Windows-Server-2008
跟踪系統資料庫中 Windows 更新設置的更改
是否可以在事件日誌(Win2008 R2 Std)中跟踪對 Windows 更新設置的更改?
我嘗試按 Source = WindowsUpdateClient 過濾系統事件日誌,但這似乎只列出了實際的 Windows 更新操作。我還嘗試過濾安全事件日誌,但找不到任何有用的標準來解決手頭的問題。
我應該查詢哪個事件日誌以及如何篩選對 Windows 更新設置的更改?還是我需要事先配置特定的安全審計?
更新
由於 WU 設置儲存在系統資料庫中,我更準確的問題是是否可以對相應的系統資料庫項進行安全審核。
可以將高級審核添加到 Windows(從 Windows Server 2008 開始)以監視特定的系統資料庫項/條目,以便如果它們以任何方式被修改、觸摸等,將記錄一個事件。
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry
因此,在您的情況下,您可能希望監視 Windows 更新相關鍵下的所有內容。
IIRC,不會記錄對 Windows 更新設置的更改。
但您可以使用 GPO 設置和鎖定 Windows 更新。
http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx