Como encontrar a data de criação de uma conta de usuário local?

Os dados estão no SAM, mas não parecem ser documentados publicamente pela Microsoft e não estou encontrando uma API oficial para recuperá-los. Eu posso ver, olhando para o código-fonte para o utilitário chntpw que o valor é armazenado na chave de registro "F" para cada conta. Quoth o código-fonte:

#define USER_F_PATH "\SAM\Domains\Account\Users\%08X\F"

struct user_F {
  ...
  char t_creation[8]; /* Time of account creation */
  ...
}

O projeto forense regripper tem um plug-in, samparse que relatará a data de criação da conta.

Uma ferramenta forense provavelmente não é o que você quer, mas parece que a Microsoft não está facilitando o processo.

Ao pesquisar isso, achei interessante que uma O Microsoft MVP não sabia que os dados de criação da conta estão armazenados no SAM . Para seu benefício, talvez ele não esteja longe do utilitário chntpw , que é onde eu comecei minha busca por informações sobre estruturas de SAM não documentadas.

A única maneira de realmente saber é ter auditoria de gerenciamento de contas ativada na computação r quando a conta foi criada. Em seguida, você veria o EventID 4720 no log de eventos na data de criação. (O artigo diz que o Active Directory, mas o mesmo se aplica a contas locais também, eu verifiquei.)

Sem isso, o mais próximo que você pode vir é verificar a data de criação no hive do registro do usuário, ntuser.dat file, pasta de perfil do usuário etc., mas conforme mencionado nos comentários, isso é preciso apenas no primeiro logon do usuário como quando essas coisas são criadas.

Infelizmente para você, este é um caso de "se você não registrou, então essa informação não existe."

Eu estava prestes a fornecer um script POC PowerShell para extrair e analisar o tempo de criação, mas percebi que a lógica de chntpw está incorreta. O valor que ele chama de tempo de criação é, na verdade, o último horário definido da senha, embora esses valores sejam os mesmos na criação inicial da conta. Veja aqui para uma descrição exaustiva do SAM.

O segundo link de Evan, para samparse , pode acertar. Olhando para o seu realmente funciona. Se você olhar para a fonte aqui , linha 99:

$c_date = $create->get_timestamp();

você verá que ele chama get_timestamp do Parse::Win32Registry de Perl. Tenho certeza de que esse é o último momento de gravação da chave. Uma vez que parece que uma chave particular ( HKLM\SAM\SAM\Domains\Account\Users\Names\<USERNAME> ) só contém um ponteiro para a chave RID correspondente, ela não deve mudar após a criação e o último tempo de gravação será igual ao tempo de criação.

Se você quiser usar mais ferramentas internas, aqui está uma série de artigos sobre Equipe de scripts explicando como via PowerShell:

Use o PowerShell para acessar o registro de data e hora da última modificação do registro

Reutilização do carimbo de hora do registro do PowerShell Código

Criar uma função de proxy para exibir os carimbos de hora da chave do Registro

Alavancar a chave do registro Time Stamps via PowerShell

Este comando no powershell deve fazer o truque:

systeminfo | findstr /C:"Install Date"

Navegue pelo Meu computador para

C: \ Users e você verá todas as contas de usuário listadas na máquina local. Você pode clicar com o botão direito do mouse na conta de usuário apropriada e ir para as propriedades e ele mostrará uma data criada, isso deve ser o mesmo que a criação da conta de usuário

Apenas meus 2 centavos