Назад | Перейти на главную страницу

Запретить пользователям изменять системное время в Windows

Я не хочу, чтобы пользователи могли изменять системное время. Для этого я установил групповую политику «Изменение системного времени», чтобы включить только мою учетную запись администратора. Я хочу знать обоснованность этой меры. Есть ли способ, которым, несмотря на эту проверку, пользователи смогут изменить системное время, используя какой-то обходной прием, о котором я не знаю?

Параметр групповой политики работает, поскольку он делает то, что он говорит, однако вы спросили, есть ли любой обходные пути?

Прежде всего, при изменении политики «Изменить системное время» вы могли случайно помешать Windows Time выполнять свою работу, поэтому вы можете проверить, не появляются ли какие-либо ошибки w32tm в ваших журналах событий теперь, когда «Администраторы "группа" или "ЛОКАЛЬНАЯ СЛУЖБА" больше не имеет возможности изменять время. Windows Time (клиент NTP) действительно хочет периодически изменять системное время.

Любая попытка изменить системное время из Windows проверяется на соответствие SeSystemtimePrivilege право пользователя. Неважно, используете ли вы w32tm.exe, date.exe, time.exe и т. Д., Процесс унаследует токен безопасности пользователя, который вызвал программу, и Windows отклонит запрос на изменение времени, если процесс не сделает этого. у меня SeSystemtimePrivilege.

Во-вторых, вы не можете запретить администратору быть администратором. Таким образом, пока у меня есть административный сеанс на машине, я могу работать и / или изменять политику безопасности на этой машине, если это необходимо, чтобы я мог снова изменить часы.

Если у меня вообще есть физический доступ к машине, я загружу ее с USB-накопителя и сделаю себя администратором (или создам новую локальную учетную запись и добавлю ее в группу администраторов), затем я загружусь в обычном режиме и зарегистрируюсь с новой учетной записью администратора, после чего я смогу отключить групповую политику, изменить локальную политику безопасности, как я захочу, а затем я смогу изменить системное время (среди прочего).

Дальнейшие меры, которые ИТ-отдел предпримет, чтобы предотвратить такое вмешательство людей, как я, включают пароль BIOS, Bitlocker, Sophos Safeguard и т.д. даже если бы у меня был физический доступ к нему.

Но даже такие вещи, как Bitlocker, имеют ограничения. Я мог загрузить систему, заморозить оперативную память сжатым воздухом / азотом, перенести ее в другую систему для сброса и найти ключ, чтобы я мог расшифровать диск. Затем вернитесь к шагу 1.

Мораль этой истории в том, что если у кого-то есть физический доступ к вашему компьютеру, это больше не ваш компьютер.

Теперь, если вы говорите о системе, в которой только удаленный вход, история немного изменится. По сути, мне нужно было бы вернуться к эксплойтам или нулевым дням, которые влияют на один или несколько интерфейсов в системе, оставшихся для меня ... протокол RDP, протокол WinRM и т.д. и т.д. Это гораздо более сложная задача.

Я смущен. Для изменения системного времени требуются права локального администратора. Измененный вами объект групповой политики, который отображается в локальной политике безопасности, предназначен для расширения возможности изменения времени.