Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Glosario de Ciberseguridad Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosGuía práctica
Cómo verificar el historial de inicio de sesión de usuario de Active Directory

Cómo verificar el historial de inicio de sesión de usuario de Active Directory

Auditoría nativa vs. Netwrix Auditor for Active Directory

Netwrix Auditor for Active Directory

  1. Ejecute Netwrix Auditor → Vaya a “Informes” → Abra “Active Directory” → Acceda a “Actividad de inicio de sesión” → Dependiendo de los eventos de inicio de sesión que desee revisar, seleccione “Inicios de sesión exitosos”, "Inicios de sesión fallidos" o “Toda la actividad de inicio de sesión” → Haga clic en “Ver”.
  2. Revise el informe:
Image

Auditoría Nativa

Para habilitar la Auditoría de Inicio de Sesión en Active Directory, siga los pasos a continuación.

  1. En su controlador de dominio, ejecute la Consola de Administración de Directivas de Grupo (Presione Win+R -> Escriba “GPMC.exe” -> Haga clic en “Ejecutar”).
  2. Cree una nueva política y vincule este nuevo GPO a una unidad organizativa (OU) que contenga los ordenadores donde desee rastrear la actividad del usuario.
  3. Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de directivas de auditoría > Directivas de auditoría. Luego vaya a cada uno de los siguientes:
    • Sistema > Cambio de Estado de Seguridad de Auditoría — Establezca esto en “Éxito”.
    • Políticas de Auditoría > Inicio/Cierre de Sesión — Establezca tanto “Audit Logon” como “Audit Logoff” en “Éxito” y “Fallo”.
    • Políticas de Auditoría > Inicio/Cierre de Sesión > Auditoría — Establezca “Otros Eventos de Inicio/Cierre de Sesión” en “Éxito” y “Fallo”.

Para verificar el historial de inicio de sesión de usuario en Active Directory usando Powershell, sigue estos pasos:

  • Abra el PowerShell ISE como Administrador
  • Ejecute el siguiente script, ajustando el intervalo de tiempo:
      # Find DC list from Active Directory 
$DCs = Get-ADDomainController -Filter * 

# Define time for report (default is 1 day) 
$startDate = (get-date).AddDays(-1) 

# Store successful logon events from security logs with the specified dates and workstation/IP in an array 
foreach ($DC in $DCs){ 
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {($_.eventID -eq 4624) -or ($_.eventID -eq 4625) }}  

# Crawl through events; print all logon history with type, date/time, status, account name, computer, and IP address if the user logged on remotely 

 foreach ($e in $slogonevents){ 
   # Logon Successful Events 
   # Local (Logon Type 2) 
   if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){ 
     write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] 
   } 
   # Remote (Logon Type 10) 
   if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){ 
     write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18] 
   } 
    # Logon Failed Events 
   # Local (Logon Type 2) 
   if (($e.EventID -eq 4625 ) -and ($e.ReplacementStrings[8] -eq 2)){ 
     write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Failed`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] 
   } 
   # Remote (Logon Type 10) 
   if (($e.EventID -eq 4625 ) -and ($e.ReplacementStrings[8] -eq 10)){ 
     write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Failed`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18] 
}}
  • Revise los resultados:
Image
Image
Aprenda más sobre Netwrix Auditor for Active Directory

Obtenga el historial de inicio de sesión de usuario de Active Directory con o sin scripts de PowerShell

Cuando se investigan bloqueos de cuentas, accesos sospechosos o se realizan auditorías regulares de gestión de accesos, una de las primeras cosas que hacer es revisar la actividad del usuario. Los eventos de inicio de sesión a menudo pueden decirle el problema de inmediato y si el usuario está accediendo a los recursos apropiados. Para que estos datos estén disponibles, debe haber habilitado las políticas de auditoría apropiadas en los ordenadores de la red donde desea rastrear la actividad del usuario.

La auditoría de Active Directory almacena detalles del historial de inicio de sesión de usuarios en los registros de eventos de los controladores de dominio. Por lo tanto, la opción más directa para obtener los inicios de sesión de usuarios es filtrar todos los eventos de Seguridad en el Visor de Eventos de Windows y encontrar la cuenta de usuario objetivo y el tipo de inicio de sesión. En Windows Server 2008 hasta Windows Server 2016, el ID de evento para un evento de inicio de sesión de usuario es 4624. Estos eventos contienen datos sobre el usuario de Active Directory, la hora, la computadora y el tipo de inicio de sesión de usuario. Si necesitas saber el tiempo de la sesión de inicio de sesión, puedes vincular un evento con los ID de eventos de cierre de sesión 4634 y 4647 utilizando el ID de inicio de sesión (un número único entre reinicios que identifica la sesión de inicio de sesión).

Otra forma de obtener esta información con herramientas nativas es utilizando PowerShell. El script de PowerShell proporcionado arriba te permite obtener un informe del historial de inicio de sesión de un usuario sin tener que buscar manualmente a través de los registros de Windows. Ese script utiliza el comando principal para obtener los registros que es Get-EventLog. Sin embargo, ejecutar un script de PowerShell cada vez que necesites un informe del historial de inicio de sesión de un usuario puede ser molesto, ya que el tiempo de procesamiento puede ser considerable, incluso en entornos pequeños de AD.

Netwrix Auditor for Active Directory es una manera más sencilla de monitorear la actividad de los usuarios y fortalecer la seguridad de su Active Directory y los sistemas que dependen de AD. Con esta solución, puede obtener un informe detallado y claro del historial de inicio de sesión en Active Directory para un usuario específico o para todos los usuarios con solo unos clics. Incluso puede suscribirse a este informe, que se entregará automáticamente por correo electrónico de acuerdo con su horario específico. Esta plataforma de seguridad no se limita a la auditoría de inicio de sesión de usuarios; incluye una amplia gama de informes preconfigurados, alertas flexibles y una búsqueda interactiva al estilo de Google que le permiten investigar incidentes rápidamente y mejorar proactivamente la seguridad en su entorno de TI local, en la nube o híbrido.

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
Guía

Descargue la Encuesta SANS 2025 sobre la Gestión del Superficie de Ataque (ASM)

Data Security Posture Management
eBook

Netwrix reconocido por 4to año consecutivo en el Cuadrante Mágico de Gartner® para Privileged Access Management

Privileged Access Management