Hay una PC con Windows 10 Enterprise cuya contraseña se cambió (administrador local). El usuario informó que no tiene la contraseña de administrador. El visor de eventos especifica una hora y fecha en las que parece que se cambió la contraseña mientras el usuario iniciaba sesión en la PC.
- ¿Se podría cambiar la contraseña de forma remota en su PC?
- Si esta contraseña de administrador local se cambiara desde la política de grupo, ¿aún indicaría que el usuario la cambió? ¿Cómo registraría el visor de eventos los eventos que se realizan a través de la política de grupo o tareas programadas?
- ¿Se podría instalar software de forma remota con herramientas como psexec? Si está instalado, ¿cómo se informaría en el visor de eventos?
- ¿Se podrían borrar los archivos de registro de forma remota como usuario (de otra persona que sea administrador)?
En última instancia, no quiero que despidan a este empleado por información incorrecta y, como investigador de seguridad, estoy tratando de determinar si podría haber factores adicionales que podrían darle a este empleado el "beneficio de la duda" y encontrar una manera de solucionar esta infracción. se realizó sin su conocimiento o sin su acción explícita.