审核系统时间是否更改过，如何解释系统自动对时产生的日志

Sayax37

审查是在事件管理器里看的，他们在windows日志→系统里过滤事件ID为1的事件，查到很多来源是Kernel-General的自动对时，用户都是LOCAL SERVICE，大部分是【系统时间已从2025‎-‎12‎-‎05T00:07:05.199563000Z.时间增量更改为 ‎2025‎-‎12‎-‎05T00:07:01.603940700Z： -3595 ms】这样的，不过也有从2013年改到2025年的，13年应该是这台电脑装系统的时间吧，但用户都是LOCAL SERVICE我在windows日志→安全里过滤4616，对这类事件的描述都是【当更改系统时间时会生成此事件。这对于 Windows 时间服务属正常情况，该服务以系统特权运行，定期更改系统时间。其他的系统时间更改意味着对计算机的破坏。】
我说这都是正常的系统服务他们也不听，认为只要过滤事件ID1里时间有变更的就不行，现在我也不知道要怎么解释了
顺便问一下，在系统分区里过滤事件ID1的话会有很多自动对时的事件，但是在安全分区里过滤4616的话对应的事件只有一部分甚至没有，这个是怎么回事
另外从13年跳到25年的时间变更要怎么解释，虽然也是自动对时的

小斌12

1、先证明这个是系统时间自动校对产生的，现场演示一下+随便找个办公电脑查看日志（我刚刚查了一下，我的电脑也是很多这个日志）
2、认为不行，后续就停止自动更新呗，后面人工校正并记录。

Sayax37

小斌12 发表于 2025-12-12 09:44
1、先证明这个是系统时间自动校对产生的，现场演示一下+随便找个办公电脑查看日志（我刚刚查了一下，我的电 ...

感谢回复，不过问题就在怎么证明这个是系统自动校对的，虽然事件里的描述也写明白了就是正常的系统服务，但人家就是不听啊，如果说随便找个办公电脑的话人家又会说这都是改过的
另外人工校正的话应该也不行吧，一样会产生日志，而且这种会被记录成人工修改，感觉更难解释

小斌12

Sayax37 发表于 2025-12-12 10:01
感谢回复，不过问题就在怎么证明这个是系统自动校对的，虽然事件里的描述也写明白了就是正常的系统服务， ...

人工校正就要有相应的文件、记录去管理。
随便一台电脑都不行就让提出质疑的人看看他自己的电脑

Sayax37

小斌12 发表于 2025-12-12 10:08
人工校正就要有相应的文件、记录去管理。
随便一台电脑都不行就让提出质疑的人看看他自己的电脑

他们的电脑不知道是不是没打开相关的功能，好像说是没这样的事件的

小斌12

我们公司的计算机化系统都是不联网的，联网一方面可能中病毒，一方面可能会系统自动更新然后出现软件兼容问题，时间都是超出一定范围后进行人工校正并有时间校正记录

Sayax37

小斌12 发表于 2025-12-12 10:11
我们公司的计算机化系统都是不联网的，联网一方面可能中病毒，一方面可能会系统自动更新然后出现软件兼容问 ...

我们也是实验用的电脑都不联网，但时间都是电脑自动更新的，没有人工校正，因为之前特意强调过不能手动修改时间

电水壶

Sayax37 发表于 2025-12-12 10:01
感谢回复，不过问题就在怎么证明这个是系统自动校对的，虽然事件里的描述也写明白了就是正常的系统服务， ...

这种情况就要和审查的老师硬刚了，系统自动对时是操作系统自动的行为，没有对操作产生影响，也没有对最终结果产生影响，如果审查人员认为这样不行的话那就关闭自动更新，缺陷也应该是一般缺陷整改也容易

电水壶

Sayax37 发表于 2025-12-12 10:01
感谢回复，不过问题就在怎么证明这个是系统自动校对的，虽然事件里的描述也写明白了就是正常的系统服务， ...

人工校正是可以的，有文件规定和记录就可以。例如文件规定要定时对系统时间进行校正，规定校正周期和校正记录，完全没有问题的

Sayax37

电水壶 发表于 2025-12-12 10:24
人工校正是可以的，有文件规定和记录就可以。例如文件规定要定时对系统时间进行校正，规定校正周期和校正 ...

好的，谢谢，总之先去硬刚一波