A configuração de Diretiva de Grupo funciona, na medida em que faz o que diz, no entanto, você perguntou se há alguma solução alternativa
Primeiro de tudo, ao alterar a política "Alterar a hora do sistema", você pode ter inadvertidamente impedido que o Windows Time fizesse seu trabalho, portanto, talvez você queira verificar se está recebendo erros do w32tm nos logs de eventos agora o grupo "Administradores" ou a conta "SERVIÇO LOCAL" não têm mais a capacidade de alterar a hora. O Windows Time (o cliente NTP) deseja alterar periodicamente a hora do sistema.
Qualquer tentativa de alterar a hora do sistema a partir do Windows é verificada em relação ao direito de usuário SeSystemtimePrivilege
. Não importa se você usa w32tm.exe, date.exe, time.exe, etc., o processo herdará o token de segurança do usuário que chamou o programa, e o Windows negará a solicitação de alteração de horário se o processo não for executado. t tem SeSystemtimePrivilege
.
Em segundo lugar, você não pode impedir que um administrador seja um administrador. Assim, desde que eu tenha uma sessão administrativa na máquina, poderei contornar e / ou modificar a política de segurança nessa máquina, no entanto, necessária para que eu possa alterar o relógio novamente.
Se eu tiver acesso físico à máquina, então eu vou inicializá-lo de um pendrive e me tornar um administrador (ou criar uma nova conta local e adicioná-la ao grupo de administradores), então eu vou inicializar o backup normalmente e faça o login com a nova conta de administrador, ponto em que poderei desabilitar a Política de Grupo, modificar a política de segurança local como desejar, e então poderei mudar a hora do sistema (entre muitas outras coisas).
Outras medidas que o departamento de TI tomaria para impedir que pessoas como eu adulterem tais códigos incluem senha da BIOS, Bitlocker, Sophos Safeguard, etc. Essas coisas me impediriam (mas talvez não de alguém mais inteligente / determinado que eu) de adulterar o sistema, mesmo se eu tivesse acesso físico a ele.Mas até mesmo coisas como o Bitlocker têm limites. Eu poderia inicializar o sistema, congelar a RAM com ar comprimido / nitrogênio, transplantá-lo para outro sistema para despejo e encontrar a chave para que eu pudesse descriptografar a unidade. Então comece no passo 1.
A moral da história é que, se outra pessoa tiver acesso físico ao seu computador, não será mais seu computador.
Agora, se você está falando de um sistema que está conectado apenas remotamente, a história muda um pouco. Eu essencialmente preciso voltar para exploits ou 0 dias que afetam uma ou mais interfaces no sistema deixado disponível para mim ... o protocolo RDP, o protocolo WinRM, etc. etc. Essa é uma tarefa muito mais difícil.