La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina
Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada
Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña
Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores
Resalto un detalle que nombré anteriormente, sólo para inicios de sesión desde el teclado, no para inicios de sesión por red tanto sea para el acceso a recursos compartidos como por Escritorio Remoto
Utilizaré sólo una máquina, un Controlador de Dominio (dc1.ad.guillermod.com.ar)
Como aplicaré la configuración a los Controladores de Dominio, y para varios si los tuviera, crearé y enlazaré una GPO a la Unidad Organizativa “Domain Controllers” como muestran las siguientes capturas de pantalla
Debemos editar: “Computer Configuration / Policies / Administrative Templates / Windows Components / Windows Logon Options” y habilitar “Display information about previous logons during user logons”
Forzamos la aplicación de GPOs para no tener que esperar
Y ahora cerramos la sesión, e iniciamos nuevamente. Esta primera vez, luego de ingresar usuario y contraseña sólo nos avisará que es la primera vez
Pero para las siguientes veces que se incie sesión ya mostrará cuándo fue el último inicio de sesión exitoso
Cerramos sesión e intentamos ahora iniciar sesión con una contraseña incorrecta simulando que alguien desconocido está intentando inciar sesión y tratando de adivinar la contraseña. Yo lo he hecho dos veces
Ahora cuando incie sesión correctamente mostrará que hubo varios intentos de acceso incorrecto. Además para que sea más fácil de reconocer lo hace en letra color amarillo
Hay que tener en cuenta que luego de mostrar el mensaje anterior, todo vuelve a la normalidad, y que en el próximo inicio de sesión ya no mostrará la advertencia nuevamente
Por supuesto que esto no es una auditoría de seguridad, pero considero que es una forma muy simple de saber si alguien ha estado tratando de ingresar a una máquina que no debía
WindowServer 
Comentarios
Una pena que no considere los inicios de sesión por red que son los mas probables de intentos no autorizados
Para eso no queda más que mirar auditoría de seguridad
Buenas tardes Guillermo,
he implementado muchas cosas gracias a tu blog, pero he buscado y no encuentro sobre SSO(inicio de sesion unico) y sincronizacio del AD con office 365. tienes alguna informacion de como implementarla step by step asi como para tontos jejeje. Gracias!
No, no he hecho nada ni tengo pensado hacer sobre Office 365