Detectando logon anônimo

Em outras palavras, sim, você pode fazer isso, mas não fora da caixa. Como mh declarou sua melhor aposta é script isso, ou use uma ferramenta para monitorar logs de eventos. Existem várias maneiras de fazer o que você quer.

Minha resposta aqui provavelmente fará o que você está procurando para com um pouco de modificação.

Basicamente, você pode instalar um script, executado como um serviço, para receber notificações quando novos eventos forem postados no log de eventos e atuar sobre esses eventos.

Meu script nessa resposta pode ser usado para monitorar eventos correspondentes a uma combinação de: log de eventos (Aplicativo, Segurança, Sistema, etc), ID do evento, categoria, tipo, usuário e uma correspondência de expressão regular na mensagem do evento. O script, como escrito lá, envia e-mails. Você poderia facilmente fazer uma outra coisa.

Depende de que tipo de alerta de sistema você deseja. Se você não é avesso a um pouco de codificação, pode escrever um Serviço do Windows que analise periodicamente esses logs e procure o que deseja, e então reaja de acordo. Você também pode usar algo como o MOM (ou o que quer que seja chamado nesta semana) ou um aplicativo similar de terceiros para fazer o trabalho para você. Uma terceira opção (e mais crua) seria usar o recurso de publicação de sistemas operacionais Windows mais recentes e ter uma janela de Gerenciamento do Computador (ou Log de Eventos) aberta em sua área de trabalho com uma exibição filtrada do log de segurança, acessando periodicamente a F5.

Se você estiver em um ambiente com vários sistemas operacionais e estiver disposto a trabalhar, poderá configurar o Windows para enviar seus logs via syslog para um servidor remoto (como um servidor Linux executando o syslog-ng) e, em seguida, executar uma ferramenta como SEC para manter um olho nos registros e notificá-lo quando um login anônimo (ou qualquer coisa ) acontece.