Есть ПК с Windows 10 Enterprise, на котором был изменен пароль (локальный администратор). Пользователь сообщил, что у него нет пароля администратора. Просмотрщик событий указывает время и дату, когда, по-видимому, пароль был изменен, пока пользователь входил в ПК.
- Можно ли удаленно изменить пароль на его компьютере?
- Если этот пароль локального администратора был изменен из групповой политики, будет ли он по-прежнему указывать на то, что пользователь изменил его? Как средство просмотра событий будет регистрировать события, которые выполняются через групповую политику или запланированные задачи?
- Можно ли установить программное обеспечение удаленно с помощью таких инструментов, как psexec? Если оно установлено, как это будет отображено в средстве просмотра событий?
- Можно ли стереть файлы журналов удаленно от имени пользователя (другим человеком, который является администратором)?
В конечном итоге я не хочу, чтобы этого сотрудника уволили за неверную информацию, и как исследователь в области безопасности я пытаюсь определить, могут ли быть какие-либо дополнительные факторы, которые могли бы дать этому сотруднику «презумпцию невиновности», и найти способ, которым это нарушение было совершено без его ведома или явных действий.