На самом деле, определить оказалось намного проще...

На всех серверах после прихода обновления, в процессах появляется TrustedInstaller.exe
Соответственно, опрашивая сервер на предмет наличия TrustedInstaller можно определить необходимость его перезагрузки.

Т.к. обновления приходят в определённый день, а технологическое окно идёт следом не сразу, а с задержкой минимум в пару дней, этого вполне достаточно. За это время гарантировано обновление установится, а неприбитый процесс будет говорить о том, что после обновления сервер ещё не перезапускался.