você terá que fazer algumas experimentações para determinar a pegada exata com base na sua configuração de rede (ad / kreberos vs sam, bloqueio automático com protetor de tela, etc), mas procure por ID de registro de evento 4800 para indicar bloqueio e 4801/4803 / 4624 para desbloquear / logon.
Mpre info aqui: link