Saltar al contenido

Eventviewer eventid para bloquear y desbloquear

Solución:

El ID de evento de bloqueo es 4800 y el desbloqueo es 4801. Puede encontrarlos en los registros de seguridad. Probablemente tenga que activar su auditoría usando política de seguridad local (secpol.msc, Configuración de seguridad local en Windows XP) -> Políticas locales -> Política de auditoría. Para Windows 10, vea la imagen a continuación.

Pase a ver Descripción de los eventos de seguridad en Windows 7 y Windows Server 2008 R2 debajo Subcategoría: Otros eventos de inicio / cierre de sesión.

Otros eventos de inicio / cierre de sesión en Windows 10

Deberá habilitar el registro de estos eventos. Hágalo abriendo el editor de políticas de grupo:

ejecutar -> gpedit.msc

y configurando la siguiente categoría:

Configuracion de Computadora ->
Configuración de Windows ->
Configuraciones de seguridad ->
Configuración avanzada de la política de auditoría ->
Políticas de auditoría del sistema: objeto de política de grupo local ->
Inicio / Cierre de sesión ->
Auditar otros eventos de inicio / cierre de sesión

(En el Explicar pestaña que dice “… le permite auditar … Bloquear y desbloquear una estación de trabajo”.)

Para las versiones más recientes de Windows (incluidos, entre otros, Windows 10 y Windows Server 2016), los ID de eventos son:

  • 4800: la estación de trabajo estaba bloqueada.
  • 4801: la estación de trabajo se desbloqueó.

Bloquear y desbloquear una estación de trabajo también implica los siguientes eventos de inicio y cierre de sesión:

  • 4624: se inició sesión correctamente en una cuenta.
  • 4634: se cerró la sesión de una cuenta.
  • 4648: se intentó iniciar sesión con credenciales explícitas.

Cuando se utiliza una sesión de Servicios de Terminal Server, el bloqueo y el desbloqueo también pueden implicar los siguientes eventos si se desconecta la sesión, y el evento 4778 puede reemplazar al evento 4801:

  • 4779: una sesión se desconectó de una estación de ventana.
  • 4778: se volvió a conectar una sesión a una estación de ventana.

Los eventos 4800 y 4801 no se auditan de forma predeterminada y deben habilitarse mediante el Editor de políticas de grupo local (gpedit.msc) o Política de seguridad local (secpol.msc).

La ruta de la política que utiliza el Editor de políticas de grupo local es:

  • Política de equipo local
  • Configuracion de Computadora
  • Configuración de Windows
  • Configuraciones de seguridad
  • Configuración avanzada de la política de auditoría
  • Políticas de auditoría del sistema: objeto de política de grupo local
  • Inicio / Cierre de sesión
  • Auditar otros eventos de inicio / cierre de sesión

La ruta de la política que usa la Política de seguridad local es el siguiente subconjunto de la ruta del Editor de políticas de grupo local:

  • Configuraciones de seguridad
  • Configuración avanzada de la política de auditoría
  • Políticas de auditoría del sistema: objeto de política de grupo local
  • Inicio / Cierre de sesión
  • Auditar otros eventos de inicio / cierre de sesión
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *