Algunas versiones de Windows ...creo que solo las ediciones 'Server', tienen características de auditoría, que registan las acciones de cada cuenta de usuario, por acciones entiendase los procesos iniciados, los archivos leidos, junto a sus fechas de acceso o etc, para ser sinceros no se exactamente cual ni cuanta es la información que registra dicha característica, ya que nunca usé un Windows Server, simplemente conozco el dato desde hace muchos años.

Sobre las fechas de inicialización del sistema,
puedes hallar dicha información desde Windows (desde el visor de eventos de Windows por ejemplo), pero hay herramientas de terceros que facilitan la tarea, cómo por ejemplo 'TurnedOnTimesView' de 'NirSoft'.



Sobre la actividad de los procesos,
cualquier software espía que registre la ejecución de los procesos te serviría, por ejemplo cualquier buen keylogger tiene esta característica adicional,
si quieres algo menos intrusivo también tienes a tú disposición centenares de aplicaciones que monitorizan y registran la actividad del sistema, cómo por ejemplo 'Process Monitor' de SysInternals que monitoriza la actividad general del sistema y registra la fecha de los eventos de ejecución de los procesos, o algo que te serviría mucho más para estas circunstancias sería 'Directory Monitor' de 'DevEnterprise.Net', que monitoriza los eventos de lectura/acceso/escritura de directorios y archivos y los puede registrar en un archivo.log, con un filtro para que solamente lea archivos .exe (u otras extensiones ejecutables) en los subdirectorios del directorio raíz de tu dispositivo ("C:\") ya tendrias resuelto el problema:



Saludos