Alguma maneira de identificar qual conta de usuário iniciou o Windows Update?

Question 1

Na minha opinião, é mais importante garantir que os controles, a compreensão e as políticas apropriadas estejam em vigor para evitar que isso aconteça novamente. Divulgue a todo o grupo de administradores o que aconteceu, por que foi a coisa errada a se fazer na hora errada, por que isso não pode acontecer novamente, etc., etc.

Muitas vezes, as empresas concentram-se em derramar sangue quando são cometidos erros (pode estar sob pressão dos superiores para encontrar o culpado), em vez de se concentrarem em corrigir e prevenir os erros. Muitas acusações criam um ambiente de trabalho tóxico e levam a um trabalho deficiente, baixa moral e produtividade e alta rotatividade.

Answer

Na minha opinião, é mais importante garantir que os controles, a compreensão e as políticas apropriadas estejam em vigor para evitar que isso aconteça novamente. Divulgue a todo o grupo de administradores o que aconteceu, por que foi a coisa errada a se fazer na hora errada, por que isso não pode acontecer novamente, etc., etc.

Muitas vezes, as empresas concentram-se em derramar sangue quando são cometidos erros (pode estar sob pressão dos superiores para encontrar o culpado), em vez de se concentrarem em corrigir e prevenir os erros. Muitas acusações criam um ambiente de trabalho tóxico e levam a um trabalho deficiente, baixa moral e produtividade e alta rotatividade.

Question 2

Para uma máquina Server 2003, no log de eventos do sistema, você provavelmente verá vários eventos 4377 associados a um nome de usuário no momento em que as atualizações foram instaladas. Possivelmente alguns eventos 7035 (serviços iniciando) também. Eles podem ser mais úteis para você do que qualquer coisa encontrada no log de eventos de segurança.

É perfeitamente possível que um de seus novatos tenha instalado as atualizações e o outro acidentalmente tenha clicado em “Sim” no prompt de reinicialização. Porém, os servidores críticos nunca devem ser atualizados durante o horário de produção: mesmo que a reinicialização seja adiada, o próprio processo de atualização tem o potencial de interromper os serviços. Por exemplo, os serviços que utilizam o .NET Framework podem ser interrompidos pelas atualizações do .NET mesmo que a reinicialização seja adiada.

Definitivamente, concordo com a avaliação de @joeqwerty de que, em última análise, trata-se das políticas e controles que sua organização de TI possui.

Answer

Para uma máquina Server 2003, no log de eventos do sistema, você provavelmente verá vários eventos 4377 associados a um nome de usuário no momento em que as atualizações foram instaladas. Possivelmente alguns eventos 7035 (serviços iniciando) também. Eles podem ser mais úteis para você do que qualquer coisa encontrada no log de eventos de segurança.

É perfeitamente possível que um de seus novatos tenha instalado as atualizações e o outro acidentalmente tenha clicado em “Sim” no prompt de reinicialização. Porém, os servidores críticos nunca devem ser atualizados durante o horário de produção: mesmo que a reinicialização seja adiada, o próprio processo de atualização tem o potencial de interromper os serviços. Por exemplo, os serviços que utilizam o .NET Framework podem ser interrompidos pelas atualizações do .NET mesmo que a reinicialização seja adiada.

Definitivamente, concordo com a avaliação de @joeqwerty de que, em última análise, trata-se das políticas e controles que sua organização de TI possui.

Question 3

Consegui descobrir executando windowsupdate.log na caixa de execução e CTRL + F para nossos usuários de TI, não ajuda necessariamente para grandes empresas com centenas de usuários de TI, mas para uma empresa menor com uma equipe interna menor foi rápido para descobrir quem executou a atualização. Mostrou o seguinte (retirei o nome de usuário com "USERNAMEHERE":

2016-11-06  09:38:19:591    1020    c40 AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:599    1020    15a4    AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:601    1020    18c0    Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06  09:38:21:794    1020    18c0    DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06  09:38:21:858    3692    13e0    Misc    ===========  Logging initialized (build: 7.6.7600.256, tz: -0000)  ===========
2016-11-06  09:38:21:858    3692    13e0    Misc      = Process: C:\Windows\system32\wuauclt.exe
2016-11-06  09:38:21:858    3692    13e0    Misc      = Module: C:\Windows\system32\wuaueng.dll

Answer

Consegui descobrir executando windowsupdate.log na caixa de execução e CTRL + F para nossos usuários de TI, não ajuda necessariamente para grandes empresas com centenas de usuários de TI, mas para uma empresa menor com uma equipe interna menor foi rápido para descobrir quem executou a atualização. Mostrou o seguinte (retirei o nome de usuário com "USERNAMEHERE":

2016-11-06  09:38:19:591    1020    c40 AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:599    1020    15a4    AU  All updates already downloaded, setting percent complete to 100
2016-11-06  09:38:21:601    1020    18c0    Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06  09:38:21:794    1020    18c0    DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06  09:38:21:858    3692    13e0    Misc    ===========  Logging initialized (build: 7.6.7600.256, tz: -0000)  ===========
2016-11-06  09:38:21:858    3692    13e0    Misc      = Process: C:\Windows\system32\wuauclt.exe
2016-11-06  09:38:21:858    3692    13e0    Misc      = Module: C:\Windows\system32\wuaueng.dll

Alguma maneira de identificar qual conta de usuário iniciou o Windows Update?

Responder1

Responder2

Responder3

informação relacionada