Há um PC empresarial com Windows 10 cuja senha foi alterada (administrador local). O usuário relatou que não possui a senha de administrador. O visualizador de eventos especifica uma hora e data em que parece que a senha foi alterada enquanto o usuário estava conectado ao PC.
- A senha poderia ser alterada remotamente em seu PC?
- Se essa senha de administrador local fosse alterada na política de grupo, isso ainda indicaria que o usuário a alterou? Como o visualizador de eventos registraria eventos executados por meio de Política de Grupo ou tarefas agendadas?
- O software poderia ser instalado remotamente com ferramentas como o psexec? Se estiver instalado, como isso seria relatado no visualizador de eventos?
- Os arquivos de log podem ser apagados remotamente como usuário (de outra pessoa que seja administrador)?
Em última análise, não quero que este funcionário seja demitido por informações incorretas e, como pesquisador de segurança, estou tentando determinar se pode haver algum fator adicional que possa dar a esse funcionário o "benefício da dúvida" e encontrar uma maneira de que isso violação foi realizado sem seu conhecimento ou sua ação explícita.