Qualquer maneira de identificar qual conta de usuário iniciou o Windows Update?

Navegue suas respostas
1

Estou fazendo algumas análises forenses para tentar descobrir qual noob atualizou e reiniciou um servidor crítico no momento mais inoportuno. Existe alguma maneira de determinar a conta de usuário que lançou o Windows Update? Especificamente no Windows Server 2003.

    
por Luke 11.08.2010 / 23:39

3 respostas

4

Na minha opinião, é mais importante ter certeza de que os controles, o entendimento e as políticas apropriados estão em vigor para evitar que isso aconteça novamente. Faça com que todo o grupo de administradores saiba o que aconteceu, porque foi a coisa errada a fazer na hora errada, porque não pode acontecer de novo, etc., etc.

Muitas vezes, as empresas estão concentradas em derramar sangue quando cometem erros (você pode estar sob pressão dos superiores para encontrar o culpado) em vez de se concentrar em corrigir e evitar os erros. Apontar demais o dedo cria um ambiente de trabalho tóxico e leva a um trabalho ruim, moral baixa e produtividade e alta rotatividade.

    
por 12.08.2010 / 00:16
1

Para uma máquina com o Server 2003, no log de eventos do sistema, é provável que você veja vários eventos do 4377 associados a um nome de usuário no momento em que as atualizações foram instaladas. Possivelmente, alguns 7035 eventos (serviços iniciando) também. Estes podem ser mais úteis para você do que qualquer coisa que você encontraria no log de eventos de segurança.

É perfeitamente possível que um de seus novatos tenha instalado as atualizações e o outro tenha clicado acidentalmente em "Sim" em um prompt de reinicialização. Mas, os servidores críticos nunca devem ser atualizados durante o horário de produção: mesmo se o reinício for adiado, o próprio processo de atualização tem o potencial de interromper os serviços. Por exemplo, os serviços que usam a estrutura .NET podem ser interrompidos por atualizações .NET, mesmo se a reinicialização for adiada.

Eu definitivamente concordo com a avaliação do @joeqwerty de que isso é basicamente sobre as políticas e os controles que sua organização de TI tem em vigor.

    
por 12.08.2010 / 02:47
0

Consegui descobrir ao executar o windowsupdate.log a partir da caixa de execução e o CTRL + F para nossos usuários de TI, não necessariamente ajudar as grandes empresas com centenas de usuários de TI, no entanto, para uma empresa menor com uma equipe interna menor Foi rápido encontrar quem tinha executado a atualização. Mostrou o seguinte (retirou o nome de usuário com "USERNAMEHERE": 

2016-11-06  09:38:19:591    1020    c40 AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:599    1020    15a4    AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:601    1020    18c0    Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06  09:38:21:794    1020    18c0    DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06  09:38:21:858    3692    13e0    Misc    ===========  Logging initialized (build: 7.6.7600.256, tz: -0000)  ===========
2016-11-06  09:38:21:858    3692    13e0    Misc      = Process: C:\Windows\system32\wuauclt.exe
2016-11-06  09:38:21:858    3692    13e0    Misc      = Module: C:\Windows\system32\wuaueng.dll
    
por 18.11.2016 / 11:38

Tags

Linux controle de acesso SSH Como posso encontrar todos os cronjobs no meu sistema?