Где и как посмотреть на компьютере историю запуска и использования программ?

Защита информации на своем персональном компьютере — всегда важный вопрос для каждого пользователя. Проверить историю посещений браузера — простая задача, с которой справятся практически все, кто имеет малый опыт работы с ними. А то, как посмотреть историю посещения компьютера — уже более сложный вопрос.

К тому же необходимость проверить историю запуска и посещений может возникнуть при покупке или продаже компьютера незнакомым людям. Или же при передаче устройства в ремонт.

Встроенный инструмент

Операционная система Microsoft Windows обладает собственным набором трекеров, позволяющих отследить, какие изменения происходили с устройством, какие программы были запущены и какие ошибки в работе произошли. Это лишь один из способов того, как посмотреть историю на компьютере. Итак, непосредственно к инструменту. Он носит название «Журнал событий». На старых версиях операционной системы необходимо сделать следующее:

• перейти в меню «Пуск»;
• активировать панель управления компьютером;
• перед тем как посмотреть историю на компьютере, в левой части экрана найти строку под названием «Журнал Windows»;
• в открывшемся списке необходимо выбрать интересующий раздел;

Для того чтобы посмотреть историю запуска программ на Windows 10, нужно сделать следующее:

• запустить функцию «Поиск Windows»;
• ввести фразу «Управление компьютером»;
• в левой части открывшегося окна активировать строку под названием «Просмотр событий»;
• далее можно приступать к работе с функциями «Журналы Windows» и «Журналы приложений и служб».

Итак, мы разобрались с тем, где посмотреть историю на компьютере. Теперь стоит проверить список запускавшихся программ.

Проверка запуска приложений

Данная функция дает возможность проверить, какие приложения были запущены на компьютере, в какое время это произошло, а также какие ошибки возникли при работе. Чтобы проверить эту информацию, необходимо выполнить следующий алгоритм:

• в уже запущенном окне «Управление компьютером» выбрать строку «Журналы Windows»;
• после нажатия на нее откроется список, из него выбирается пункт под названием «Приложение»;
• после его активации с правой стороны окна появится еще один список с различными сведениями (он сообщает о том, какие приложения запускались на данном устройстве, в какое время это произошло и какие ошибки при этом возникали).

Теперь можно поговорить о том, как посмотреть на компьютере историю появления новых приложений.

История установок

Для того чтобы проверить, что и когда из программ появилось на вашем устройстве, необходимо выполнить следующие действия:

• запустить окно «Управление компьютером»;
• активировать строку «Журналы Windows»;
• из появившегося списка выбрать функцию «Установка». Появится перечень данных, отображающих приложения, установленные за последние несколько месяцев.

Стоит отметить, что данная система не слишком точна. В качестве примера приведена история: «06.05.2018 была установлена программа. Однако последняя дата установки за 13.04.2018».

Как посмотреть на компьютере историю включения и выключения

Данная возможность позволяет проверить, кто пользовался устройством в отсутствие хозяина. Если компьютер находится под защитой пароля, можно проверить, сколько раз кто-либо пытался попасть в систему.

Проверить данную информацию можно при помощи того же самого алгоритма:

• с помощью «Поиска Windows» на панели задач перейти в программу «Управление компьютером»;
• в открывшемся окне выбрать пункт «Журналы Windows»;
• в этом случае необходимо обратиться к строке «Система»;
• после ее активации откроется перечень событий, произошедших за время работы компьютера.

Чтобы проверить все в прямом порядке, необходимо отсортировать информацию по дате. Далее можно просто проверять информацию по времени, которое вас интересует.

Как проверить дату изменения файла?

Для того чтобы выяснить, происходило ли что-нибудь с устройством в ваше отсутствие, можно проверить состояние файлов. Точнее — дату их изменения. Делается это так:

• перейти в директорию искомого файла;
• правой кнопкой мыши нажать на ярлык приложения, и в появившемся списке выбрать пункт «Свойства»;
• в новом окне пролистать вниз до строк «Создан» и «Изменен».

Получаем историю запуска программ в Windows с помощью политик аудита

16.11.2022

itpro

PowerShell, Windows 10, Windows Server 2019, Групповые политики

комментариев 5

В этой статье мы рассмотрим, как с помощью политик аудита Windows можно узнать какие программы запускались на компьютере. Довольно часто от администратора требуют предоставить информацию о том, какие приложения запускает пользователь, когда он запускал приложение в последний раз и т.д. Эту информацию можно собрать из журнала событий Windows и преобразовать в удобный отчет с помощью PowerShell.

Сначала нужно включить политику аудита запуска/остановки процессов в Windows.

Если вы хотите включить политику аудита процессов на компьютерах в домене Active Directory, нужно использовать редактор доменных GPO – gpmc.msc .

Мы показывали, как использовать эти события аудита для поиска источника блокировки учетной записи на компьютере.

Сохраните изменения и обновите локальные политики на клиенте командой: gpupdate /force

Откройте Event Viewer ( eventvwr.msc ) и разверните раздел Windows Logs -> Security. Теперь при запуске любой программы (процесса) в этом журнале событий появляется событие Process Creation с EventID 4688.

A new process has been created.

В информации о событии указан пользователь, запустивший программу ( Creator Subject ), имя исполняемого файла процесса ( New Process Name ) и родительский процесс, из которого было запущено приложение ( Creator Process Name ).

Событие завершения процесса (A process has exited) имеет EventID 4689. Ранее мы показывали как с помощью этих события и триггера планировщика можно выполнить скрипт (действие) при запуске/завершении определённой программы в Windows.

Обратите внимание, что при включении рассмотренной выше политики Audit process tracking в журнал Security начинают сохранятся все события, связанные с процессами. Если вы хотите уменьшить число событий в Event Viewer и сохранять только информацию о событиях запуска, можно отключить данную политику и включить только расширенную политику аудита Audit Process Creation (Windows Settings -> Security Settings -> Advanced Audit Policy Configurations -> System Audit Policy -> Detailed Tracking).

Чтобы в события аудита записывалась информация о параметрах запуска процессов (аргументы, с которыми запускаются программы), включите также параметр GPO Include command line in process creation events в Computer Configuration -> Administrative Templates -> System -> Audit Process Creation.

После включения этой политики в аргументе Process Command Line видно, с каким аргументом запускался тот или иной процесс.

Не забудьте увеличить размер журнала Security со стандартных 20 Мб. Это позволит хранить история запуска приложения за более длительный период. Для этого откройте свойства журнала Security и увеличьте значение параметра Maximum log size.

Для анализа программ, запущенных пользователем можно использовать фильтры Event Viewer. Но это не очень удобно. Ниже я покажу несколько PowerShell скриптов который позволят вам получить удобные списки событий с историей запуска приложений пользователями. Для получения событий из журнала Event Viewer мы будем использовать команду Get-WinEvent:

$processhistory = @()
$today = get-date -DisplayHint date -UFormat %Y-%m-%d
$events=Get-WinEvent -FilterHashtable @LogName = ‘Security’
starttime=»$today»
ID = 4688
>
foreach ($event in $events)$proc = New-Object PSObject -Property @ProcessName=$event.Properties[5].Value
Time=$event.TimeCreated

CommandLine=$event.Properties[8].Value
User=$event.Properties[1].Value
ParentProcess=$event.Properties[13].Value
>
$processhistory += $proc
>
$processhistory| Out-GridView

Данный PowerShell скрипт выберет все события запуска программ за сегодняшний день и выведет список процессов, времени запуска и пользователях в графическую таблицу Out-GridView.

Полученный массив объектов можно использовать для выполнения различных запросов.

• Найти всех пользователей, которые запускали определённое приложение: $proc_name=”notepad++.exe”
  $processhistory | where-object |out-gridview
• Вывести список программ, которые запускал сегодня определенный пользователь:
  $username=»aivanov»
  $processhistory | where-object |out-gridview

Такие скрипты часто используем для анализа запуска программ пользователей на серверах RDS фермы.

Также история запуска программ в Windows ведется в файле %SystemRoot%\AppCompat\Programs\Amcache.hve. Файл заблокирован Windows и прочитать его можно только, загрузившись с LiveCD или загрузочного/установочного диска. В файле есть метки запуска, установки/удаления программы, контрольные суммы исполняемого файла (SHA1). Для преобразования этого бинарного файла в текстовый формат нужно использовать сторонние утилиты (например, regripper).

Также напоминаю, что PowerShell также ведет собственную историю запущенных команд.

Предыдущая статья Следующая статья

При подготовке материала использовались источники:
https://fb.ru/article/384026/gde-i-kak-posmotret-na-kompyutere-istoriyu-zapuska-i-ispolzovaniya-programm
https://winitpro.ru/index.php/2022/04/04/audit-zapuska-programm-v-windows/