¿Cómo saber si alguien ha iniciado sesión y cuándo puedo ganar 10?

Navega tus respuestas
-1

Situación: hay una computadora con Windows 10. También hay algún sistema en el que el administrador del sistema puede cambiar la contraseña de la cuenta de Windows desde su computadora. No tengo idea de qué software hace esto.

¿Puede saber mi contraseña e iniciar sesión en Windows?

Si él no puede saberlo, entonces todavía puede cambiarlo. Digamos que lo cambia y comprueba algo y luego, ¿puede cambiarlo por el anterior? Al igual que en los sitios web es posible establecer en la base de datos hash de contraseña antigua. Entonces, en el caso de Windows, ni siquiera sabría que la contraseña se cambió temporalmente para que pudiera iniciar sesión.

¿Puedo ver algunos registros cuando inició sesión en mi computadora? ¿Puede borrar esos registros?

    
pregunta Darius.V 20.08.2016 - 09:25
fuente

2 respuestas

0

Sí. Si alguien administra su computadora (especialmente en un entorno de trabajo y su pregunta suena como una), ellos:

  • conoce tu nombre de usuario
  • puede aprender su contraseña instalando keylogger en su máquina
  • puede iniciar sesión en su máquina con sus credenciales y acceder a todos los datos (con pequeñas excepciones)
  • puede cambiar su contraseña, acceder a los datos, restaurar el sistema al estado anterior, para que la contraseña anterior permanezca activa
  • puede eliminar los registros que muestran su acceso (aunque el análisis forense probable probaría la manipulación)
respondido por el techraf 20.08.2016 - 09:45
fuente
0

No estoy seguro de si esto es lo que está pidiendo, pero aquí es cómo lo hago en el trabajo para ver quién inició sesión en qué equipo implementando un script de powershell como un script de inicio de sesión a través de GPO.

Obtenga el nombre de la computadora, el nombre de usuario, la fecha actual & tiempo

[string] $ ComputerName="$ env: computername"

[cadena] $ UserName="$ env: USERNAME"

[cadena] $ currentDate = (Get-date) .ToShortTimeString ()

Envíe un correo electrónico cada vez que un usuario inicie sesión

$ subject="$ UserName está registrado en '$ ComputerName' en $ CurrentDate"

Send-MailMessage -To $ emailTo -Desde $ emailFrom -Subject $ subject -BodyAsHtml -Body $ body -SmtpServer $ smtpServer

Dependiendo de cómo esté configurado su sistema, puede ver quién ha iniciado sesión en los registros de eventos de "seguridad" e incluso si alguien eliminó los registros, esa acción también se habría registrado y esa es la razón por la que lo intentaron los niños de script. para eliminar registros y cubrir sus pistas, mientras que los profesionales experimentados intentarán modificar los registros y no eliminarlos.

Espero que esto ayude.

    
respondido por el Eric.P 20.08.2016 - 15:13
fuente

Lea otras preguntas en las etiquetas

¿Qué tan segura es la contraseña del TPM solo para la unidad extraíble cifrada? ¿Es seguro abrir Malware con Live OS?