跟踪注册表中 Windows 更新设置的更改

跟踪注册表中 Windows 更新设置的更改

是否可以在事件日志(Win2008 R2 Std)中追踪 Windows 更新设置的更改?

我尝试按来源 = WindowsUpdateClient 筛选系统事件日志,但这似乎只列出了实际的 Windows 更新操作。我还尝试筛选安全事件日志,但找不到任何有用的标准来处理手头的问题。

我应该查询哪个事件日志以及如何筛选 Windows 更新设置的更改?或者我需要事先配置特定的安全审核吗?


更新

由于 WU 设置存储在注册表中,我更精确的问题是是否可以对相应的注册表项进行安全审核。

答案1

可以向 Windows 添加高级审核(从 Windows Server 2008 开始)来监视特定的注册表项/条目,以便如果它们以任何方式被修改、触碰等,就会记录事件。

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry

因此,就您而言,您可能需要监视 Windows Update 相关项下的所有内容。

答案2

IIRC,Windows 更新设置的更改未记录。

但是您可以使用 GPO 来设置和锁定 Windows 更新。

http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx

相关内容