Можно ли отслеживать изменения в настройках Центра обновления Windows в журналах событий (Win2008 R2 Std)?
Я попытался отфильтровать журнал системных событий с помощью Source = WindowsUpdateClient, но, похоже, в нем перечислены только фактические действия Центра обновления Windows. Я также попытался отфильтровать журнал событий безопасности, но не смог найти никаких полезных критериев для рассматриваемого вопроса.
Какой журнал событий мне следует запросить и как отфильтровать изменения в настройках Центра обновления Windows? Или мне нужно будет заранее настроить конкретный аудит безопасности?
Обновить
Поскольку настройки WU хранятся в реестре, у меня более точный вопрос: можно ли использовать аудит безопасности для соответствующих ключей реестра.
Можно добавить расширенный аудит в Windows (начиная с Windows Server 2008) для отслеживания определенных ключей / записей реестра, чтобы в случае их изменения, касания и т. Д. Событие регистрировалось в журнале.
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry
Итак, в вашем случае вы захотите отслеживать все, что связано с ключами, связанными с Центром обновления Windows.
IIRC, изменения в настройках обновления Windows не регистрируются.
Но вы можете использовать GPO для установки и блокировки обновления Windows.
http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx