Как проверить, кто установил программу на вашем компьютере

Используется ли более одного человека на вашем компьютере? С помощью этого простого руководства вы узнаете, как быстро узнать, кто удалил или установил новую программу в Windows. Чтобы проверить это, вам нужно всего несколько простых кликов. Сделай это 🙂

Многие люди не знают, сколько из нашей деятельности с уровня электрооборудования сохраняется и сохраняется. Не говоря уже о его использовании такими компаниями, как Microsoft или Google;) Тем не менее, информация о выполненных действиях также может быть полезна нам, если мы хотим что-то проверить на компьютере.

Сегодня мы хотели бы показать вам, как эффективно проверять, кто установил программу или удалил ее с вашего компьютера. Для целей этой консультации мы использовали Windows 10, но наше руководство также будет работать в Windows 7 (и более ранних версиях системы Microsoft) или Windows 8.

Кто удалил / установил программное обеспечение в Windows

Сначала нам нужно запустить программу под названием «Управление компьютером». Мы можем найти их простым способом — просто введите имя этого инструмента в поисковой системе Windows. Управление компьютером — это программа, которая позволяет вам проверять информацию о работе вашего компьютера, а также вводить интересующие нас изменения. Также следует добавить, что инструмент включен в режиме администратора.

После запуска управления компьютером в левой панели меню выберите «Служебные программы», а затем перейдите на вкладку «Просмотр событий», где мы открываем журнал Windows, и там файл данных — «Приложения». Таким образом, путь к файлу будет выглядеть так:

Системные инструменты> Просмотр событий> Журнал Windows> Приложение

В правой части окна мы найдем раздел «Действия», в котором вы должны нажать ссылку «Фильтровать текущий журнал». Эта функция позволяет отображать только список установленных или недавно удаленных программ.

Откроется окно настроек фильтра. Здесь, в поле «Источники событий», введите следующую команду: MsiInstaller. Затем нажмите кнопку OK, чтобы подтвердить введенную команду. MsiInstaller — это инструмент, отвечающий за установку и удаление программного обеспечения на нашем компьютере. С его уровня мы можем проверить сделанные изменения и кто их создал.

После ввода указанного фильтра результаты поиска в главном окне управления компьютером применимы только к установленным и удаленным программам. Теперь вам нужно только щелкнуть по любому элементу в списке. В нижней части экрана, в центральном окне с информацией, мы находим поле «Пользователь», а затем проверяем, кто внес изменения в компьютер. Конечно, список внесенных изменений может оказаться довольно существенным, и может потребоваться некоторое время, чтобы найти интересующую нас программу.

Однако, если у вас возникнут проблемы с введением вышеупомянутого руководства, прокомментируйте этот текст. Мы постараемся предложить лучшее решение. Напишите также, если вы ищете другие решения и руководства, и вы не можете найти их на нашем веб-сайте.

Узнать кто установил приложение windows

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,

первое это событие с ID 1040 покажет вам начало установки программы:

Далее идет сообщение с кодом ID 10000.

Далее вы увидите событие, где заканчивается установка программы ID 1042

Завершается сеанс событием с кодом ID 10001

И заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

В итоге у меня получилось вот так.

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

• Адрес вашего SMTP сервера
• От кого будет письмо
• Кому отправлять письмо
• Пароль от ящика отправителя

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:\Program Files (x86)\Microsoft\Edge\Application\80.0.361.111\elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Смотрим действия пользователя Windows на ПК

Ниже мы разберем основные методы просмотра последних событий на компьютере, а также расскажем про следы, которые оставляет после себя каждый пользователь Windows.

Содержание:

Операционная система Windows и многие программы, работающие в ней, оставляют после себя множество следов, при помощи которых можно определить, что происходило с компьютером во время отсутствия пользователя. Данное руководство поможет выявить куда заходили , что смотрели , какие программы запускались и какие файлы изменялись при несанкционированном доступе к Вашей системе.

Просмотр последних действий является комплексной мерой, требующей поочередной проверки отдельных элементов системы и программного обеспечения, где могли остаться следы после доступа к ПК третьих лиц.

История браузера

Первым делом следует проверить историю Вашего интернет-обозревателя, где всегда сохраняются адреса сайтов, на которые был совершен переход с браузера.

История браузера должна проверяться первым делом, поскольку с его помощью можно получить данные для входа в социальные сети, банковские аккаунты, учетные записи онлайн-сервисов цифровой дистрибуции (к примеру, Steam, Origin, Epic Games Store и т.д.) и другие сервисы, откуда злоумышленники могут получить данные платежных карт и другую материальную выгоду.

В открывшемся окне можно просмотреть дату, время и посещенные ресурсы, по которым можно определить, что искали третьи лица при несанкционированном доступе к ПК.

Если Вы обнаружили, что история браузера была очищена, хотя Вы этого не делали, это означает, что во время несанкционированного доступа кто-то пытался скрыть следы работы за компьютером.

В таком случае следует воспользоваться нашим руководством «Как восстановить историю браузера после очистки» , где можно узнать про восстановление и просмотр истории во всех популярных браузерах.

Помимо истории, браузер Google сохраняет многие действия, совершенные в сети с компьютера, в специальном разделе «Мои действия» , где можно более детально просмотреть вводившиеся поисковые запросы , просмотренные видеоролики на YouTube и другую информацию.

Для перехода в меню «Мои действия» , достаточно скопировать и вставить в адресную строку ссылку https://myaccount.google.com/activitycontrols , после чего выбрать требуемый пункт (к примеру, выберем пункт «История приложений и веб-поиска» , но также здесь можно просмотреть историю местоположений, история просмотров и поисков YouTube, данные с синхронизированных устройств и т.д.) и нажать по кнопке «Управление историей» .

В открывшемся окне можно детально ознакомиться со всеми действиями, просмотрами и введенными поисковыми запросами, которые были совершены в ближайшее время.

Просмотр измененных файлов

Ознакомившись с историей в браузере следует приступить к выявлению действий, которые были совершены непосредственно с компьютером и личной информацией.

Чтобы просмотреть файлы, документы и другие данные, подвергнувшиеся изменению при несанкционированном доступе следует воспользоваться функцией просмотра именных файлов.

Чтобы сделать это необходимо:

Шаг 1. Нажимаем правой кнопкой мыши по «Пуск» и в открывшемся меню выбираем пункт «Выполнить» . В строке открывшегося окна вводим команду «recent» и подтверждаем действие «Ок» .

Шаг 2. В открывшемся окне можно обнаружить последние файлы , фотографии , документы и другие данные с которыми выполнялись какие-либо действия, а также точную дату их изменения .

Стоит отметить, что «подкованные» злоумышленники могут удалить все данные из этой папки, но это станет явным следом деятельности третьих лиц с системой и информацией.

Поиск удаленных данных в корзине

Если во время несанкционированного доступа к Вашему компьютеру были удалены какие-либо данные, они могли попасть в корзину , где можно посмотреть время удаления, а также быстро восстановить удаленные файлы.

При стандартных настройках интерфейса Windows, корзина всегда располагается на рабочем столе .

Если есть подозрения, что файлы были удалены при несанкционированном доступе, а корзина была очищена, рекомендуем срочно ознакомиться с темой «Как восстановить файлы после удаления в «Корзину» и ее очистки» , поскольку если не восстановить данные сразу, в скором времени они могут быть уничтожены из-за перезаписи !

Просмотр папки «Загрузки»

Помимо корзины, обязательно следует посетить папку «Загрузки» , поскольку в ней могут содержаться последние данные, скачанные на компьютер из интернета.

Это могут быть и вредоносные программы, и специальные утилиты для слежки, а также другое вредоносное и опасное ПО, способное навредить системе и конфиденциальности пользователя. Проще всего перейти в папку из каталога «Мой компьютер» или «Этот компьютер» в Windows 10.

В открывшемся окне следует внимательно проверить скачанные установочные данные и другие подозрительные файлы. В случае обнаружения таких, следует немедленно их удалить, поскольку запуск исполняемых файлов может привести к заражению.

Просмотр последних установленных программ

Во время несанкционированного доступа к Вашему компьютеру, в систему могли быть установлены сторонние программы, майнеры, рекламные приложения и другое нежелательное ПО, поэтому следует проверить список последних установленных программ .

Чтобы сделать это, следует:

Шаг 1. Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления» , после чего переходим в непосредственно сам пункт «Панель управления» .

Шаг 2. Находясь в панели управления, включаем режим отображения «Категория» и нажимаем по пункту «Удаление программы» .

Шаг 3. В открывшемся списке нажимаем по графе «Установлено» , чтобы выровнять перечень программ по дате установки , после чего внимательно просматриваем все недавно установленные программы на наличие подозрительных.

При обнаружении неизвестных утилит, лучшим решением будет их удаление . Это можно сделать при двойном нажатии левой кнопкой мыши в списке. Важно! В данном окне могут отображаться системные программы и утилиты, поэтому следует знать, что нужно удалить, а что лучше оставить.

Поиск последних запущенных программ

Система Windows также позволяет узнать в какое время и какие программы были запущенны, что поможет лучше понять, что происходило во время несанкционированного доступа.

Чтобы воспользоваться поиском последних запущенных программ необходимо:

Шаг 1. Переходим в каталог «Этот компьютер» и в правом верхнем углу вводим в поиск «.exe» — ключ, который позволит найти все исполняемые файлы на компьютере.

Шаг 2. Нажимаем правой кнопкой мыши по любому из колонок списка и в открывшемся меню выбираем «Сортировка» , после чего «Подробнее» .

Шаг 3. В открывшемся меню ставим галочку напротив пункта «Дата доступа» , что позволит выровнять список по последним запущенным исполнительным файлам программ.

Дополнительные методы выявления последних действий

Помимо вышеописанных способов, опытные пользователи смогут воспользоваться просмотром журналов Windows , которые позволяют найти, когда были запущены различные приложения или, когда выполнялся вход и выход из системы.

Стоит отметить, что журнал событий является средством, предназначенным для системных администраторов, поэтому пользователи, не знающие коды конкретных событий, не смогут найти нужную информацию в журналах.

Помимо вышеописанных способов, можно на постоянной основе пользоваться специальными программами для слежения за компьютером (к примеру: NeoSpy, Snitch, Actual Spy и другие). В данном случае, утилиты будут показывать все действия, произведенные с компьютером в удобном меню и в понятной для любого пользователя форме.

Что делать если в ходе несанкционированного доступа были удалены важные данные?

Если Вы обнаружили, что кто-то намеренно удалил важные данные , фотографии , документы или любую другую информацию с компьютера, рекомендуем немедленно воспользоваться специальной утилитой для восстановления информации RS Partition Recovery .

С её помощью можно быстро вернуть данные , которые были удалены комбинацией клавиш Shift+Delete , отформатированы с носителя, удалены вирусным ПО , или уничтожены в ходе изменения логической структуры носителя .

RS Partition Recovery обладает крайне низкими системными требованиями, что позволяет использовать программу даже на ноутбуках и офисных машинах. Помимо этого, утилита для восстановления данных имеет интуитивно-понятный интерфейс, в котором сможет разобраться абсолютно любой пользователь.

Чтобы вернуть утерянные файлы, достаточно провести быстрое или полное сканирование накопителя. Это поможет выявить недавно удаленные файлы или все данные, возможные для восстановления. Чтобы ознакомиться с другими возможностями и преимуществами работы с RS Partition Recovery, рекомендуем посетить официальную страницу программы .