none
Несанкционированная установка ПО RRS feed

  • Вопрос

  • Коллеги, добрый день!

    Возникла потребность отслеживать действия, связанные с установкой любого ПО на сервера.

    Подскажите пожалуйста, существует ли какой-то eventid для такого аудита? Либо возможно существуют какие-то практики по организации такого аудита при помощи стандартных средств Windows? 

Ответы

  • Здравствуйте Денис,

    Посмотрите следующую ссылку: Tracking Software Installation and Removal Using Event IDs 11707, 11724, and 592

    В ней описываются Event ID из логов приложений и безопасности.

    Еще одна, которая может пригодиться: Software Installation and Maintenance Event Log Entries


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Elina Lebedeva Вам перечислила event id, я хочу добавить вам пару рекомендаций как сделать аудит встроенными средствами(потому что копаться в журнале вам явно не захочется, а ставить сторонний софт тут нет необходимости.):

    1) Powershell, в общем и целом это делает 

    Get-WinEvent -FilterHashtable @{LogName=”xxx”;ID=yyyy}

    Хорошая статья как обрабатывать такие события вот тут

    2) Настроить отправку электронного сообщения при возникновении события(не работает в windows 8/ Windows server 2012):

    В Event Viewer найти нужные событие, правой кнопкой - Attach task to this event - выбрать - send e-mail 


    DULCE LAUDARI A LAUDATO VIRO

    5 июня 2013 г. 11:42

Все ответы