Ich führe einige forensische Untersuchungen durch, um herauszufinden, welcher Neuling im ungünstigsten Moment einen kritischen Server aktualisiert und neu gestartet hat. Gibt es eine Möglichkeit, das Benutzerkonto zu ermitteln, das Windows Update gestartet hat? Insbesondere unter Windows Server 2003.
Antwort1
Meiner Meinung nach ist es wichtiger, sicherzustellen, dass die entsprechenden Kontrollen, das Verständnis und die Richtlinien vorhanden sind, um zu verhindern, dass so etwas erneut passiert. Informieren Sie die gesamte Administratorgruppe darüber, was passiert ist, warum es zur falschen Zeit das Falsche war, warum es nie wieder passieren darf usw. usw.
Zu oft konzentrieren sich Unternehmen darauf, bei Fehlern Blut zu vergießen (Sie stehen möglicherweise unter dem Druck der Vorgesetzten, den Schuldigen zu finden), anstatt sich auf die Korrektur und Vermeidung der Fehler zu konzentrieren. Zu viel Schuldzuweisung schafft ein giftiges Arbeitsumfeld und führt zu schlechter Arbeit, niedriger Moral und Produktivität sowie hoher Fluktuation.
Antwort2
Bei einem Server 2003-Rechner werden Sie im Systemereignisprotokoll wahrscheinlich eine Reihe von 4377 Ereignissen sehen, die zum Zeitpunkt der Installation der Updates mit einem Benutzernamen verknüpft sind. Möglicherweise auch einige 7035 Ereignisse (Dienste werden gestartet). Diese sind für Sie möglicherweise nützlicher als alles, was Sie im Sicherheitsereignisprotokoll finden würden.
Es ist durchaus möglich, dass einer Ihrer Neulinge die Updates installiert hat und der andere versehentlich bei einer Neustartaufforderung auf „Ja“ geklickt hat. Kritische Server sollten jedoch niemals während der Produktionszeiten aktualisiert werden: Selbst wenn der Neustart verschoben wird, besteht das Risiko, dass der Aktualisierungsvorgang selbst Dienste unterbricht. Beispielsweise können Dienste, die das .NET-Framework verwenden, durch .NET-Updates gestoppt werden, selbst wenn der Neustart verschoben wird.
Ich stimme der Einschätzung von @joeqwerty definitiv zu, dass es hier letztlich um die Richtlinien und Kontrollen geht, die in Ihrer IT-Organisation implementiert sind.
Antwort3
Ich konnte es herausfinden, indem ich windowsupdate.log aus dem Ausführen-Feld ausführte und STRG+F für unsere IT-Benutzer drückte. Das hilft nicht unbedingt großen Unternehmen mit Hunderten von IT-Benutzern, aber für ein kleineres Unternehmen mit einem kleineren internen Team war es schnell herauszufinden, wer das Update ausgeführt hatte. Es zeigte sich Folgendes (habe den Benutzernamen durch „USERNAMEHERE“ entfernt):
2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) ===========
2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe
2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll