Назад | Перейти на главную страницу

Как определить, кто установил программу?

Мне нужно выяснить, кто установил конкретную программу (Adobe Flash) на сервере.

Как я могу это сделать?

В зависимости от вашего уровня ведения журнала вы можете просмотреть журналы событий и узнать, кто вызвал установщик.

Фактически, я только что установил Adobe Reader на виртуальную машину 2008 R2 по умолчанию и обнаружил, что он записал пользователя, установившего программу. Вроде, как бы, что-то вроде.

EventID 1040, источник: MsiInstaller UserID: [GUID].

Свяжите этот GUID с пользователем, и вы золотой.

Если, конечно, вы оказались в неудачном положении из-за отсутствия этой записи журнала, лучше всего просмотреть и посмотреть, сможете ли вы определить, когда именно она была установлена, и сопоставить это с журналами событий безопасности, чтобы определить У with в то время был интерактивный сеанс входа в систему.

Журналы установщика Adobe могут быть более полезными для сужения точного времени установки, так как возможно, ваш уровень ведения журнала даже не зарегистрировал установку приложения, отличного от MS, в журналах событий. В любом случае, вероятно, дело в том, чтобы узнать точное время и просмотреть журналы безопасности, чтобы определить, у кого открытый тип 2 или тип 10 входа в систему в течение этого времени.

Это действительно своего рода боль, и если вы тот, кого собираетесь отправить в лог-дайвинг, возможно, было бы неплохо сделать быструю разбивку затрат и выгод, сколько будет стоить выяснение этого [ не совсем убедительная] информация, потому что это не совсем дымящийся пистолет. Это даст вам довольно веские доказательства того, кто это сделал, но если у вас нет достаточно высокого уровня ведения журнала, чтобы увидеть, какой пользователь вызвал установщик, это не будет считаться окончательным доказательством. (Или, по крайней мере, я никогда не видел, чтобы это было так.)

Используя средство просмотра событий, вы можете фильтровать Application log для идентификатора события 11707. Выполните поиск по конкретной дате / времени, когда, по вашему мнению, программа была установлена, а также будет указано имя пользователя. Очень полезно, если вам нужно отслеживать, кто что и когда устанавливает.

Кроме того, вы можете отфильтровать Application log для идентификатора события 11724 если тебе нужно увидеть кто ООНустановил приложение.

Информация найдена через этот сайт.

Проверьте c: \ users \\ downloads и временные каталоги пользователей на наличие файлов, связанных с Adobe.