Cualquier forma de identificar qué count de usuario lanzó Windows Update?

Estoy haciendo algunos forenses para tratar de averiguar qué noob actualizado y reiniciado un server crítico en el momento más inoportuno. ¿Hay alguna manera de determinar la count de usuario que lanzó Windows Update? En concreto en Windows Server 2003.

3 Solutions collect form web for “Cualquier forma de identificar qué count de usuario lanzó Windows Update?”

En mi opinión, es más importante asegurarse de que los controles adecuados, la comprensión y las políticas están en su lugar para evitar que esto suceda de nuevo. Hágale saber a todo el grupo de administración sobre lo que sucedió, por qué fue lo malo hacer en el momento equivocado, por qué no puede volver a suceder, etc., etc.

Con demasiada frecuencia, las empresas se centran en dertwigr sangre cuando se cometen errores (puede estar bajo presión de los superiores para encontrar al culpable) en lugar de centrarse en corregir y prevenir los errores. Demasiado dedo que señala crea un ambiente tóxico del trabajo y conduce al trabajo pobre, a la moral ya la productividad bajas, ya alto volumen de ventas.

Para un equipo con Server 2003, en el logging de sucesos del sistema, es probable que vea un montón de 4377 events asociados con un nombre de usuario en el momento en que se instalaron las actualizaciones. Posiblemente algunos events 7035 (services de partida) también. Estos pueden ser más útiles para usted que cualquier cosa que encontraría en el logging de sucesos de security.

Es totalmente posible que uno de tus novatos haya instalado las actualizaciones y el otro haya hecho clic en "Sí" accidentalmente en un post de reinicio. Sin embargo, los serveres críticos nunca deben actualizarse durante las horas de producción: incluso si se retrasa el reinicio, el process de actualización en sí mismo tiene el potencial de interrumpir los services. Por ejemplo, los services que utilizan el marco de .NET pueden ser detenidos por actualizaciones de .NET incluso si el reinicio es pospuesto.

Definitivamente estoy de acuerdo con la evaluación de @ joeqwerty que esto es en última instancia sobre las políticas y controles que su organización de TI tiene en su lugar.

Me las arreglé para averiguar mediante la ejecución de windowsupdate.log desde el cuadro de ejecución y CTRL + F para nuestros usuarios de TI, no necesariamente ayuda para una gran empresa con cientos de usuarios de TI sin embargo, para una empresa más pequeña con un equipo interno más pequeño que fue rápido para encontrar quién había ejecutado la actualización. Mostró lo siguiente (han eliminado el nombre de usuario con "USERNAMEHERE":

2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100 2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100 2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3 2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200. 2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) =========== 2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe 2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll 
  • Actualizar Win2008R2 SP1 con actualizaciones de Windows falla a menudo al instalar varias actualizaciones pero el mismo trabajo de actualización fallido cuando se instala una vez
  • Actualizaciones automáticas que ocurren involuntariamente
  • Windows Server 2008 está atascado en "configurar actualizaciones - etapa 3 de 3 - 0% completa"
  • Icono de actualizaciones de Windows para administradores de dominio
  • La mejor manera de bloquear las estaciones de trabajo Windows de recibir actualizaciones de Microsoft
  • ¿Se puede configurar Windows Update para actualizar también otros productos de Microsoft a través de la directiva de grupo?
  • Scripting Instalación de Windows Service Pack
  • Instalar actualizaciones opcionales utilizando la Actualización de Cluster-Aware
  • Windows Update falla con 8E5E03FE en Windows 7
  • Windows no está instalando. 0x87d00244
  • ¿La mejor manera de actualizar completamente un nuevo Windows instalado?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.