跟踪誰在伺服器上安裝了軟體

我是否正確，如果一個程序安裝在伺服器上並顯示在“添加刪除/程序程序”中，那麼它一定是在使用者在物理控制台或使用 RDP 登錄伺服器時安裝的，並且不是當使用者通過共享訪問伺服器時？

如果是這樣，那麼這應該顯示為事件 ID 的 528。

換句話說，如果我只看事件 ID 528，我可以得到一個嫌疑人名單。它是否正確？

一般來說，是的。您可能還想查看登錄類型以確定使用者如何訪問伺服器。我認為您要查找登錄類型 2、10 和可能的 5。

這將涵蓋最典型的案例，但是可以通過遠端程序（例如 PSExec、批處理腳本或 CA Unicenter 等遠端部署工具）安裝應用程序。它們不一定會記錄該事件程式碼。

但是，您所描述的是一個很好的起點。

引用自：https://serverfault.com/questions/174408