基本上就是标题。我想知道是否有可靠的方法来查看 PC 是否在某个时间启动了不同的操作系统。我们的会计部门有几台 Windows PC,今天早上我注意到其中一台 PC 略有不同,好像有人访问了后面的端口,除了它已打开电源之外。我怀疑我们的一名员工启动了实时 Linux(可能是为了绕过 Windows 日志记录或用户权限等)并将数据复制到外部驱动器上。有什么方法可以检查这一点吗?也许是某种 UEFI 日志之类的东西?如果可能的话,最好是远程的。
Windows 事件日志没有显示任何内容,除了半夜启动和关机,以及今天早上另一次启动,大约 4 小时后(但仍在公司下班时间)。
答案1
系统固件通常不会记录此类内容,Windows 本身当然也不能记录(因为当时它没有运行)。
如果确实使用了不同的操作系统,则您的网络 DHCP 服务器日志中可能会包含有关在 Windows 应关闭期间向计算机发出租约的条目,甚至可能“主机名”字段包含意外名称。(假设此人在执行此操作时没有断开以太网电缆。)
但你不应该关注启动不同操作系统的具体情况——如果有人可以通过这种方式物理访问计算机,那么他们也可以拔出整个硬盘并使用另一台计算机读取数据而无需离开任何任何数字痕迹。
因此,如果数据敏感到值得担心,那么部署全盘加密(例如 BitLocker+TPM)应该是您的首要任务;寻找检测不同操作系统的方法是次要的。