Задать вопрос

Как можно отследить установку/удаление программного обеспечения на компьютере с помощью событий Windows?

Добрый день, стала задача по отслеживанию факта установки и удаления на компьютерах в сети.
Т.е. некий пользователь произвёл успешно установку или успешное удаление какое либо ПО, и перехватить это событие,
точнее узнать такую информацию как

  • Название ПО
  • Дата события
  • Имя компьютера
  • Пользователь


Судя по Интернету за такие действия отвечают события 11707 / 1033 за установку и 11724 / 1034 за удаление.
Но беда в том что, это события MSIInstaller-а, получается только перехватить можно .msi пакеты.
А как быть с обычными EXE?
  • Вопрос задан
  • 650 просмотров
Подписаться 5 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 4
@TheBigBear
СтарОдмины мы
Если сторонним средствами и бюджет позволяет, то "Стахановец" Вам в помощь
Он отслеживает даже замену мышки на компе
Заодно будете знать не только что установлено/удалено но и вообще чем сотрудник занимается
А установку-удаление можно добавить в "тревогу" и Вам на комп мгновенно будут приходить уведомление о событии на удаленном компе
Ответ написан
Комментировать
mayton2019
@mayton2019
Bigdata Engineer
Стоит ли отслеживать такой флуд? Разработчик за 1 рабочий день 100 тысяч раз создаст MyFavoriteProgram.exe и столько-же раз его удалит. Так работают сборщики и IDE, а тебе будет на почту прилетать.
Ответ написан
@rPman
Отслеживать изменения в файловой системе, по уму во всей, а чтобы не изучать обновления майкрософт, параллельно 'изучать' на чистом окружении точно такую же установку, сравнив их обе при получении отличий, сигнализировать.

Если оперативность изменений не критична (например раз в сутки) то можно простыми скриптами собирать списки файлов, сортировать их и получать их разницу с помощью diff, в полученном списке искать к примеру exe (напоминаю что это не единственный способ получить исполняемый файл, к примеру это может быть скрипт WSH)

Если оперативность изменений критична, от нужен софт, анализирующий операции с файлами на лету, какой-нибудь sysinternails filemon, он пишет в огромный лог файл прописанные в настройках действия с файлами, своим скриптом его анализируешь по той же схеме

p.s. формально имен файлов недостаточно, если злоумышленник пожелает скрыть свое приложение в уже существующем файле, поэтому придется дополнительно собирать хеши содержимого (или хотя бы размеры)

Ну и в догонку, в ntfs есть именованные потоки, в которые так же можно складывать запускаемый файл и запускать его, собирать эти данные можно к примеру с помощью fsutil
Ответ написан
Комментировать
justhostRU
@justhostRU
>Добрый день, стала задача по отслеживанию факта установки и удаления на компьютерах в сети.
это неправильная постановка, пользователям изначально не надо предоставлять права администратора.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы