Comment déterminer si un utilisateur est un administrateur ou non dans une image forensique ?

Sans virtualiser l'image, existe-t-il un moyen de déterminer si un utilisateur particulier est un administrateur ?

Lire l'appartenance à un groupe à partir du registre, en particulier à partir de l'élément SAM fichier. Je ne peux pas citer d'outils Windows pour cela pour le moment, mais Linux dispose de chntpw qui peut être utilisé pour montrer les groupes auxquels appartient un utilisateur. (Regedit pourrait fonctionner, mais c'est un peu plus difficile car les groupes sont stockés en format binaire).

Dans l'affirmative, existe-t-il un moyen de savoir quand les droits d'administration leur ont été accordés ?

Lire le journal des événements - le Sécurité.evtx peut contenir des événements d'audit qui enregistrent les modifications apportées à l'appartenance à un groupe local.

Cela suppose que tous les utilisateurs sont locaux. Si un groupe de domaine a été ajouté au groupe des administrateurs locaux en tant que membre, le PC ne saura rien des modifications indirectes apportées à ce groupe de domaine jusqu'au moment où l'utilisateur tentera de se connecter.

Il existe de nombreux produits de criminalistique qui permettent d'analyser de nombreux aspects de l'information. de l'image du système. Cependant, la plupart de ces produits sont commerciaux et très coûteux.

Pour analyser les informations relatives aux comptes d'utilisateurs, il suffit de deux ruches de registre : SAM et SYSTEM.

Certains produits gratuits peuvent analyser ces ruches :

• ArtiFast Lite
• SAMInside
• RegRipper

Certains de ces outils ont été conçus pour déchiffrer les mots de passe, mais ils peuvent aussi servir à la criminalistique.

Pour plus d'informations, voir :

• Utilisation du répertoire de stockage SAM pour établir le profil des comptes d'utilisateurs
• 7 meilleurs outils d'investigation informatique [mise à jour 2021]