Evitar que los usuarios cambien la hora del sistema en Windows

No quiero que los usuarios puedan cambiar la hora del sistema. Para ello, he definido la directiva de grupo "Cambiar la hora del sistema" para include sólo mi count de administrador. Quiero saber la validez de esta medida. ¿Hay alguna manera que a pesar de esta comprobación, los usuarios serán capaces de cambiar la hora del sistema mediante el uso de alguna técnica de solución que no conozco?

La configuration de directiva de grupo funciona, en que hace lo que dice que hace, sin embargo, le preguntó si hay alguna solución?

En primer lugar, al cambiar la política "Cambiar la hora del sistema", es posible que haya impedido inadvertidamente que Windows Time realizara su trabajo, por lo que quizás desee comprobar si está recibiendo errores de w32tm en los loggings de events ahora que los "Administradores "grupo o" LOCAL SERVICE "count ya no tiene la capacidad de cambiar el time. Windows Time (el cliente NTP) desea cambiar periódicamente la hora del sistema.

Cualquier bash de cambiar la hora del sistema desde Windows se comtesting con el derecho de usuario SeSystemtimePrivilege . No importa si usas w32tm.exe, date.exe, time.exe, etc., el process henetworkingará el token de security del usuario que llamó al progtwig, y ​​Windows denegará la request de cambio de hora si el process no ' t tiene SeSystemtimePrivilege .

En segundo lugar, no puede impedir que un administrador sea un administrador. Por lo tanto, siempre y cuando tenga una session administrativa en la máquina, podré trabajar y modificar la política de security en esa máquina sin embargo necesario para que pueda cambiar el reloj de nuevo.

Si tengo acceso físico a la máquina en absoluto, entonces lo arrancaré desde una memory USB y haré que sea un administrador (o crear una nueva count local y añadirla al grupo de administradores), entonces arrancaré de nuevo normalmente y registraré con la nueva count de administrador, en cuyo momento podré deshabilitar la directiva de grupo, modificar la política de security local como quiera, y luego podré cambiar la hora del sistema (entre muchas otras cosas).

Otras medidas que el departamento de TI tomaría para evitar que personas como yo de tal manipulación incluyen contraseña de BIOS, Bitlocker, Sophos Safeguard, etc. Esas cosas me impedirían (pero quizás no alguien más inteligente / más determinado que yo) de manipular el sistema, incluso si tuviera acceso físico a ella.

Pero incluso cosas como Bitlocker tienen límites. Podría arrancar el sistema, congelar la RAM con air comprimido / nitrógeno, trasplantarlo a otro sistema para verter, y encontrar la key para poder descifrar la unidad. A continuación, vuelva al paso 1.

Moral de la historia es que si alguien tiene acceso físico a su computadora, ya no es su computadora.

Ahora, si usted está hablando de un sistema que sólo está conectado de forma remota, la historia cambia un poco. Tendría esencialmente que recurrir a exploits o 0 días que afectan a una o más de las interfaces en el sistema que queda a mi disposition … el protocolo RDP, WinRM protocolo, etc, etc Eso es una tarea mucho más difícil.

Estoy confundido. Cambiar la hora del sistema requiere privilegios de administrador local. El GPO que ha modificado y que se correlaciona con la política de security local es para ampliar la posibilidad de cambiar el time.