Si quieres estar seguro y comprobar si alguien ha usado tu ordenador Windows 10, 8, 7. Y comprobar archivos y programas usados... atención a este tutorial.
Una de las principales preocupaciones que diariamente pasan por nuestra cabeza es cómo proteger los archivos y el acceso al equipo, esto debido a que en ocasiones nos vamos a algún sitio y no bloqueamos nuestro equipo o simplemente ingresan de manera no autorizada a nuestro equipo y, aunque sospechamos de algún uso indebido, no tenemos evidencia de ello.
Lo mejor sería realizar una auditoría forense , pero es más complicado y requiere ser experto de Seguridad IT .
Hoy vamos a revisar algunas opciones que tenemos para verificar si alguien ha ingresado al equipo y realizado alguna actividad no autorizada. Todo esto no siendo nada complicado y al alcance de cualquiera que desee comprobar estos detalles.
1. Verificación del visor de eventos en Windows 10
Como sabemos el visor de eventos registra y almacena todos los sucesos que han acontecido en el sistema en todo momento, desde allí podemos validar quién ha ingresado, que cambios ha realizado o cualquier otra modificación al sistema.
Para ingresar al visor de eventos podemos hacerlo de dos maneras:
Accedemos al menú Inicio / Todas las aplicaciones / Herramientas administrativas y allí elegimos Visor de eventos.Desde el comando Ejecutar (Combinación de teclas
+ R) e ingresamos el término: eventvwr.msc
Se desplegará la siguiente ventana:
Allí desplegaremos las opciones de la línea Registros de Windows ubicada en el costado izquierdo y elegimos la opción Seguridad.
Desde allí podemos elegir cualquier registro y ver la información correspondiente al mismo, tal como fecha y hora del inicio de sesión, usuario, etc.
Uno de los ID que podemos prestar mayor atención es el ID 4672 “Inicio de sesión especial” y allí podemos abrir el registro y junto al campo Nombre de cuenta podemos ver que usuario ha accedido al equipo.
2. Ver los elementos recientes en Windows 10
Otra de las opciones con las que contamos para verificar si alguien ha usado nuestro equipo Windows 10 es ver la lista de elementos recientes.
En dicha carpeta encontramos todas las últimas actividades que se han procesado en el equipo. Esta opción está habilitada hasta Windows 7 usando el menú Inicio y seleccionando la opciónElementos recientes.
En entornos Windows 10 no encontraremos esta opción disponible por lo cual vamos a realizar el siguiente proceso:
Veremos la ventana del editor de Registro.
Allí vamos a ir a la siguiente ruta:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
Allí daremos clic derecho sobre System y seleccionamos Nuevo / Valor de DWORD (32 bits).
En la ventana desplegada ingresaremos el nombre DisplayLastLogonInfo. Pulsamos doble clic sobre el registro y modificaremos el valor en 1.
Pulsamos Aceptar para guardar los cambios y de ahora en adelante cada vez que se inicie sesión se desplegará la información del último usuario que ha iniciado sesión.
Usando estos métodos podemos validar y verificar quien o quienes han ingresado al equipo y realizado algún cambio.
Si quieres más información de esta última forma para conocer quien se logó y hora en el login de Windows 10, además de cómo implementarlo vía GPO para muchos equipos, revisa este tutorial.
Ver último inicio sesión GPO
Una de las principales preocupaciones que diariamente pasan por nuestra cabeza es cómo proteger los archivos y el acceso al equipo, esto debido a que en ocasiones nos vamos a algún sitio y no bloqueamos nuestro equipo o simplemente ingresan de manera no autorizada a nuestro equipo y, aunque sospechamos de algún uso indebido, no tenemos evidencia de ello.
Lo mejor sería realizar una auditoría forense , pero es más complicado y requiere ser experto de Seguridad IT .
Hoy vamos a revisar algunas opciones que tenemos para verificar si alguien ha ingresado al equipo y realizado alguna actividad no autorizada. Todo esto no siendo nada complicado y al alcance de cualquiera que desee comprobar estos detalles.
1. Verificación del visor de eventos en Windows 10
Como sabemos el visor de eventos registra y almacena todos los sucesos que han acontecido en el sistema en todo momento, desde allí podemos validar quién ha ingresado, que cambios ha realizado o cualquier otra modificación al sistema.
Para ingresar al visor de eventos podemos hacerlo de dos maneras:
Accedemos al menú Inicio / Todas las aplicaciones / Herramientas administrativas y allí elegimos Visor de eventos.Desde el comando Ejecutar (Combinación de teclas
+ R) e ingresamos el término: eventvwr.msc
Se desplegará la siguiente ventana:
Allí podemos filtrar los eventos debido a la cantidad de registros, para ello podemos usar la opción Filtrar registro actual y especificar el ID 4624 el cual hace referencia a los inicios de sesión.
Uno de los ID que podemos prestar mayor atención es el ID 4672 “Inicio de sesión especial” y allí podemos abrir el registro y junto al campo Nombre de cuenta podemos ver que usuario ha accedido al equipo.
2. Ver los elementos recientes en Windows 10
Otra de las opciones con las que contamos para verificar si alguien ha usado nuestro equipo Windows 10 es ver la lista de elementos recientes.
En dicha carpeta encontramos todas las últimas actividades que se han procesado en el equipo. Esta opción está habilitada hasta Windows 7 usando el menú Inicio y seleccionando la opciónElementos recientes.
En entornos Windows 10 no encontraremos esta opción disponible por lo cual vamos a realizar el siguiente proceso:
Abrimos el comando Ejecutar e ingresaremos el siguiente comando:
Shell:Recent
Pulsamos Aceptar o Enter y veremos la siguiente ventana:
Allí podemos revisar que archivos han sido modificados en nuestra ausencia. Recordar que también es posible ver los archivos recientes abiertos no sólo ahí de forma general, sino dentro de cada una de las aplicaciones en la parte de recientes, como puede ser Word, Excel etc.
3. Verificar últimos inicios de sesión usando el editor de registros
Una de las opciones con las cuales contamos es editando un valor en el editor de registros que nos permitirá ver que usuarios han iniciado sesión en nuestros equipos con Windows 10.
Para ello abriremos el editor ingresando el siguiente término desde el comando Ejecutar: REGEDIT
3. Verificar últimos inicios de sesión usando el editor de registros
Una de las opciones con las cuales contamos es editando un valor en el editor de registros que nos permitirá ver que usuarios han iniciado sesión en nuestros equipos con Windows 10.
Para ello abriremos el editor ingresando el siguiente término desde el comando Ejecutar: REGEDIT
Veremos la ventana del editor de Registro.
Allí vamos a ir a la siguiente ruta:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
Allí daremos clic derecho sobre System y seleccionamos Nuevo / Valor de DWORD (32 bits).
En la ventana desplegada ingresaremos el nombre DisplayLastLogonInfo. Pulsamos doble clic sobre el registro y modificaremos el valor en 1.
Pulsamos Aceptar para guardar los cambios y de ahora en adelante cada vez que se inicie sesión se desplegará la información del último usuario que ha iniciado sesión.
Usando estos métodos podemos validar y verificar quien o quienes han ingresado al equipo y realizado algún cambio.
Si quieres más información de esta última forma para conocer quien se logó y hora en el login de Windows 10, además de cómo implementarlo vía GPO para muchos equipos, revisa este tutorial.
Ver último inicio sesión GPO