Come sapere se qualcuno ha effettuato l'accesso e quando ho vinto 10?

Naviga le tue risposte
0

Situazione: c'è un computer con Windows 10. C'è anche qualche sistema che l'amministratore di sistema può cambiare la password dell'account Windows dal suo computer. Non ho idea di cosa sia il software.

Può conoscere la mia password e accedere a Windows?

Se non può sapere - allora è ancora in grado di cambiarlo. Diciamo che lo cambia e controlla qualcosa e poi può cambiarlo con quello vecchio? Come nei siti Web, è possibile impostare l'hash della vecchia password del database. Quindi, nel caso di Windows, non saprei nemmeno che la password è stata temporaneamente modificata in modo da poter accedere.

Posso vedere alcuni registri quando ha effettuato l'accesso al mio computer? Può cancellare quei log?

    
posta Darius.V 20.08.2016 - 09:25
fonte

2 risposte

0

Sì. Se qualcuno amministra il tuo computer (specialmente in un ambiente di lavoro e la tua domanda suona come uno):

  • conosci il tuo nome utente
  • può imparare la tua password installando keylogger sulla tua macchina
  • può accedere alla tua macchina con le loro credenziali e accedere a tutti i dati (con piccole eccezioni)
  • può cambiare la password, accedere ai dati, ripristinare il sistema allo stato precedente, in modo che la vecchia password rimanga attiva
  • può cancellare i log che mostrano il loro accesso (anche se probabilmente un'analisi forense proverebbe la manomissione)
risposta data 20.08.2016 - 09:45
fonte
0

Non sono sicuro se questo è ciò che stai chiedendo, ma ecco come faccio a lavorare per vedere chi ha effettuato l'accesso a quale computer distribuendo uno script PowerShell come script di accesso tramite GPO.

Ottieni nome computer, nome utente, data corrente e amp; tempo

[stringa] $ ComputerName="$ env: computername"

[stringa] $ UserName="$ env: USERNAME"

[string] $ currentDate = (Get-date) .ToShortTimeString ()

Invia un'email ogni volta che un utente effettua l'accesso

$ subject="$ UserName è connesso a '$ ComputerName' a $ CurrentDate"

Send-MailMessage -To $ emailTo -Da $ emailFrom -Subject $ subject -BodyAsHtml -Body $ body -SmtpServer $ smtpServer

A seconda di come è configurato il tuo sistema, potresti essere in grado di vedere chi ha effettuato l'accesso nei registri degli eventi di 'sicurezza' e anche se qualcuno ha cancellato i log, quell'azione sarebbe stata registrata ed è per questo che i kiddie dello script proverebbero per eliminare i registri per coprire le loro tracce mentre i professionisti esperti tentano di modificare i log non eliminati.

Spero che questo aiuti.

    
risposta data 20.08.2016 - 15:13
fonte

Leggi altre domande sui tag

Come connettere reverse_tcp con il mio server remoto (non nella stessa macchina in cui ho metasploit)? Apertura del malware con Live OS sicuro?