Windows tiene una función útil que permite mostrar la información sobre el último intento de inicio de sesión interactivo directamente en la pantalla de bienvenida de Windows. Tiene este aspecto: cada vez que un usuario escribe la contraseña para iniciar sesión en el sistema, aparece la información sobre la fecha y la hora del último intento de inicio de sesión exitoso o fallido (así como el número de intentos de inicio de sesión fallidos). Si se ingresa una contraseña incorrecta al intentar iniciar sesión en el sistema (por ejemplo, en caso de un intento de acceso no autorizado), durante el próximo inicio del sistema, el usuario verá una notificación de un intento fallido de inicio de sesión.

En este artículo, consideraremos cómo mostrar la información sobre el último inicio de sesión interactivo en la pantalla de bienvenida de Windows. Esta función está disponible en todos los sistemas operativos Windows, a partir de Windows Vista, y para operar en el nivel de dominio requiere el nivel de dominio funcional de Windows Server 2008 o después. En esta versión, el esquema de Active Directory tiene varios atributos de usuario nuevos que contienen la información sobre los intentos de inicio de sesión interactivo.

  1. msDS-FailedInteractiveLogonCount es el número de intentos fallidos de inicio de sesión después de que se haya habilitado la política de recopilación de datos
  2. msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon es el número de intentos fallidos de inicio de sesión interactivo desde el último inicio de sesión correcto
  3. msDS-LastFailedInteractiveLogonTime es la hora del último intento fallido de inicio de sesión
  4. msDS-LastSuccessfulInteractiveLogonTime es la hora del último intento exitoso de iniciar sesión en la estación de trabajo

Los atributos especificados anteriormente, a diferencia de los atributos conocidos como lastLogon, lastLogontimeStamp, badPasswordTime y badPwdCount (apareció en Windows 2000), son replicados entre todos los controladores de dominio.

Nota. El atributo lastLogontimeStamp también se replica entre los países en desarrollo, pero no ocurre con mucha frecuencia, una vez en 9 a 14 días. El atributo sirve no solo para monitorear interactivamente los intentos de inicio de sesión, sino también para realizar un seguimiento del tiempo que una cuenta está inactiva.

Puede habilitar la visualización de la información sobre los intentos anteriores de iniciar sesión en el sistema utilizando la política de grupo. Para hacer esto, abra el Editor de administración de políticas de grupo local gpedit.msc (si necesita habilitar esta función en esta computadora para una cuenta local) o gpmc.msc (para crear o modificar una política de dominio) y vaya a Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Opciones de inicio de sesión de Windows. Nosotros necesitamos Mostrar información sobre inicios de sesión anteriores durante el inicio de sesión del usuario política.

Mostrar información sobre inicios de sesión anteriores durante la política de inicio de sesión del usuario

Para habilitar esta política, cambie su valor a Activado y guarde los cambios.

habilitar la política de información del último inicio de sesión

La política se habilitará en todas las computadoras que ejecutan Windows Vista o posterior. Windows XP y Windows Server 2003 ignoran esta política.

Ahora solo tiene que aplicar esta política a un equipo de destino.

  • Si se utiliza una política local, solo tendrá que ejecutar gpupdate / force e iniciar sesión en el sistema nuevamente (la política se aplica solo a las cuentas locales).
  • Si se utiliza el GPO de dominio, esta política debe aplicarse en primer lugar a todos los controladores de dominio. Una vez que se completa su replicación y se aplica a todos los controladores de dominio, puede asignar la política a un determinado contenedor de Active Directory.

Importante. La política Mostrar información sobre inicios de sesión anteriores durante el inicio de sesión del usuario debe aplicarse a los controladores de dominio para permitir la recopilación de estos datos en ellos (se completarán los atributos discutidos anteriormente). Si no lo hace, no puede iniciar sesión en los equipos en los que se aplica la política.

Consejo. Puede verificar si las políticas se aplican usando gpresult.

En el siguiente inicio de sesión después de ingresar la contraseña de la cuenta, aparece la siguiente notificación:
Successful sign-in. The last time you interactively signed in to this account was: …
Unsuccessful sign-in. There have been no unsuccessful interactive sign-in attempts with this account since your last interactive sign-in

Inicio de sesión correcto.  La última vez que accedió de forma interactiva a esta cuenta fue

Para continuar con el inicio de sesión, el usuario debe hacer clic en Aceptar (o presionar Intro).

En las PC locales sin el Editor de administración de políticas de grupo (Windows Home Editions), esta función se puede habilitar en el Editor del registro. Para hacerlo:

  1. Correr regedit.exe
  2. Ir HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
  3. Edite (o si no existe tal parámetro, créelo) el parámetro DWORD DisplayLastLogonInfo
  4. Para habilitar la visualización de la información sobre el último inicio de sesión, ingrese 1. Para deshabilitar esta función, ingrese 0.Política DisplayLastLogonInfo a través del registro

La función de monitorear el último inicio de sesión interactivo es conveniente para detectar intentos de ataque de contraseña en Active Directory, así como para cumplir con los requisitos reglamentarios y auditar al monitorear la fuente y la hora del intento de acceder a la cuenta de usuario.

Recomendado para ti