Правильно ли я, что если программа установлена на сервере и отображается в «Добавить программы удаления / программы», то она должен были установлены, когда пользователь вошел на сервер либо с физической консоли, либо с использованием RDP, а не когда пользователь получил доступ к серверу через общий ресурс?
И если это так, то это должно отображаться как идентификатор события 528.
Другими словами, если я просто посмотрю на событие с кодом 528, я могу получить список подозреваемых. Это верно?
В общем да. Вы, вероятно, захотите также посмотреть на тип входа в систему, чтобы определить, как пользователь получил доступ к серверу. Я думаю, что вы хотите искать типы входа 2, 10 и, возможно, 5.
Это будет охватывать наиболее типичные варианты использования, однако приложения могут быть установлены удаленными процессами (такими как PSExec, пакетные сценарии или инструмент удаленного развертывания, такой как CA Unicenter). Они не обязательно будут регистрировать этот код события.
Однако то, что вы описываете, - хорошее место для начала.