是否可以在事件日志(Win2008 R2 Std)中追踪 Windows 更新设置的更改?
我尝试按来源 = WindowsUpdateClient 筛选系统事件日志,但这似乎只列出了实际的 Windows 更新操作。我还尝试筛选安全事件日志,但找不到任何有用的标准来处理手头的问题。
我应该查询哪个事件日志以及如何筛选 Windows 更新设置的更改?或者我需要事先配置特定的安全审核吗?
更新
由于 WU 设置存储在注册表中,我更精确的问题是是否可以对相应的注册表项进行安全审核。
答案1
可以向 Windows 添加高级审核(从 Windows Server 2008 开始)来监视特定的注册表项/条目,以便如果它们以任何方式被修改、触碰等,就会记录事件。
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry
因此,就您而言,您可能需要监视 Windows Update 相关项下的所有内容。
答案2
IIRC,Windows 更新设置的更改未记录。
但是您可以使用 GPO 来设置和锁定 Windows 更新。
http://technet.microsoft.com/en-us/library/cc720539(WS.10).aspx