Solución:
El ID de evento de bloqueo es 4800 y el desbloqueo es 4801. Puede encontrarlos en los registros de seguridad. Probablemente tenga que activar su auditoría usando política de seguridad local (secpol.msc, Configuración de seguridad local en Windows XP) -> Políticas locales -> Política de auditoría. Para Windows 10, vea la imagen a continuación.
Pase a ver Descripción de los eventos de seguridad en Windows 7 y Windows Server 2008 R2 debajo Subcategoría: Otros eventos de inicio / cierre de sesión.
Deberá habilitar el registro de estos eventos. Hágalo abriendo el editor de políticas de grupo:
ejecutar -> gpedit.msc
y configurando la siguiente categoría:
Configuracion de Computadora ->
Configuración de Windows ->
Configuraciones de seguridad ->
Configuración avanzada de la política de auditoría ->
Políticas de auditoría del sistema: objeto de política de grupo local ->
Inicio / Cierre de sesión ->
Auditar otros eventos de inicio / cierre de sesión
(En el Explicar pestaña que dice “… le permite auditar … Bloquear y desbloquear una estación de trabajo”.)
Para las versiones más recientes de Windows (incluidos, entre otros, Windows 10 y Windows Server 2016), los ID de eventos son:
- 4800: la estación de trabajo estaba bloqueada.
- 4801: la estación de trabajo se desbloqueó.
Bloquear y desbloquear una estación de trabajo también implica los siguientes eventos de inicio y cierre de sesión:
- 4624: se inició sesión correctamente en una cuenta.
- 4634: se cerró la sesión de una cuenta.
- 4648: se intentó iniciar sesión con credenciales explícitas.
Cuando se utiliza una sesión de Servicios de Terminal Server, el bloqueo y el desbloqueo también pueden implicar los siguientes eventos si se desconecta la sesión, y el evento 4778 puede reemplazar al evento 4801:
- 4779: una sesión se desconectó de una estación de ventana.
- 4778: se volvió a conectar una sesión a una estación de ventana.
Los eventos 4800 y 4801 no se auditan de forma predeterminada y deben habilitarse mediante el Editor de políticas de grupo local (gpedit.msc
) o Política de seguridad local (secpol.msc
).
La ruta de la política que utiliza el Editor de políticas de grupo local es:
- Política de equipo local
- Configuracion de Computadora
- Configuración de Windows
- Configuraciones de seguridad
- Configuración avanzada de la política de auditoría
- Políticas de auditoría del sistema: objeto de política de grupo local
- Inicio / Cierre de sesión
- Auditar otros eventos de inicio / cierre de sesión
La ruta de la política que usa la Política de seguridad local es el siguiente subconjunto de la ruta del Editor de políticas de grupo local:
- Configuraciones de seguridad
- Configuración avanzada de la política de auditoría
- Políticas de auditoría del sistema: objeto de política de grupo local
- Inicio / Cierre de sesión
- Auditar otros eventos de inicio / cierre de sesión