Как диагностировать рандомные перезагрузки ПК в домене?

Всем привет. Компы пользователей периодически перезагружаются во время работы и с разной периодичностью. Используем windows10/11
В журнале событие с кодом 1074:
Процесс C:\Windows\SysWOW64\shutdown.exe (OSL-9) инициировал действие "Перезапустить" для компьютера OSL-9 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина на перечислена
 Код причины: 0x800000ff
 Тип выключения: Перезапустить
 Комментарий: ЭКСТРЕННАЯ перезагрузка системы.

При этом перед перезагрузкой получают такие сообщение, после закрытия уведомления ПК уходит в перезагрузку.
spoiler
"
66f54ea394c90621259950.jpeg
66f54eabd8bd5820245470.png


Есть подозрение на настройку WSUS и GPO, но всё настроено и перезагрузка с получением обновлений компов в рабочее время не должна происходить, однако по каким-то причинам это случается.
Как можно затраблшутить ребут windows? Можно ли понять, что инициирует перезагрузку?

- Локальных шедулей для перезагрузки на компах нет.
- В логах установка/безопасность/приложение события близкие по времени к перезагрузке, ничего интересного тоже не говорят.
  • Вопрос задан
  • 1022 просмотра
Пригласить эксперта
Ответы на вопрос 4
pindschik
@pindschik
ФЫВА ОЛДЖ
Возможно ранее было создано локальное задание на shutdown.
Потом его удалили из политики, но именно из политики, а не настроили на удаление локальных заданий, соответственно на ранее созданные это не повлияло.
Обратите внимание на "ЭКСТРЕННАЯ перезагрузка системы" - это явно содано вручную человеком.
Ответ написан
@Bublik_RUS
Я бы искал Scheduled Task на шатдаун. Причем задание может отрабатывать с любого хоста в вашей сети. У вас айтишников\админов недавно не увольняли?
Ответ написан
@NortheR73
системный инженер
Имеет смысл заглянуть в журнал безопасности (Security Log) и библиотеку планировщика на предмет нестандартных задач...
Комментарий: ЭКСТРЕННАЯ перезагрузка системы.
вот это явно вручную заданный комментарий, обычно тут пустая строка
Ответ написан
@dan13lz Автор вопроса
В общем, решил обратить внимание на локальные шедулли, возможно действительно что-то упустил и какой-нибудь установленный kms на компе делает ребуты. Выгрузил powershell'ом таски, последний запуск которых был по времени около события перезагрузки, буду изучать эти шедули и сделаю повторную такую же выгрузку при следующей такой перезагрузке. (конечно есть вероятность, что время последнего запуска таска-ребутера после выполнения переопределяется, но всё равно нужно тщательно проверить шедулли)

Время события 1074 в 12:33 26.09.2024
список тасок

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : OobeDiscovery
TaskPath : \Microsoft\Windows\WwanSvc\
PSComputerName :

LastRunTime : 26.09.2024 12:39:39
LastTaskResult : 0
NextRunTime : 28.09.2024 11:36:36
NumberOfMissedRuns : 1
TaskName : USO_UxBroker
TaskPath : \Microsoft\Windows\UpdateOrchestrator\
PSComputerName :

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : Tpm-Maintenance
TaskPath : \Microsoft\Windows\TPM\
PSComputerName :

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : EnableLicenseAcquisition
TaskPath : \Microsoft\Windows\Subscription\
PSComputerName :

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : ExploitGuard MDM policy Refresh
TaskPath : \Microsoft\Windows\ExploitGuard\
PSComputerName :

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : KeyPreGenTask
TaskPath : \Microsoft\Windows\CertificateServicesClient\
PSComputerName :

LastRunTime : 26.09.2024 12:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : AikCertEnrollTask
TaskPath : \Microsoft\Windows\CertificateServicesClient\
PSComputerName :

LastRunTime : 26.09.2024 12:49:49
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : Device Install Reboot Required
TaskPath : \Microsoft\Windows\Plug and Play\
PSComputerName :

LastRunTime : 26.09.2024 12:50:50
LastTaskResult : 0
NextRunTime : 28.09.2024 20:59:59
NumberOfMissedRuns : 1
TaskName : ScanForUpdates
TaskPath : \Microsoft\Windows\InstallService\
PSComputerName :

LastRunTime : 26.09.2024 16:32:32
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : ScheduledDefrag
TaskPath : \Microsoft\Windows\Defrag\
PSComputerName :

LastRunTime : 26.09.2024 13:35:35
LastTaskResult : 0
NextRunTime :
NumberOfMissedRuns : 0
TaskName : Device User
TaskPath : \Microsoft\Windows\Device Information\
PSComputerName :

Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы