Как узнать, изменялось ли в Windows 10 системное время

Изменить системное время, сделать что-нибудь этакое нехорошее и вернуть прежнюю дату — ну чем не способ ввести в заблуждение администратора, только вот мало кто из шутников понимает, что подобные ухищрения им не помогут. Хотя бы потому, что установить факт изменения системного времени в Windows можно за пару минут. Изменение системного времени считается настолько важным событием, что заносится в раздел журнала событий «Безопасность».

Предположим, что на ПК было изменено, а затем восстановлено системное время.

Установим факт вмешательства.

Открываем командой eventvwr.msc журнал событий, переключаемся в раздел Журналы Windows -> Безопасность.

Журналы Windows

И отфильтровываем события по коду 4616.

Безопасность

Если у вас включена автоматическая синхронизация времени, список может оказаться довольно длинным, поэтому есть смысл также выставить фильтр по дате, например, изменения за последние семь дней.

Отличить изменения, внесенные системой от изменений, внесенных пользователем просто — в первом случае инициатором события будет СИСТЕМА или LOCAL SERVICE.

LOCAL SERVICE

А во втором будет указано имя локального пользователя.

Имя локального пользователя

Выявить факт манипуляций с системным временем можно также с помощью программы Event Log Explorer.

Открыв программой журнал событий, мы отсортировали записи по их порядковому номеру, а затем просмотрели записи столбцов «Data» и «Time».

Event Log Explorer

Расхождение между порядковыми номерами и датой события в данном примере очевидны: событие с номером 15579 произошло в 12.44.45, а следующее событие с номером 15580 — в 6.44.49. Кстати, при сортировке событий по дате и времени тоже можно обнаружить следы изменения системного времени. В этом случае порядок номеров событий будет грубо нарушен, например, среди событий с порядковыми номерами в диапазоне 5000-5500 окажутся события с порядковыми номерами плюс/минус 7000.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Как в Windows 11 включить или отключить функцию сжатия SMB

Одним из самых последних изменений в Windows 11 стало изменение поведения протокола сжатия SMB, позволяющего ...

Ошибка с кодом 1072 «Указанная служба была отмечена для удаления» и как ее устранить

Любая сторонняя или системная служба, если она не является критически важной, может быть остановлена в ...

Ошибка «This may indicate a problem with this package» с кодом 2203 при установке программ

Ошибки при установке программного обеспечения могут возникать не только по причине несовместимости или отсутствия в ...

Как удалить игры из интерфейса Nvidia GeForce Experience

Если в вашем компьютере имеется видеокарта от Nvidia, возможно, вы уже успели установить такое приложение ...

1 комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *