История установки приложений windows

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,

первое это событие с ID 1040 покажет вам начало установки программы:

Далее идет сообщение с кодом ID 10000.

Далее вы увидите событие, где заканчивается установка программы ID 1042

Завершается сеанс событием с кодом ID 10001

И заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

В итоге у меня получилось вот так.

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

• Адрес вашего SMTP сервера
• От кого будет письмо
• Кому отправлять письмо
• Пароль от ящика отправителя

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:\Program Files (x86)\Microsoft\Edge\Application\80.0.361.111\elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Системная утилита Windows 8 «История файлов»: как резервировать свои данные без стороннего ПО?

Windows 8/8.1 отличается от Windows 7 не только надстройкой в виде Metro-интерфейса и убранным эффектом оформления рабочего стола Aero Glass, но также и некоторыми функциональными фишками, в числе которых — очень полезная штатная утилита «История файлов». О том, для чего нужна данная программа и как ее использовать, и пойдет речь в данной статье.

0. Оглавление:

1. Зачем нужна «История файлов»?

«История файлов» — программный инструмент, внедрённый в Windows 8/8.1, чтобы предотвратить потерю пользовательских данных в случае выхода из строя жёсткого диска или случайного удаления данных самим же пользователем. При активации этой штатной утилиты система будет создавать резервные копии всех файлов, хранящихся в папках пользовательского профиля – это библиотеки с видео, изображениями, музыкой, документами, это папки контактов и избранного, это также файлы, размещённые на рабочем столе. Резервные копии файлов будут создаваться на другом носителе, отличном от жёсткого диска, на котором установлена система — это может быть другой внешний или встроенный жёсткий диск, это может быть флешка, это также может быть сетевая папка.

Таким образом, если пользователь удалит файл, очистит корзину, а затем пожалеет об этом, удалённый файл он сможет восстановить из резервной копии. Более того, механизм «Истории файлов» позволяет восстанавливать файлы из выбора нескольких сохранённых версий. Этот момент наверняка заинтересует пользователей, работающих с созданием и редакцией документов и изображений. Так, даже после сохранения документа можно вернуться к его прежнему содержимому – состоянием на какую-то дату ранее.

Механизм «Истории файлов» позволяет создавать резервные копии документов, хранящихся только в указанных выше папках. Чтобы можно было восстановить файлы, находящиеся в папках, которые расположены в других местах на системном или несистемном разделах диска, эти папки необходимо добавить в одну из существующих библиотек.

По умолчанию «История файлов» отключена, и чтобы воспользоваться возможностями этой утилиты, её необходимо включить, перед этим настроив нужные параметры.

2. Запуск «Истории файлов»

Найти утилиту «История файлов» можно в разделах панели управления Windows 8/8.1.

А, возможно, многим будет проще это сделать с помощью системного поиска. Коснёмся сверху вниз правой части экрана, чтобы появились чудо-кнопки. Выберем «Поиск», введём в поисковое поле начальные буквы ключевого запроса «История файлов» и кликнем на этот раздел, появившийся в результатах.

Откроется окно «Истории файлов».

3. Выбор носителя для резервирования

В центре будет виднеться установленный по умолчанию носитель, куда будут резервироваться данные. Как правило, система автоматически для этих целей определяет внешние устройства – флешки или подключаемые жёсткие диски. Чтобы сменить носитель для создания резервных данных, жмём ссылку «Смена диска».

Все внешние устройства, на которых можно хранить резервные копии данных, будут отображаться в списке. Здесь можно выбрать другой внешний носитель, отличный от предустановленного, или выбрать резервирование данных на папку в сети.

Чтобы выбрать сетевую папку, жмём ссылку «Добавить сетевое расположение» и в проводнике выбираем папку в сети.

Утилита «История файлов» не предусматривает резервирование данных на жёстком диске, где установлена система, нельзя выставить даже несистемный раздел диска. Но Windows 8/8.1 можно обмануть, создав на несистемном разделе виртуальный жёсткий диск. Таковой система определяет как съёмный носитель, на него можно копировать и переносить файлы, как и на обычный раздел диска. И он, естественно, будет виднеться в числе прочих съёмных носителей в списке «Истории файлов».

После выбора носителя для хранения резервных копий жмём «ОК» для возвращения в основное окно «Истории файлов».

4. Исключение папок из «Истории файлов»

Возможно, многие не захотят захламлять пространство съёмного носителя, сетевой папки или виртуального диска резервными копиями всех папок, которые подпадают под действие механизма «Истории файлов». К примеру, системная библиотека включает папку «Видео», где могут находиться довольно увесистые видеофайлы. Настройки «Истории файлов» позволяют исключить некоторые папки из числа резервируемых.

В основном окне «Истории файлов» жмём ссылку «Исключение папок».

Жмём кнопку «Добавить», выбираем папку, данные которой не хотим резервировать, и сохраняем изменения.

5. Дополнительные параметры резервирования

Вернувшись в основное окно «Истории файлов», жмём ссылку «Дополнительные параметры».

Здесь каждый может назначить свои параметры создания резервных копий файлов. Можно установить периодичность резервирования.

Можно сменить предустановленный размер автономного кэша.

Можно также установить свой параметр длительности хранения версий резервных файлов.

Чтобы освободить дисковое пространство и очистить его от старых версий резервных файлов, жмём ссылку «Очистить версии».

После выставления всех параметров жмём кнопку «Сохранить изменения».

6. Активация «Истории файлов»

После того, как все настройки проделаны, осталось только активировать механизм «Истории файлов». В основном меню утилиты жмём кнопку «Включить».

Сразу после этого на указанный в настройках носитель будут записаны резервные данные всех папок (естественно, кроме исключённых).

7. Как восстановить удалённые файлы из их резервных копий

На носителе, который выбран для резервирования данных, будет создана папка «FileHistory». В ней и будут находиться резервные копии файлов в дереве папок. Через проводник Windows или файловый менеджер сможем открыть папки своего пользовательского профиля и отыскать нужные файлы.

К наименованию резервных копий файлов будут добавлены дата и время их сохранения, чтобы можно было выбрать файл из его нескольких версий с различным состоянием.

Другой способ восстановления файлов – через интерфейс «Истории файлов». Жмём ссылку «Восстановления личных файлов» в основном окне «Истории файлов».

Здесь в удобном интерфейсе, пролистывая, можно выбрать дату, состоянием на которую и будут представлены резервные копии файлов. Ищем нужный нам файл в той или иной папке, выбираем его и вызываем контекстное меню, а в меню кликаем один из подходящих вариантов:

• либо просмотреть файл здесь же, во встроенном просмоторщике;
• либо восстановить файл из резервной копии на прежнее место, при этом он заменит файл в действующей редакции;
• либо восстановить файл в какую-то другую папку.

Смотрите также:

По умолчанию поиск в Windows (в данном примере в Windows 7) ищет файлы по имени. Содержимое учитывает только в проиндексированных расположениях. Чтобы поиск искал по содержимому всех документов, нужно изменить…

На нашем сайте уже раннее рассматривался вариант установки изначально русифицированной редакции Windows 8.1. Англоязычные редакции, к примеру, ознакомительная версия Windows 8.1 Корпоративная на сайте Центра пробного ПО от компании Microsoft, дистрибутив…

Иногда в Windows 7 нужно изменить расширение вручную, например, превратить файл “txt” в “bat”. Первое, что приходит на ум, — переименовать (F2). Но оказывается, что расширение «.bat» ты вроде бы…