Estoy haciendo algunos análisis forenses para intentar descubrir qué novato actualizó y reinició un servidor crítico en el momento más inoportuno. ¿Hay alguna forma de determinar la cuenta de usuario que inició Windows Update? Específicamente en Windows Server 2003.
Respuesta1
En mi opinión, es más importante asegurarse de que existan los controles, la comprensión y las políticas adecuadas para evitar que esto vuelva a suceder. Haga saber a todo el grupo de administración lo que sucedió, por qué fue algo incorrecto en el momento equivocado, por qué no puede volver a suceder, etc., etc.
Con demasiada frecuencia, las empresas se centran en derramar sangre cuando se cometen errores (es posible que usted esté bajo presión de los superiores para encontrar al culpable) en lugar de centrarse en corregir y prevenir los errores. Demasiadas acusaciones crean un ambiente de trabajo tóxico y conduce a un trabajo deficiente, baja moral y productividad, y una alta rotación.
Respuesta2
Para una máquina Server 2003, en el registro de eventos del sistema, es probable que vea un montón de eventos 4377 asociados con un nombre de usuario en el momento en que se instalaron las actualizaciones. Posiblemente también algunos 7035 eventos (inicio de servicios). Estos pueden resultarle más útiles que cualquier cosa que pueda encontrar en el registro de eventos de seguridad.
Es muy posible que uno de sus novatos haya instalado las actualizaciones y el otro haya hecho clic accidentalmente en "Sí" en el mensaje de reinicio. Pero los servidores críticos nunca deben actualizarse durante las horas de producción: incluso si se pospone el reinicio, el proceso de actualización en sí tiene el potencial de interrumpir los servicios. Por ejemplo, los servicios que utilizan .NET Framework pueden detenerse mediante actualizaciones de .NET incluso si se pospone el reinicio.
Definitivamente estoy de acuerdo con la evaluación de @joeqwerty de que, en última instancia, se trata de las políticas y controles que su organización de TI tiene implementadas.
Respuesta3
Logré averiguarlo ejecutando windowsupdate.log desde el cuadro de ejecución y CTRL+F para nuestros usuarios de TI, no necesariamente ayuda para grandes empresas con cientos de usuarios de TI, sin embargo, para una empresa más pequeña con un equipo interno más pequeño fue rápido. para encontrar quién había ejecutado la actualización. Mostró lo siguiente (he eliminado el nombre de usuario con "USERNAMEHERE":
2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) ===========
2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe
2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll