步都有编号、有录像、有范围限定。
信息中心主任在电话里提醒:“秘书长办公室那边会很敏感,可能拒绝配合。”
罗主任回得更硬:“拒绝配合也要编号。拒绝就是事实。”
可出乎意料的是,秘书长办公室没有正面阻拦,只派了一个人来“见证”:综合处负责人孟处员本人。
孟处员四十多岁,戴眼镜,气质很“机关”,一开口就很平:“我理解你们要查清事实,但你们必须注意:秘书长办公室涉及大量保密事项,任何取证都要严格限定范围,不能触碰与本案无关内容。”
陆律把授权函与取证范围说明递给他:“限定范围写得很清楚:只取终端登录会话、云文档访问日志相关记录、门禁与公共区域监控,不涉及任何其他文件内容。你可以全程旁观。”
孟处员点头,态度不激烈,却也不配合得过分热情。他像在走一种更高级的防御:不阻拦,但用规则把你锁在更小的盒子里,避免你看见更多。
取证开始。SZ-TERM-07的登录会话导出后,第一条关键记录就跳出来:澄清帖初稿被修改的那两次时间点,终端登录账号不是孟处员本人,而是一个从未在资产清单里出现过的本地管理员账号:**sz.local.admin**。更诡异的是,该账号登录方式显示为“远程会话”,而远程会话来源IP——正是此前sec.bridge网关池的一段地址。
桥断了,但远程会话还在别处。或者说,桥在系统里被封了,但桥的思想还在:把访问包装成会议支持、把管理员包装成本地、把日志包装成条件审计。
顾明看着那条记录,冷笑了一声:“他们根本不想让任何人承担实名。他们用本地管理员做手套,用远程会话做脚印。”
“远程会话的接入凭证是什么?”警方技术人员问。
顾明快速翻导出文件:“凭证字段显示:使用了一个一次性令牌,发放源……sec.exec.gateway。”
又回到了sec.exec.gateway。那不是一个普通账号,那像一个“令牌发放器”:谁拿到令牌,谁就能用远程会话登陆任何需要的终端,留下的只是一个本地管理员影子。令牌发放器就是影子机制的心脏之一:它让“操作者
本章未完,请点击下一页继续阅读!