Я занимаюсь криминалистикой, чтобы попытаться выяснить, кто из новичков обновил и перезагрузил критически важный сервер в самый неподходящий момент. Есть ли способ определить учетную запись пользователя, запустившую Центр обновления Windows? В частности, на Windows Server 2003.
На мой взгляд, более важно убедиться, что существуют соответствующие средства контроля, понимание и политики, чтобы предотвратить повторение этого. Сообщите всей группе администраторов о том, что произошло, почему это было неправильным поступком в неподходящее время, почему это больше не может повториться и т. Д. И т. Д.
Слишком часто компании сосредотачиваются на том, чтобы пролить кровь при совершении ошибок (вы можете оказаться под давлением со стороны высшего руководства, чтобы найти виновника) вместо того, чтобы сосредоточиться на исправлении и предотвращении ошибок. Слишком частое указание пальцем создает токсичную рабочую среду и ведет к плохой работе, снижению морального духа и производительности, а также высокой текучести кадров.
Для машины Server 2003 в журнале системных событий вы, вероятно, увидите группу из 4377 событий, связанных с именем пользователя на момент установки обновлений. Возможно еще около 7035 событий (запуск сервисов). Они могут быть для вас более полезны, чем все, что вы найдете в журнале событий безопасности.
Вполне возможно, что один из ваших новичков установил обновления, а другой случайно нажал «Да» в запросе на перезагрузку. Но критически важные серверы никогда не должны обновляться в рабочие часы: даже если перезапуск откладывается, сам процесс обновления может нарушить работу служб. Например, службы, использующие платформу .NET, могут быть остановлены обновлениями .NET, даже если перезагрузка отложена.
Я определенно согласен с оценкой @joeqwerty о том, что в конечном итоге речь идет о политиках и средствах управления, используемых в вашей ИТ-организации.
Мне удалось выяснить это, запустив windowsupdate.log из окна запуска и нажав CTRL + F для наших ИТ-пользователей, не обязательно помогает крупным компаниям с сотнями ИТ-пользователей, однако для небольшой компании с меньшей внутренней командой это было быстро. чтобы узнать, кто запускал обновление. Показали следующее (вычеркнули имя пользователя с помощью "USERNAMEHERE":
2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) ===========
2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe
2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll