2024 Autor: Peter John Melton | [email protected]. Última modificación: 2024-01-31 06:11
Funcionalidad multiusuario en Windows nos ha permitido usarlo convenientemente en lugares públicos como escuelas, colegios, oficinas, etc. En estos lugares, generalmente hay un administrador, que se las arregla para vigilar las actividades de los usuarios que trabajan en ellos. A veces, los usuarios van más allá de sus límites y modifican las cuentas configuradas en el modo Grupo de trabajo. Esto puede tener repercusiones de seguridad, por lo que deberíamos configurar Windows para rastrear las actividades de los usuarios.
Al configurar Windows para monitorear las actividades de los usuarios, podemos aumentar la seguridad de la administración y también podemos castigar a los usuarios víctimas observando sus registros en caso de ofensa. En este artículo, le diremos la forma de realizar un seguimiento de las actividades de los usuarios en Windows 10 / 8.1 / 8/7 utilizando la política de auditoría. Aquí es cómo:
Seguimiento de la actividad del usuario utilizando la Política de Auditoría
1. prensa Tecla de Windows + R combinación, tipo put secpol.msc en correr cuadro de diálogo y golpe Entrar para abrir el política de seguridad local.
2. En el política de seguridad local ventana expandir Configuraciones de seguridad -> Políticas locales -> Politica de auditoria. Ahora debes tener tu ventana parecida a esta:
3. En el panel derecho, puedes ver 9 Auditoría… las políticas tienen Sin auditoria como predefinido configuración de seguridad. Haga clic una por una todas las políticas y haga la selección para Éxito y Fracaso, haga clic Aplicar seguido por DE ACUERDO para cada política.
Siga estos pasos para obtener los registros trazados:
Rastrear la actividad del usuario usando el Visor de eventos
1. prensa Tecla de Windows + R combinación, tipo put eventvwr en correr cuadro de diálogo y golpe Entrar para abrir el Visor de eventos.
2. Ahora en el Vista del eventoventana r, desde el panel izquierdo, seleccione Registros de Windows -> Seguridad. Aquí Windows guarda un registro de cada evento relacionado con la seguridad.
3. Desde el panel central, haga clic en cualquier evento para obtener su información:
1. Crear usuario: A continuación se muestran los ID de eventos que se registran cuando se crea el usuario.
- ID del evento: 4728 | Tipo: Éxito de la auditoría | Categoría: Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo global habilitado para seguridad.
- ID del evento: 4720 | Tipo: Éxito de la auditoría | Categoría: Gestión de cuentas de usuario | Descripción: Se creó una cuenta de usuario.
- ID del evento: 4722 | Tipo: Éxito de la auditoría | Categoría: Gestión de cuentas de usuario | Descripción: Se ha habilitado una cuenta de usuario.
- ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
- ID del evento: 4732 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo local habilitado para seguridad.
2. Borrar usuario: A continuación se muestran los ID de eventos que se registran cuando se elimina el usuario.
- ID del evento: 4733 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se eliminó un miembro de un grupo local habilitado para seguridad.
- ID del evento: 4729 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo global habilitado para seguridad.
- ID del evento: 4726 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se eliminó una cuenta de usuario.
3. Cuenta de usuario deshabilitada: A continuación se muestran los ID de eventos que se registran cuando el usuario está deshabilitado.
- ID del evento: 4725 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se deshabilitó una cuenta de usuario.
- ID del evento: 4738 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
4. Cuenta de usuario habilitada: A continuación se muestran los ID de eventos que se registran cuando el usuario está habilitado.
- ID del evento: 4722 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se ha habilitado una cuenta de usuario.
- ID del evento: 4738 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
5. Restablecimiento de contraseña de cuenta de usuario: A continuación se muestran los ID de eventos que se registran cuando se restablece la contraseña de la cuenta de usuario.
- ID del evento: 4738 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
- ID del evento: 4724 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se intentó restablecer la contraseña de una cuenta.
6. Perfil de cuenta de usuario Conjunto de rutas: A continuación se muestra el ID de evento que se registra cuando la ruta del perfil se establece para una cuenta de usuario.
ID del evento: 4738 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
7. Nombre de usuario de la cuenta: A continuación se muestran los ID de eventos que se registran cuando se cambia el nombre de la cuenta de usuario.
- ID del evento: 4781 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió el nombre de una cuenta.
- ID del evento: 4738 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.
8. Crear grupo local: A continuación se muestran los ID de eventos que se registran cuando se crea el Grupo local.
- ID del evento: 4731 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se creó un grupo local habilitado para seguridad
- ID del evento: 4735 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se cambió un grupo local habilitado para seguridad
9. Agregar usuario a grupo local: A continuación se muestra el ID de evento que se registra cuando el usuario se agrega al grupo local.
ID del evento: 4732 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo local habilitado para seguridad
10. Eliminar usuario del grupo local: A continuación se muestra el ID de evento que se registra cuando el usuario se elimina del grupo local.
ID del evento: 4733 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se eliminó un miembro de un grupo local habilitado para seguridad
11. Eliminar grupo local: A continuación se muestra el ID de evento que se registra cuando se elimina el grupo local.
ID del evento: 4734 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se eliminó un grupo local habilitado para seguridad
12. Renombrar Grupo Local: A continuación se muestran los ID de eventos que se registran cuando se cambia el nombre de Grupo local.
- ID del evento: 4781 | Tipo: Auditoria de exito | Categoría:Gestión de cuentas de usuario | Descripción: Se cambió el nombre de una cuenta
- ID del evento: 4735 | Tipo: Auditoria de exito | Categoría:Gestión de grupos de seguridad | Descripción: Se cambió un grupo local habilitado para seguridad
De esta manera, puedes rastrear a los usuarios con sus actividades. Este artículo es aplicable para Windows 10 / 8.1 en modo de grupo de trabajo. Para el dominio de Active Directory, el procedimiento será diferente.
Artículos Relacionados:
- Event Log Manager: software gratuito de gestión de registro de eventos
- Comandos WMI en Windows 10/8/7
- ¿Qué es AuditPol en Windows 10/8/7 y cómo habilitarlo?
- Monitorea tu computadora y documentos utilizando la Política de Grupo
- Consejos de administración de directivas de grupo para profesionales de TI en Windows
Recomendado:
Agregar un usuario a un grupo (o segundo grupo) en Linux
Cambiar el grupo al que está asociado un usuario es una tarea bastante fácil, pero no todos conocen los comandos, especialmente para agregar un usuario a un grupo secundario. Caminaremos a través de todos los escenarios por ti.
Cómo usar el Monitor de actividad en el Apple Watch para realizar un seguimiento de tu estado físico
Si tiene un nuevo Apple Watch, es posible que aún se esté acostumbrando al monitor de actividad y se pregunte de qué diablos se tratan todos esos círculos. Hoy queremos explicarle cómo usar y configurar el monitor de actividad de Apple Watch.
Cómo realizar un seguimiento de la actividad del firewall con el registro del firewall de Windows
En el proceso de filtrar el tráfico de Internet, todos los firewalls tienen algún tipo de función de registro que documenta cómo el firewall manejó varios tipos de tráfico. Estos registros pueden proporcionar información valiosa como direcciones IP de origen y destino, números de puertos y protocolos. También puede usar el archivo de registro del Firewall de Windows para monitorear las conexiones TCP y UDP y los paquetes bloqueados por el firewall.
Cómo comenzar a realizar un seguimiento del análisis de redes sociales con herramientas gratuitas
Si está buscando comenzar con el análisis de redes sociales, encontrar un servicio que le permita tener una idea de cómo funciona sin tener que pagar una tarifa mensual puede ser un desafío. Aquí hay algunas opciones para empezar.
Habilitar cuenta de administrador local para Windows en modo de grupo de trabajo
¿Cuenta de administrador local desactivada? Aprenda cómo habilitar la cuenta de administrador local incorporada para el modo Grupo de trabajo en Windows 10 / 8.1 / 8.