Es gibt einen Windows 10 Enterprise-PC, dessen Kennwort geändert wurde (lokaler Administrator). Der Benutzer hat gemeldet, dass er das Administratorkennwort nicht hat. Die Ereignisanzeige gibt eine Uhrzeit und ein Datum an, bei denen das Kennwort anscheinend geändert wurde, während der Benutzer am PC angemeldet war.
- Könnte das Passwort per Fernzugriff auf seinem PC geändert werden?
- Wenn dieses lokale Administratorkennwort über die Gruppenrichtlinie geändert wurde, würde es dann immer noch anzeigen, dass der Benutzer es geändert hat? Wie würde die Ereignisanzeige Ereignisse aufzeichnen, die über die Gruppenrichtlinie oder geplante Aufgaben ausgeführt werden?
- Könnte Software mit Tools wie psexec remote installiert werden? Wenn sie installiert ist, wie wird dies in der Ereignisanzeige gemeldet?
- Können Protokolldateien als Benutzer (von einer anderen Person, die Administrator ist) aus der Ferne gelöscht werden?
Letztendlich möchte ich nicht, dass dieser Mitarbeiter aufgrund falscher Angaben entlassen wird. Als Sicherheitsforscher versuche ich herauszufinden, ob es weitere Faktoren gibt, die den „Vorteil des Zweifels“ für diesen Mitarbeiter bedeuten und einen Weg finden, wie dieser Verstoß ohne sein Wissen oder sein ausdrückliches Zutun begangen wurde.