有一台 Windows 10 企业版 PC 的密码已更改(本地管理员)。用户报告说他们没有管理员密码。事件查看器指定了用户登录 PC 时密码更改的时间和日期。
- 可以在他的电脑上远程更改密码吗?
- 如果此本地管理员密码是从组策略更改的,它是否仍会表明用户已更改该密码?事件查看器如何记录通过组策略或计划任务执行的事件?
- 可以使用 psexec 之类的工具远程安装软件吗?如果安装了,事件查看器中会如何报告?
- 是否可以以用户身份(从另一个管理员)远程擦除日志文件?
归根结底,我不希望这名员工因为不正确的信息而被解雇,作为一名安全研究员,我试图确定是否还有任何其他因素可以让这名员工“受益于怀疑”,并找到一种在他不知情或没有明确行动的情况下进行这次违规的方式。