diff --git a/winserver/021-hardening.md b/winserver/021-hardening.md
index 8bccea1..6090503 100644
--- a/winserver/021-hardening.md
+++ b/winserver/021-hardening.md
@@ -2,7 +2,7 @@
 
 ## Password Policy
 
-A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
+A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain Policy > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
 
 ![password-policy](asset/img/password-policy.png)
 
@@ -21,3 +21,18 @@ Si possono configurare i seguenti parametri:
 - Durata del blocco
 
 ![account-lockout](asset/img/account-lockout.png)
+
+## Logon Events
+
+La registrazione degli eventi di logon consente di tracciare tutti i tentativi di accesso, sia riusciti che falliti, effettuati dagli utenti sui dispositivi del dominio. Tale funzionalità non è attiva per impostazione predefinita.
+
+Per abilitare la registrazione degli eventi di logon a livello di dominio, aprire `Group Policy Management` e creare una nuova policy applicabile all’intero dominio, allo stesso livello della *Default Domain Policy*. Da `Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy` abilitare:
+
+- Audit Logon Events
+- Audit Account Logon Events
+
+Per entrambe le voci, selezionare sia `Success` che `Failure`.
+
+Gli eventi generati saranno visibili in `Event Viewer`, nella sezione `Security`. Per filtrare gli eventi relativi ai logon, fare riferimento agli Event ID specifici riportati nell’immagine.
+
+![logon-events](asset/img/logon-events.png)
\ No newline at end of file
diff --git a/winserver/asset/img/logon-events.png b/winserver/asset/img/logon-events.png
new file mode 100644
index 0000000..09d96e6
Binary files /dev/null and b/winserver/asset/img/logon-events.png differ