有一台 Windows 10 企業電腦的密碼已變更(本機管理員)。用戶報告說他們沒有管理員密碼。事件檢視器指定使用者登入 PC 時密碼發生變更的時間和日期。
- 可以在他的電腦上遠端更改密碼嗎?
- 如果從群組原則中變更了此本機管理員密碼,是否仍表示使用者變更了它?事件檢視器如何記錄透過群組原則或排程任務執行的事件?
- 可以使用 psexec 等工具遠端安裝軟體嗎?如果安裝了,事件檢視器中將如何報告?
- 可以以使用者身分(從另一個管理員)遠端擦除日誌檔案嗎?
最終,我不希望這名員工因不正確的信息而被解僱,作為一名安全研究人員,我正在嘗試確定是否存在任何其他因素可能會給該員工帶來“疑罪從無”,並找到一種方法來消除這種違規行為是在他不知情或沒有明確行動的情況下進行的。