Sí. El registro de eventos de Windows ( eventvwr.msc
) en la máquina local mostrará el inicio de sesión en el registro de seguridad.
Por ejemplo, los detalles del evento podrían verse así:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 23/03/2015 13:08:55
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: POLYBOX
Description:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: POLYBOX$
Account Domain: WORKGROUP
Logon ID: 0x3e7
Logon Type: 7
New Logon:
Security ID: POLYBOX\polynomial
Account Name: polynomial
Account Domain: POLYBOX
Logon ID: 0x55539572
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x2f4
Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: POLYBOX
Source Network Address: 10.0.99.11
Source Port: 12345
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Alternativamente, auditoría de seguridad se puede configurar para monitorear el acceso de objetos asegurables (archivos , claves de registro, servicios, procesos, usuarios, grupos, etc.) y proporciona una lista completa de los cambios realizados.