Узнаем кто удалил или установил программу в Windows
Узнаем кто удалил или установил программу в Windows
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,
первое это событие с ID 1040 покажет вам начало установки программы:
Далее идет сообщение с кодом ID 10000.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Завершается сеанс событием с кодом ID 10001
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
- Адрес вашего SMTP сервера
- От кого будет письмо
- Кому отправлять письмо
- Пароль от ящика отправителя
В результате вы получите письмо вот такого содержания:
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:\Program Files (x86)\Microsoft\Edge\Application\80.0.361.111\elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
Где и как посмотреть на компьютере историю запуска и использования программ?
Защита информации на своем персональном компьютере — всегда важный вопрос для каждого пользователя. Проверить историю посещений браузера — простая задача, с которой справятся практически все, кто имеет малый опыт работы с ними. А то, как посмотреть историю посещения компьютера — уже более сложный вопрос.
К тому же необходимость проверить историю запуска и посещений может возникнуть при покупке или продаже компьютера незнакомым людям. Или же при передаче устройства в ремонт.
Встроенный инструмент
Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:
- перейти в меню «Пуск»;
- активировать панель управления компьютером;
- перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
- в открывшемся списке необходимо выбрать интересующий раздел;
Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:
- запустить функцию «Поиск Windows»;
- ввести фразу «Управление компьютером»;
- в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
- далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».
Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.
Проверка запуска приложений
Данная функция дает возможность проверить, какие приложения были запущены на компьютере, в какое время это произошло, а также какие ошибки возникли при работе. Чтобы проверить эту информацию, необходимо выполнить следующий алгоритм:
- в уже запущенном окне «Управление компьютером» выбрать строку «Журналы Windows»;
- после нажатия на нее откроется список, из него выбирается пункт под названием «Приложение»;
- после его активации с правой стороны окна появится еще один список с различными сведениями (он сообщает о том, какие приложения запускались на данном устройстве, в какое время это произошло и какие ошибки при этом возникали).
Теперь можно поговорить о том, как посмотреть на компьютере историю появления новых приложений.
История установок
Для того чтобы проверить, что и когда из программ появилось на вашем устройстве, необходимо выполнить следующие действия:
- запустить окно «Управление компьютером»;
- активировать строку «Журналы Windows»;
- из появившегося списка выбрать функцию «Установка». Появится перечень данных, отображающих приложения, установленные за последние несколько месяцев.
Стоит отметить, что данная система не слишком точна. В качестве примера приведена история: «06.05.2018 была установлена программа. Однако последняя дата установки за 13.04.2018».
Как посмотреть на компьютере историю включения и выключения
Данная возможность позволяет проверить, кто пользовался устройством в отсутствие хозяина. Если компьютер находится под защитой пароля, можно проверить, сколько раз кто-либо пытался попасть в систему.
Проверить данную информацию можно при помощи того же самого алгоритма:
- с помощью «Поиска Windows» на панели задач перейти в программу «Управление компьютером»;
- в открывшемся окне выбрать пункт «Журналы Windows»;
- в этом случае необходимо обратиться к строке «Система»;
- после ее активации откроется перечень событий, произошедших за время работы компьютера.
Чтобы проверить все в прямом порядке, необходимо отсортировать информацию по дате. Далее можно просто проверять информацию по времени, которое вас интересует.
Как проверить дату изменения файла?
Для того чтобы выяснить, происходило ли что-нибудь с устройством в ваше отсутствие, можно проверить состояние файлов. Точнее — дату их изменения. Делается это так:
- перейти в директорию искомого файла;
- правой кнопкой мыши нажать на ярлык приложения, и в появившемся списке выбрать пункт «Свойства»;
- в новом окне пролистать вниз до строк «Создан» и «Изменен».
Как найти установленные программы / приложения на компьютере
Необходимость в том, как найти установленные программы или приложения на компьютере бывает, по крайней мере, в трёх случаях:
- Это может быть нужно, чтобы найти какое-то ранее установленное приложение;
- Также это может понадобиться перед установкой какой-то программы. Т.е. когда нужно узнать, установлена ли уже необходимая утилита на компьютере или ещё нет;
- И это может понадобиться, когда мы решаем найти не нужное приложение, чтобы её удалить, почистив компьютер.
Рассмотрим эти и подобные задачи.
Как найти установленные программы на Рабочем столе
Многие программы по умолчанию, во время установки создают на Рабочем столе компьютера ярлыки. Данные ярлыки случат для запуска этих приложений. Так что первый делом следуем посмотреть на своем Рабочем столе ярлык нужной утилиты.
Как найти нужное приложение через меню Пуск
Во время установки приложения также в большинстве случаев добавляются папки с ярлыками в меню Пуск. В Windows 7 нужно нажать Пуск -> Все программы.
Пуск -> Все программы в Windows 7
В Windows 10 просто жмем Пуск. При этом в Windows 10 вверху открывшегося меню выводятся недавно добавленные утилиты. А ниже приводится весь список программ, упорядоченных по алфавиту.
Установленные программы в меню Пуск в Windows 10
Для запуска нужной программы необходимо просто кликнуть мышкой на ярлык. На снимке ниже приведены два примера: запуск приложения Punto Switcher в Windows 10 из недавно добавленных, а также CCleaner из общего списка установленных утилит.
Как узнать через Поиск, — установлена ли программа на компьютере
Чтобы найти установленную программу на компьютере можно воспользоваться Поиском. В качестве примера на снимке ниже показано, как найти и запустить установленную ранее на компьютере утилиту TeamViewer.
Если на вашем компьютере с Виндовс 10 не включен Поиск, — смотрите статью: Как включить Поиск в Windows 10.
Как найти установленные утилиты через папку Programm Files
Не всегда и не все установленные утилиты автоматически создают ярлыки на Рабочем столе и в меню Пуск. Либо сам пользователь может во время установки программы отключить такую возможность.
Но, большинство приложений устанавливаются на Локальном диске «С» компьютера в папку Programm Files или Program Files (x86). Поэтому можно поискать нужную установленную программу там.
В качестве примера на снимке ниже показано нахождение архиватора 7-Zip в папке Programm Files.
Отображение всех установленных программ для удаления
Бывает также нужно найти определенную программу на компьютере, чтобы ее удалить. В Windows 10 для этого можно, например, на меню Пуск нажать правой кнопкой мыши. Далее в появившемся меню выбрать Приложения и возможности.
Появится весь список установленных на компьютере приложений, где мы может удалить не нужные.
В качестве примера на снимке ниже показан выбор и возможность удаления программы для уменьшения размера изображений Fotosizer.
Если у вас есть задача в удалении приложений, больше информации можно узнать из статьи: Как правильно удалять программы с компьютера.
Выводы
Как видим то, как найти установленные программы на компьютере не составляет особого труда. Для этого можно воспользоваться, например, ярлыками на Рабочем столе, в меню Пуск. А также можно поискать нужное приложение в папке Programm Files и разделе Приложения и возможности.
Если же нужной утилиты на вашем компьютере не оказалось, возможно, вам пригодится статья: Как правильно скачивать и устанавливать программы.