Cómo realizar un seguimiento de la actividad del usuario en el modo de grupo de trabajo en Windows 10/8/7

Funcionalidad multiusuario en Windows nos ha permitido usarlo convenientemente en lugares públicos como escuelas, colegios, oficinas, etc. En estos lugares, generalmente hay un administrador, que se las arregla para vigilar las actividades de los usuarios que trabajan en ellos. A veces, los usuarios van más allá de sus límites y modifican las cuentas configuradas en el modo Grupo de trabajo. Esto puede tener repercusiones de seguridad, por lo que deberíamos configurar Windows para rastrear las actividades de los usuarios.

Al configurar Windows para monitorear las actividades de los usuarios, podemos aumentar la seguridad de la administración y también podemos castigar a los usuarios víctimas observando sus registros en caso de ofensa. En este artículo, le diremos la forma de realizar un seguimiento de las actividades de los usuarios en Windows 10 / 8.1 / 8/7 utilizando la política de auditoría. Aquí es cómo:

Seguimiento de la actividad del usuario utilizando la Política de Auditoría

1. prensa Tecla de Windows + R combinación, tipo put secpol.msc en correr cuadro de diálogo y golpe Entrar para abrir el política de seguridad local.

2. En el política de seguridad local ventana expandir Configuraciones de seguridad -> Políticas locales -> Politica de auditoria. Ahora debes tener tu ventana parecida a esta:

3. En el panel derecho, puedes ver 9 Auditoría ... [] las políticas tienen Sin auditoria como predefinido configuración de seguridad. Haga clic una por una todas las políticas y haga la selección para Éxito y Fracaso, hacer clic Aplicar seguido por DE ACUERDO para cada politica.

De esta manera, habremos configurado Windows para rastrear la actividad del usuario..

Siga estos pasos para obtener los registros trazados:

Rastrear la actividad del usuario usando el Visor de eventos

1. prensa Tecla de Windows + R combinación, tipo put eventvwr en correr cuadro de diálogo y golpe Entrar para abrir el Visor de eventos.

2. Ahora en el Vista del eventoventana r, desde el panel izquierdo, seleccione Registros de Windows -> Seguridad. Aquí Windows guarda un registro de cada evento relacionado con la seguridad..

3. Desde el panel central, haga clic en cualquier evento para obtener su información:

Ahora, aquí está la lista de los ID de eventos que cubren las actividades del usuario para las cuentas en el modo de grupo de trabajo:

1. Crear usuario : A continuación se muestran los ID de eventos que se registran cuando se crea el usuario.

• ID del evento: 4728 | Tipo: Éxito de la auditoría | Categoría: Gestión de grupos de seguridad | Descripción: Un miembro se agregó a un grupo global habilitado para seguridad.

• ID del evento: 4720 | Tipo: Éxito de la auditoría | Categoría: Gestión de cuentas de usuario | Descripción: Se creó una cuenta de usuario..

• ID del evento: 4722 | Tipo: Éxito de la auditoría | Categoría: Gestión de cuentas de usuario | Descripción: Una cuenta de usuario fue habilitada.

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

• ID del evento: 4732 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo local habilitado para seguridad.

2. Borrar usuario : A continuación se muestran los ID de eventos que se registran cuando se elimina el usuario.

• ID del evento: 4733 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se eliminó un miembro de un grupo local habilitado para seguridad.

• ID del evento: 4729 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Un miembro se agregó a un grupo global habilitado para seguridad.

• ID del evento: 4726 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se eliminó una cuenta de usuario.

3. Cuenta de usuario deshabilitada: A continuación se muestran los ID de eventos que se registran cuando el usuario está deshabilitado.

• ID del evento: 4725 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Una cuenta de usuario fue deshabilitada.

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

4. Cuenta de usuario habilitada: A continuación se muestran los ID de eventos que se registran cuando el usuario está habilitado.

• ID del evento: 4722 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Una cuenta de usuario fue habilitada.

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

5. Restablecimiento de contraseña de cuenta de usuario: A continuación se muestran los ID de eventos que se registran cuando se restablece la contraseña de la cuenta de usuario.

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

• ID del evento: 4724 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se intentó restablecer la contraseña de una cuenta.

6. Perfil de cuenta de usuario Conjunto de rutas: A continuación se muestra el ID de evento que se registra cuando la ruta del perfil se configura para una cuenta de usuario.

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

7. Nombre de usuario de la cuenta: A continuación se muestran los ID de eventos que se registran cuando se cambia el nombre de la cuenta de usuario.

• ID del evento: 4781 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió el nombre de una cuenta..

• ID del evento: 4738 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió una cuenta de usuario.

8. Crear grupo local: A continuación se muestran los ID de eventos que se registran cuando se crea el Grupo local.

• ID del evento: 4731 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se creó un grupo local habilitado para seguridad.

• ID del evento: 4735 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se ha cambiado un grupo local habilitado para seguridad.

9. Añadir usuario a grupo local: A continuación se muestra el ID de evento que se registra cuando el usuario se agrega al grupo Local.

• ID del evento: 4732 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se agregó un miembro a un grupo local habilitado para seguridad

10. Eliminar usuario del grupo local: A continuación se muestra el ID de evento que se registra cuando el usuario se elimina del grupo Local.

• ID del evento: 4733 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se eliminó un miembro de un grupo local habilitado para seguridad

11. Eliminar grupo local: A continuación se muestra el ID de evento que se registra cuando se elimina el grupo local.

• ID del evento: 4734 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se eliminó un grupo local habilitado para seguridad

12. Renombrar Grupo Local: A continuación se muestran los ID de eventos que se registran cuando se cambia el nombre de Grupo local.

• ID del evento: 4781 | Tipo: Auditoria de exito | Categoría: Gestión de cuentas de usuario | Descripción: Se cambió el nombre de una cuenta

• ID del evento: 4735 | Tipo: Auditoria de exito | Categoría: Gestión de grupos de seguridad | Descripción: Se ha cambiado un grupo local habilitado para seguridad.

De esta manera, puedes rastrear a los usuarios con sus actividades. Este artículo es aplicable para Windows 10 / 8.1 en modo de grupo de trabajo. Para Active Directory Domain, el procedimiento será diferente.