我不希望用户能够更改系统时间。 为此,我已将组策略“更改系统时间”设置为仅包含我的pipe理员帐户。 我想知道这个措施的有效性。 有没有办法,尽pipe这个检查,用户将能够通过使用一些我不知道的解决方法技术来改变系统时间?
组策略设置起作用,因为它按照它所做的那样操作,但是,您询问是否有任何解决方法?
首先,在更改“更改系统时间”策略时,您可能无意中阻止了Windows时间工作,因此您可能需要检查事件日志中是否有任何w32tm错误,因为“pipe理员“组或”本地服务“帐户不再有能力改变时间。 Windows时间(NTP客户端)确实要定期更改系统时间。
根据SeSystemtimePrivilege用户权限检查是否从Windows内更改系统时间。 如果您使用w32tm.exe,date.exe,time.exe等,则无关紧要,进程将inheritance调用该程序的用户的安全令牌,并且如果该进程没有执行,则Windows将拒绝时间更改请求没有SeSystemtimePrivilege 。
其次,你不能阻止pipe理员成为pipe理员。 所以只要我在机器上有一个pipe理会话,我将能够解决和/或修改那台机器上的安全策略,但是必要的话,我可以再次更改时钟。
如果我有物理上的访问权限,那么我会从U盘启动它,让自己成为一个pipe理员(或者创build一个新的本地帐户,并将其添加到pipe理员组),然后我会正常启动备份和日志与新的pipe理员帐户,在这一点上,我将能够禁用组策略,但是我希望修改本地安全策略,然后我将能够改变系统时间(在其他许多方面)。
IT部门采取进一步的措施来防止像我这样的人这样的篡改,包括BIOS密码,Bitlocker,Sophos Safeguard等。这些事情会阻止我(但也许不是更聪明/更有决心比我)篡改系统,即使我有物理访问它。
但即使像Bitlocker一样有限制。 我可以启动系统,用压缩空气/氮气冻结RAM,将其移植到另一个系统倾倒,find钥匙,以便我可以解密驱动器。 然后从第1步开始。
这个故事的道德是,如果别人有实际的访问你的计算机,它不是你的电脑了。
现在如果你正在谈论一个只能远程login的系统,那么这个故事会有所变化。 我基本上需要回到漏洞利用或0天影响一个或多个接口进入系统剩下的可用于RDP协议,WinRM协议等等。这是一个更加困难的任务。
我很困惑。 更改系统时间需要本地pipe理员权限。 您修改的映射到本地安全策略的GPO是为了延长更改时间的能力。