我是否正确,如果某个程序安装在服务器上并显示在“添加删除/程序”程序中,那么当用户在物理控制台上login到服务器,或者使用RDP和而不是当用户通过共享访问服务器?
如果是这样,那么这应该显示为事件ID 528。
换句话说,如果我只看事件ID 528,我可以得到一个嫌疑犯名单。 它是否正确?
一般来说,是的。 您可能还需要查看logintypes,以确定用户如何访问服务器。 我在想,你想要寻找logintypes2,10和可能5。
这将涵盖最典型的用例,但是可以通过远程进程(例如PSExec,批处理脚本或远程部署工具,如CA Unicenter)来安装应用程序。它们不一定会logging该事件代码。
然而,你所描述的是一个很好的开始。