ユーザーがWindowsのシステム時刻を変更できないようにする

グループポリシー設定は、それが言うことを実行するという点で機能しますが、any回避策があるかどうかを尋ねましたか？

まず、「システム時刻の変更」ポリシーを変更する際に、Windows Timeがそのジョブを実行できないようにした可能性があるため、「管理者」がイベントログにw32tmエラーが表示されていないかどうかを確認することをお勧めします。 「グループ」または「ローカルサービス」アカウントでは、時刻を変更できなくなりました。 Windows時間（NTPクライアント）は定期的にシステム時間を変更したいです。

Windows内からシステム時刻を変更しようとすると、SeSystemtimePrivilegeユーザー権限に対してチェックされます。 w32tm.exe、date.exe、time.exeなどを使用するかどうかは関係ありません。プロセスは、プログラムを呼び出したユーザーのセキュリティトークンを継承し、プロセスが実行しない場合、Windowsは時間変更要求を拒否します。 SeSystemtimePrivilegeがあります。

第二に、管理者が管理者になるのを防ぐことはできません。マシンに管理セッションがある限り、必要に応じてそのマシンのセキュリティポリシーを回避または変更して、時計を再度変更することができます。

マシンに物理的にアクセスできる場合は、USBスティックから起動して管理者にします（または新しいローカルアカウントを作成して管理者グループに追加します）。その後、通常どおり起動してログに記録します。新しい管理者アカウントを使用すると、その時点でグループポリシーを無効にし、ローカルセキュリティポリシーを好きなように変更できます。その後、システム時刻を変更できます（他にもたくさんあります）。

私のような人がそのような改ざんを防ぐためにIT部門が講じるその他の対策には、BIOSパスワード、Bitlocker、Sophos Safeguardなどがあります。物理的にアクセスできたとしても。

ただし、Bitlockerのようなものでも制限があります。システムを起動し、RAMを圧縮空気/窒素で凍結し、ダンプするために別のシステムに移植し、ドライブを復号化できるようにキーを見つけます。次に、手順1に戻ります。 。

話の教訓は、誰かがあなたのコンピュータに物理的にアクセスできる場合、それはもはやあなたのコンピュータではないということです。

リモートでのみログオンしているシステムについて話している場合、話は少し変わります。基本的に、システムへの1つ以上のインターフェイスに影響を与えるエクスプロイトまたはゼロデイにフォールバックする必要があります... RDPプロトコル、WinRMプロトコルなど。これははるかに難しい作業です。

私は混乱しています。システム時刻を変更するには、ローカル管理者権限が必要です。変更したGPOは、ローカルセキュリティポリシーにマップされます。これは、時間を変更する機能を拡張するためのものです。