Cómo habilitar la directiva GPO en dominio Windows que permite mostrar el mensaje con información del último inicio de sesión en el equipo: usuario, fecha, hora y, si ha habido fallos al introducir la contraseña, número de reintentos. En cumplimiento de la medida de seguridad del ENS op.acc.6 Acceso local (Se informará al usuario del último acceso efectuado con su identidad).

Obligación de mostrar información de último inicio de sesión en equipo.
Directiva de Windows Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario.
Añadir o editar directiva existente para mostrar información de inicio de sesión del usuario.

Obligación de mostrar información de último inicio de sesión en equipo

Para los sistema de categoría Media y Alta, hay que aplicar la medida de seguridad del Marco Operacional (op), Control de acceso (op.acc): [op.acc.6] Acceso local, que dice lo siguiente:

Se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organización. Estos accesos tendrán en cuenta el nivel de las dimensiones de seguridad:

Nivel BAJO

a) Se prevendrán ataques que puedan revelar información del sistema sin llegar a acceder al mismo. La información revelada a quien intenta acceder, debe ser la mínima imprescindible (los diálogos de acceso proporcionarán solamente la información indispensable).

b) El número de intentos permitidos será limitado, bloqueando la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos.

c) Se registrarán los accesos con éxito, y los fallidos.

d) El sistema informará al usuario de sus obligaciones inmediatamente después de obtener el acceso.

Nivel MEDIO

Se informará al usuario del último acceso efectuado con su identidad.

Nivel ALTO

a) El acceso estará limitado por horario, fechas y lugar desde donde se accede.

b) Se definirán aquellos puntos en los que el sistema requerirá una renovación de la autenticación del usuario, mediante identificación singular, no bastando con la sesión establecida.

Directiva de Windows Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario

Windows tiene una directiva específica que cumple con este requisito, llamada «Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario». Esta directiva indica lo siguiente:

Esta configuración de directiva controla si el sistema muestra información al usuario acerca de inicios de sesión y errores de inicio de sesión anteriores.

Para las cuentas de usuario locales y las cuentas de usuario de dominio en dominios de como mínimo un nivel funcional de Windows Server 2008, si habilita esta opción, aparecerá un mensaje después de que el usuario inicie una sesión que muestra la fecha y hora del último inicio de sesión correcto de dicho usuario, la fecha y hora del último intento de inicio de sesión incorrecto con ese nombre de usuario y el número de inicios de sesión incorrectos desde el último inicio de sesión correcto del usuario. El usuario debe leer este mensaje antes de que aparezca el escritorio de Microsoft Windows.

Para las cuentas de usuario de dominio de dominios de nivel funcional de Windows Server 2003, Windows 2000 nativo o Windows 2000 mixto, si habilita esta opción, aparecerá un mensaje de advertencia donde se indique que Windows no pudo recuperar la información y el usuario no podrá iniciar sesión. Por lo tanto, no debe habilitar esta configuración de directiva si el dominio no se encuentra en el nivel funcional de dominio de Windows Server 2008.

Si deshabilita o no establece esta configuración, no se mostrarán mensajes acerca del inicio de sesión o de los errores de inicio de sesión anteriores.

Añadir o editar directiva existente para mostrar información de inicio de sesión del usuario

Antes de continuar, conviene indicar que la directiva a añadir/editar, debe aplicarse tanto a los equipos de los usuarios como a los controladores de dominio, de lo contrario mostrará este error:

Las directivas de seguridad de este equipo están establecidas para mostrar información sobre el último inicio de sesión interactivo, pero Windows no pudo recuperar esta información. Para obtener ayuda, ponte en contacto con el administrador de red.

Añadir o editar directiva existente para mostrar información de inicio de sesión del usuario

Por lo tanto, o bien creamos una directiva única para este propósito y la vinculamos tanto a los equipos de los usuarios como a los controladores de dominio, o bien editamos la directiva por defecto que se aplica a todos los equipos del dominio, incluidos los controladores «Default Domain Policy». En nuestro caso optaremos por esta última opción.

Abriremos la Administración de directivas de grupo (gpmc.msc). Desplegaremos el árbol del dominio y pulsaremos con el botón derecho del ratón sobre la directiva «Default Domain Policy» [1]. En el menú emergente pulsaremos en «Editar…» [2]:

En el Editor de administración de directivas de grupo, desplegaremos «Configuración del equipo» [1], «Directivas» [2], «Plantillas administrativas: definiciones de directiva…» [3], «Componentes de Windows» [4]:

Pulsaremos en «Opciones de inicio de sesión de Windows» [1] y haremos doble clic en la directiva «Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario» [2]:

Marcaremos la opción «Habilitada» y pulsaremos «Aceptar»:

En este caso, dado que hemos modificado la directiva por defecto que se aplica a todos los equipos del dominio, no hace falta vincularla a unidades organizativas. Una vez modificada se aplicará directamente a todos los equipos/servidores del dominio.

En cuanto iniciemos sesión en un equipo, nos mostrará el mensaje:

En el caso anterior, al ser la primera vez desde que hemos habilitado la directiva, nos muestra: Es la primera vez que inicias sesión de forma interactiva en esta cuenta.

Si cerramos sesión y volvemos a entrar, ahora nos mostrará la fecha y hora de la última conexión exitosa:

Y si hemos cometido errores al introducir la contraseña, nos indicará el número de intentos hasta haber logrado el inicio de sesión correcto:

Con ello habremos aplicado la medida de seguridad op.acc.6 Acceso local: Se informará al usuario del último acceso efectuado con su identidad.

Sobre el autor

alonsojpd

Comentar Cancelar la respuesta

Sesión

Videotutoriales

Post foros

Respuestas foros

Descargas

Proyecto A Obtener Procesos WMI en CSharp de Visual Studio .NET

Ejercicios resueltos programación funcional y excepciones en Python

Ejercicios resueltos módulos, paquetes y Programación Orientada a Objetos en Python

Ejercicios resueltos áreas, máximo, mínimo, media, listas en Python

Código fuente Python y ejecutables Linux y Windows de script EstadoSitio.py

Wiki

Descarga de la IOS de Cisco para router C7200 c7200-advipservicesk9-mz.152-4.S5.bin

Descarga de la IOS de Cisco para router C3725 c3725-adventerprisek9-mz.124-25d.bin

Turbo Pascal 7.0

BDE Borland Database Engine 5.2

ProyectoA Envío email TLS SSL v.1.6.8.69 con código fuente completo en Delphi 6

Indy Internet Direct 10.0.52 source code para instalar en Delphi desde 4 a 8 .Net XE RAD Studio C++Builder

Driver/Controlador en formato ZIP con el XML y el VIB para VMware ESXi de NIC Realtek RTL8168

Proyecto y aplicación web en Django de Python de sitio web completo para eliminar modificar y crear contactos en BD MySQL MariaDB

AjpdSoft Generador y Lector códigos QR Código Fuente VB Net

Ejemplo contenido fichero my.ini de MySQL en instalación sobre Windows con AppServ en unidad D