Você pode ir para o Painel de controle > Ferramentas Administrativas > Política de segurança local.
De lá, você deseja políticas locais > Política de Auditoria.
Aqui, você pode definir a auditoria para todos os tipos de eventos. Eu acredito que o que você quer é "eventos de logon de auditoria", defina a falha (ou sucesso, bem como se você quiser).
Todos os eventos agora serão enviados para o Visualizador de Eventos.
Não existe uma maneira fácil de executar um script em caso de falha devido ao fato de que o usuário nunca efetuou logon, mas colocará uma entrada no Visualizador de Eventos em Segurança.
Você pode escrever um programa ou um script que é executado como sistema e verifica o log a cada x segundos para fazer o que quiser em caso de falha - mas não acho que seja fácil.