비밀번호가 변경된 Windows 10 Enterprise PC가 있습니다(로컬 관리자). 사용자가 관리자 비밀번호가 없다고 신고했습니다. 이벤트 뷰어는 사용자가 PC에 로그인한 동안 비밀번호가 변경된 것으로 나타나는 시간과 날짜를 지정합니다.
- 그의 PC에서 비밀번호를 원격으로 변경할 수 있나요?
- 이 로컬 관리자 비밀번호가 그룹 정책에서 변경된 경우에도 사용자가 이를 변경했음을 나타냅니까? 이벤트 뷰어는 그룹 정책이나 예약된 작업을 통해 수행되는 이벤트를 어떻게 기록합니까?
- psexec와 같은 도구를 사용하여 소프트웨어를 원격으로 설치할 수 있습니까? 설치된 경우 이벤트 뷰어에 어떻게 보고됩니까?
- 사용자로서(관리자인 다른 사람으로부터) 로그 파일을 원격으로 지울 수 있습니까?
궁극적으로 저는 이 직원이 잘못된 정보로 인해 해고되는 것을 원하지 않으며 보안 연구원으로서 이 직원에게 "의심의 여지"를 줄 수 있는 추가 요소가 있는지 확인하고 이러한 위반이 발생할 수 있는 방법을 찾으려고 노력하고 있습니다. 그가 알지 못하거나 명시적인 조치 없이 수행되었습니다.