ユーザーがフォレンジックイメージ内にあるかどうかを判断するにはどうすればよいですか?

1
2022.01.13

PCのフォレンジックイメージから作業する場合、イメージを仮想化せずに、特定のユーザーが管理者であるかどうかを判断する方法はありますか?

もしそうなら、彼らが管理者権限をいつ付与されたかを知る方法もありますか?

回答
1
2022.01.13

システムイメージの多くの側面を分析できる多くのフォレンジック製品があります。ただし、ほとんどは商用であり、非常にコストがかかります。

ユーザーアカウントに関する情報を分析するには、SAMとSYSTEMの2つのレジストリハイブのみが必要です。

これらのハイブを分析できる無料の製品は次のとおりです。

一部のツールは実際にはパスワードをリッピングするように設計されていますが、フォレンジックにも使用できます。

詳細については、以下を参照してください。

1
2022.01.13

イメージを仮想化せずに、特定のユーザーが管理者であるかどうかを判断する方法はありますか?

レジストリ、特にSAMファイルからグループメンバーシップを読み取ります。今、このために任意のWindowsツールに名前を付けますが、Linuxはユーザが何であるかのグループを示すために使用することができますchntpwを持っている。(まあ、レジストリエディタが働くこともできますが、グループはバイナリ形式で保存されているとして、それは少し難しいことができません。)

もしそうなら、彼らが管理者権限をいつ付与されたかを知る方法はありますか?

イベントログの読み取り– Security.evtxログには、ローカルグループメンバーシップへの変更を記録する監査イベントが含まれている場合があります。

これは、すべてのユーザーがローカルであることを前提としています。ローカルのAdministratorsグループにドメイングループがメンバーとして追加されている場合、PCは、ユーザーがログインしようとするまで、そのドメイングループへの間接的な変更について何も知りません。