Windows-Server-2003
跟踪誰在伺服器上安裝了軟體
我是否正確,如果一個程序安裝在伺服器上並顯示在“添加刪除/程序程序”中,那麼它一定是在使用者在物理控制台或使用 RDP 登錄伺服器時安裝的,並且不是當使用者通過共享訪問伺服器時?
如果是這樣,那麼這應該顯示為事件 ID 的 528。
換句話說,如果我只看事件 ID 528,我可以得到一個嫌疑人名單。它是否正確?
一般來說,是的。您可能還想查看登錄類型以確定使用者如何訪問伺服器。我認為您要查找登錄類型 2、10 和可能的 5。
這將涵蓋最典型的案例,但是可以通過遠端程序(例如 PSExec、批處理腳本或 CA Unicenter 等遠端部署工具)安裝應用程序。它們不一定會記錄該事件程式碼。
但是,您所描述的是一個很好的起點。