lolololito escribió:Hola, pues tenemos un problema, ...en uno de los ordenadores, encontramos que el sistema de copias a veces falla, y es porqué hemos encontrado que a veces la fecha del ordenador no está en la fecha que toca.
Igual estamos a día 21 y el ordenador pone fecha 22, .......................como estamos a 21, y pone fecha 20, ............no sé porqué creemos pensar que alguien lo cambia para algunas comprobaciones de datos.
Como en el ordenador tenemos diferentes usuarios, nos gustaría saber "QUÉ" o "QUIÉN" está cambiando la fecha.
Cuando miramos el VISOR DE EVENTOS....encontramos cuando se han realizado dichos cambios, pero no sabemos buscar..si algún software lo ha hecho, o qué usuario......
Alguien me puede decir como ver exactamente si algún programa hace el cambio...o tenemos a uno de los usuarios que utiliza el ordenador que lo cambia para hacer cambios en una base de datos que tenemos?
En el visor de eventos, en la sección de SEGURIDAD, se dispara un evento de ID 4616 cada vez que se modifica la fecha/hora del sistema. Entre otros datos te aparece el dominio y la cuenta del usuario que lo ha modificado. Si te aparece dominio "NT AUTHORITY" y nombre de cuenta "SERVICIO LOCAL", significa que es el propio windows quien lo ha modificado, porque tenga activado el ajuste automático de fecha/hora.
Si es windows el que la está cambiando, deberías revisar si algún software malicioso ha modificado el servidor NTP con el que windows sincroniza la fecha/hora. Mira en el registro de Windows el valor de la variable:
Equipo\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
Por defecto su valor debe ser:
time.windows.com,0x9
Si se ha modificado, aparte de establecer el correcto, deberías examinar tu equipo para limpiarlo de software malicioso que pueda estar modificando esto, o te lo puede volver a cambiar.
PD: todo lo dicho da por supuesto que trabajas con Windows 10. Creo que versiones anteriores a Vista no auditan los cambios de fecha/hora, o lo hacen de otra manera.
