Si encuentras algo que no entiendes nos puedes dejar un comentario y trataremos de ayudarte lo mas rápido que podamos.
Solución:
El ID de evento de bloqueo es 4800 y el de desbloqueo es 4801. Puede encontrarlos en los registros de seguridad. Probablemente tengas que activar su auditoría usando política de seguridad local (secpol.msc, Configuración de seguridad local en Windows XP) -> Políticas locales -> Política de auditoría. Para Windows 10, vea la imagen a continuación.
Pase a ver Descripción de eventos de seguridad en Windows 7 y en Windows Server 2008 R2 por debajo Subcategoría: Otros eventos de inicio/cierre de sesión.
Deberá habilitar el registro de estos eventos. Hazlo abriendo el editor de políticas de grupo:
ejecutar -> gpedit.msc
y configurando la siguiente categoría:
Configuracion de Computadora ->
Configuración de Windows ->
Configuraciones de seguridad ->
Configuración avanzada de políticas de auditoría ->
Políticas de auditoría del sistema: objeto de política de grupo local ->
Iniciar/Cerrar sesión ->
Auditar otros eventos de inicio/cierre de sesión
(En el Explique pestaña dice “… le permite auditar… Bloquear y desbloquear una estación de trabajo”).
Para las versiones más recientes de Windows (incluidos, entre otros, Windows 10 y Windows Server 2016), los ID de eventos son:
- 4800: la estación de trabajo estaba bloqueada.
- 4801: la estación de trabajo se desbloqueó.
El bloqueo y desbloqueo de una estación de trabajo también implica los siguientes eventos de inicio y cierre de sesión:
- 4624 – Se inició sesión correctamente en una cuenta.
- 4634 – Se cerró una cuenta.
- 4648: se intentó iniciar sesión con credenciales explícitas.
Al usar una sesión de Terminal Services, el bloqueo y desbloqueo también puede implicar los siguientes eventos si la sesión se desconecta, y el evento 4778 puede reemplazar al evento 4801:
- 4779 – Se desconectó una sesión de una estación de ventana.
- 4778 – Se volvió a conectar una sesión a una estación de ventana.
Los eventos 4800 y 4801 no se auditan de forma predeterminada y deben habilitarse mediante el Editor de políticas de grupo local (gpedit.msc
) o Política de seguridad local (secpol.msc
).
La ruta para la política que usa el Editor de políticas de grupo local es:
- Política informática local
- Configuracion de Computadora
- Configuración de Windows
- Configuraciones de seguridad
- Configuración avanzada de políticas de auditoría
- Políticas de auditoría del sistema: objeto de política de grupo local
- Iniciar/Cerrar sesión
- Auditar otros eventos de inicio/cierre de sesión
La ruta para la política que usa la Política de seguridad local es el siguiente subconjunto de la ruta para el Editor de políticas de grupo local:
- Configuraciones de seguridad
- Configuración avanzada de políticas de auditoría
- Políticas de auditoría del sistema: objeto de política de grupo local
- Iniciar/Cerrar sesión
- Auditar otros eventos de inicio/cierre de sesión
Te mostramos las comentarios y valoraciones de los usuarios
Si para ti ha sido provechoso este artículo, sería de mucha ayuda si lo compartes con más entusiastas de la programación de esta forma nos ayudas a difundir este contenido.