我不希望用户能够更改系统时间。为此,我已将组策略“更改系统时间”设置为仅包含我的管理员帐户。我想知道此措施的有效性。是否有任何方法,尽管进行了此检查,但用户仍可以使用我不知道的某些变通方法更改系统时间?
答案1
组策略设置起作用,因为它执行了它所说的功能,但是您询问是否存在任何解决方法?
首先,在更改“更改系统时间”策略时,您可能无意中阻止了 Windows Time 执行其工作,因此您可能需要检查事件日志中是否出现任何 w32tm 错误,因为“管理员”组或“本地服务”帐户不再具有更改时间的能力。Windows Time(NTP 客户端)确实希望定期更改系统时间。
任何试图在 Windows 中更改系统时间的行为都会根据SeSystemtimePrivilege用户权限进行检查。无论您使用 w32tm.exe、date.exe、time.exe 等,该进程都会继承调用该程序的用户的安全令牌,如果该进程没有,Windows 将拒绝时间更改请求SeSystemtimePrivilege。
其次,您无法阻止管理员成为管理员。因此,只要我在计算机上有管理会话,我就可以随意绕过和/或修改该计算机上的安全策略,以便我可以再次更改时钟。
如果我完全有对机器的物理访问权限,那么我将从 USB 启动它并使自己成为管理员(或创建一个新的本地帐户并将其添加到管理员组),然后我将正常重新启动并使用新的管理员帐户登录,此时我将能够禁用组策略,按照我的意愿修改本地安全策略,然后我将能够更改系统时间(以及许多其他操作)。
IT 部门将采取进一步的措施来防止像我这样的人进行此类篡改,包括 BIOS 密码、Bitlocker、Sophos Safeguard 等。这些措施可以阻止我(但可能不是比我更聪明/更坚定的人)篡改系统,即使我有物理访问权限。
但即使像 Bitlocker 这样的东西也有局限性。我可以启动系统,用压缩空气/氮气冻结 RAM,将其移植到另一个系统进行转储,然后找到密钥,以便解密驱动器。然后从第 1 步开始。
这个故事的寓意是,如果其他人可以物理访问您的计算机,那么它就不再是您的计算机了。
现在,如果你谈论的是一个只能远程登录的系统,情况就会有所改变。我基本上需要回退到影响我可用的系统接口的漏洞或 0-day 漏洞……RDP 协议、WinRM 协议等。这是一项困难得多的任务。
答案2
我很困惑。更改系统时间需要本地管理员权限。您修改的 GPO 映射到本地安全策略是为了扩展更改时间的能力。