Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
Habe da mal eine Frage, da die Suche leider nichts ergeben hat.
Gibt es eigentlich eine Möglichkeit, das Umstellen der Systemzeit bei einem mit Standartinstallation betriebenen System WinXP-prof nachträglich nachzuweisen?
Es geht dabei darum, dass versucht wird den letzten Zugriff auf Dateien zu manipulieren. Wenn man nun nachweisen könnte, dass die Systemzeit verstellt wurde, wäre das eine tolle Sache. Für einen guten Bekannten hängt der Arbeitsplatz davon ab.
wenn keine Sicherheitsüberwachung aktiviert war, sieht das nicht so gut aus.
Indirekt könnte man es jedoch nachweisen, indem man die Ereignisprotokolle (nachdem man sie gesichert hat) überprüft, ob irgendwo "negative Zeitsprünge" zu finden sind. Wenn Du die Systemzeit (und nicht nur die Zeitzone) verstellt, dann sollten die Ereignisprotokolle, z.B. im Applikationslog, Systemlog oder Securitylog irgendwo einen Zeitsprung nachweisbar machen.
Zusätzlich gibt es sicher noch eine Menge Textlogs im System, die jedoch leichter zu manipulieren sind, als es die Ereignisprotokolle sind.
der Ansatz führt aber in die Irre. Es ist ohne größere Probleme möglich, die Zugrifsszeit auf Dateien zu ändern. Google mal nach "touch" in Verbindung mit Dateiattributen.
die Ereignisprotokoll-Inhalte kann man nicht so einfach "touchen". Daher auch der Hinweis darauf.
Den Vorschlag mit den Inhalten von Log-Dateien habe ich auch explizit als nicht optimal gekennzeichnet, da dies leichter zu manipulieren ist.
