パスワードが変更された Windows 10 Enterprise PC があります (ローカル管理者)。ユーザーは管理者パスワードを持っていないと報告しました。イベント ビューアーには、ユーザーが PC にログインしている間にパスワードが変更されたと思われる日時が指定されています。
- 彼のPCでパスワードをリモートで変更することは可能でしょうか?
- このローカル管理者パスワードがグループ ポリシーから変更された場合、ユーザーがパスワードを変更したことが示されますか? イベント ビューアーは、グループ ポリシーまたはスケジュールされたタスクによって実行されたイベントをどのように記録しますか?
- psexec などのツールを使用してソフトウェアをリモートでインストールできますか? インストールされた場合、イベント ビューアーではどのように報告されますか?
- ログ ファイルをユーザーとしてリモートで消去することはできますか (管理者である別のユーザーから)?
結局のところ、私はこの従業員が誤った情報のために解雇されることを望んでおらず、セキュリティ研究者として、この従業員に「疑わしい場合は有利に」判断できる追加要因があるかどうかを判断し、この侵害が彼の知らないうちに、または彼の明示的な行動なしに実行された方法を見つけようとしています。