Die Third-Party Neustart Erkennung basiert auf der Auswertung verschiedener Registry Keys. Wichtigster Punkt ist der Schlüssel "SYSTEM\CurrentControlSet\Control\Session Manager\". Dort gibt es einen Wert (nicht den Schlüssel) "PendingFileRenameOperations".
Im Vergleich zum Sensor "Neustart Erkennung" werden hier auch DELETE Operationen alarmiert. Ist dieses Verhalten nicht gewünscht, ist es notwendig die Prüfung zu deaktivieren und den Sensor "Neustart Erkennung" zu nutzen.
Die Windows Update Neustart Erkennung basiert auf der Windows Update API WUApiLib.SystemInformationClass.
Diese enthält die Eigenschaft RebootRequired, falls die Windows Update Komponente einen Neustart benötigt.
Zusätzlich wird der Schlüssel "Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootPending" geprüft.
Existiert dieser finden sich im Schlüssel "SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\DelayedPackages" verzögerte Windows Update Pakete mit ausstehendem Neustart.
Diese Information basiert auf Basis von Information direkt von Microsoft https://blogs.technet.microsoft.com/heyscriptingguy/2013/06/10/determine-pending-reboot-statuspowershell-style-part-1/
Zusätzlich wird noch der Schlüssel "SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired" geprüft.
Falls möglich wird dort auch das Datum ausgelesen, wie lange der Reboot schon anliegt (Key RebootRequiredSince oder SecurityUpdatesRebootRequiredNotificationTime).
weitere Keys die ebenfalls geprüft werden:
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\DVDRebootSignal
Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootInProgress
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\CurrentRebootAttempts