我是否正确,如果某个程序安装在服务器上并显示在“添加删除/程序”中,那么它必须当用户通过物理控制台或使用 RDP 登录到服务器时是否已经安装,而不是当用户通过共享访问服务器时安装?
如果是这样,那么这应该显示为事件 ID 528。
换句话说,如果我只查看事件 ID 528,我就可以得到嫌疑人列表。这是正确的吗?
答案1
一般来说,是的。您可能还想查看登录类型以确定用户如何访问服务器。我认为您要查找登录类型 2、10 甚至 5。
答案2
这将涵盖最典型的用例,但是应用程序可以通过远程进程(例如 PSExec、批处理脚本或远程部署工具(如 CA Unicenter))安装。它们不一定会记录该事件代码。
然而,您所描述的是一个很好的起点。