historial
Por lo general esta directiva debe encontrare habilitada de manera predeterminada en nuestro ordenador con Windows 10 o Windows 11, si bien puede que haya casos donde no sea posible ver el historial de inicio se sesión de usuarios debido a que esta política se encuentra desactivada. Este problema se da especialmente en las versiones Pro de Windows, por lo que será necesario habilitarlo de manera manual.
Esta tarea debemos de llevarla a cabo desde el Editor de directivas de grupo local, a la cual podemos hacer pulsando el atajo de teclado Windows + R y escribiendo gpedit.msc. Por último, pulsamos Enter o el botón de Aceptar para confirmar la acción. Una vez nos aparezca en pantalla, de navegar hasta la siguiente ubicación
A continuación, hacemos doble clic sobre la entrada “Auditar eventos de inicio se sesión”. En la nueva ventana, dentro del apartado de Configuración de seguridad local debemos de marcar las casillas de “Correcto” y “Erróneo”. Por último, hacemos clic en Aplicar y posteriormente Aceptar para guardar los cambios introducidos. Una vez hecho esto, reiniciamos el sistema y ya podremos realizar un seguimiento del historial de inicio de sesión del usuario.
Comprobar el historial de inicio de sesión
La herramienta que utilizaremos para verificar el historial de inicio de sesión es el Visor de eventos, que se encuentra incluida de forma predeterminada en el sistema operativo de Microsoft. En ella se muestra un registro de mensajes del sistema y de la aplicación, incluidos, errores, mensajes de información y advertencias. Para acceder a ella, pulsamos el atajo de teclado “Windows + R” y se lanzará el comando Ejecutar. Aquí escribimos eventvwr.msc y hacemos clic en Aceptar.
Una vez hemos accedido debemos fijarnos en la columna de la izquierda donde debemos de expandir la opción de “Registros de Windows”. Dentro de las opciones que aparecen seleccionaremos “Seguridad”, de esta forma accederemos al “Historial de inicio de sesión”. Aquí veremos una lista de eventos en la parte superior. Estos se encuentran ordenador por fecha y hora. Vemos que también hay otras columnas como “Origen”, “Id. del evento” y “Categoría de la tarea”.
Localizar el evento
El apartado que nos interesa es del “Id. del evento”, en donde debemos de buscar las entradas con el número 4624 que corresponde con el inicio de sesión del usuario. En el caso de que veamos varios eventos con esa numeración quiere decir que se han producido diferentes inicios. Podemos conocer todo lo relativo a esta información haciendo clic en la pestaña de “Detalles” que encontramos en la parte inferior. Desde aquí podemos ver toda la información recogida sobre el inicio de sesión del usuario.
Este evento se va a encargar de registrar cada intento exitoso de inicio de sesión que se haya realizado en nuestro ordenador. En él, se incluye información crítica sobre el tipo de inicio de sesión (interactivo, por lotes, red o servicio), SID, nombre de usuario, información de red, entre otros detalles. Por ello, monitorizar este evento es fundamental, pues toda la información sobre el tipo de inicio de sesión no se encuentra en los controladores de dominio.
Aplicar filtros para los detalles
Es posible que si no estamos familiarizados con el visor de efectos nos encontremos con que existe demasiada información redundante, difícil de entender o simplemente nos colapse y nos sobrepase. Para evitar que esto nos ocurra, es posible poder aplicar filtros. De esta forma, como estamos interesados en el Id. 4624 relacionado con los inicios de sesión, podemos aplicar filtros de manera que podamos seguir de forma más cómoda la información que nos interesa.
Esto es algo que podemos realizar de forma sencilla desde el propio “Visor de eventos”. Para ello, nos fijamos en la columna de la derecha, denominada “Acciones”. Aquí, dentro del apartado de “Seguridad”, pulsamos sobre la opción “Crear vista personalizada”. Una vez hecho esto nos aparecerá una nueva ventana, donde debemos de marcar la casilla de “Por registro”. Justo al lado, en “Registros de eventos”, debemos dejar seleccionado “Seguridad”.
Justo debajo, debemos de sustituir la etiqueta de “Todos los id. de evento”, por el que nos interesa actualmente, que es el 4624. En la parte superior donde pone “Registrado”, podemos indicar el tiempo desde el que queremos realizar el filtrado. Puede ser en cualquier momento, o bien sustituirlo por la última hora, últimas 12 horas, últimas 24 horas, últimos 7 días o últimos 30 días. Incluso podremos establecer un intervalo personalizado, desde el primer evento al último, con el rango de fecha y hora que necesitemos. De esta forma podemos realizar una búsqueda más personalizada en una franja horaria y días.
Una vez terminado pulsamos el botón de “Aceptar”, lo cual provocará que aparezca una nueva ventana donde poder dar un nombre y una descripción para que podamos localizarla posteriormente sin dificultad. También podemos seleccionar dónde queremos que se guarde la vista personalizable, ya sea dentro del carpeta “Vistas personalizadas” o bien otra alternativa que nosotros creemos. Por último, pulsamos en Aceptar para guardar los cambios con el nuevo filtro creado.
A continuación, nos aparece el historial de registro con toda la información que hemos filtrado correspondiente a la id de evento que hemos seleccionado. Comprobamos que podemos ver todas las fechas y hora acerca de inicios de sesión producidos en el periodo seleccionado.