Je dois déterminer qui a installé un programme particulier (Adobe Flash) sur un serveur.
Comment puis-je faire ça ?
Réponses
Trop de publicités?
En fonction de votre niveau de journalisation, vous pourrez peut-être consulter les journaux d'événements et voir qui a appelé le programme d'installation.
En fait, je viens d'installer Adobe Reader sur une VM 2008 R2 par défaut, et j'ai constaté qu'il enregistrait l'utilisateur qui avait installé le programme. En quelque sorte.
EventID 1040, Source : MsiInstaller UserID : [GUID].
Faites correspondre ce GUID à un utilisateur, et vous êtes en or.
Si, bien sûr, vous êtes dans la situation malheureuse de ne pas avoir cette entrée de journal, votre meilleure chance est de passer en revue et de voir si vous pouvez déterminer quand, précisément, il a été installé, et de corréler cela avec les journaux des événements de sécurité pour déterminer qui avait une session de connexion interactive à ce moment-là.
Les journaux du programme d'installation d'Adobe pourraient également être plus utiles pour déterminer l'heure précise de l'installation, car il est possible que votre niveau de journalisation n'ait même pas enregistré l'installation d'une application non-MS dans les journaux d'événements. Quoi qu'il en soit, il s'agit probablement de trouver l'heure précise, et de parcourir les journaux de sécurité pour déterminer qui a eu un accès à l'application. ouvrir une session de type 2 ou de type 10 pendant cette période.
C'est vraiment pénible, et si vous êtes celui qui va être relégué à la plongée en rondins, ce n'est peut-être pas une mauvaise idée de faire une rapide analyse coûts/bénéfices de ce que cela va coûter de dénicher ces informations [pas vraiment concluantes], parce que ce n'est pas exactement une preuve irréfutable. Cela vous donnera une idée assez précise du coupable, mais à moins que vous n'ayez un niveau de journalisation suffisamment élevé pour voir quel utilisateur a appelé l'installateur, cela ne sera pas considéré comme une preuve définitive. (Ou du moins, je ne l'ai jamais vu pris de cette façon).
Sawta
Points
345
En utilisant l'Observateur d'événements, vous pouvez filtrer les Application log pour l'ID de l'événement 11707 . Effectuez une recherche en fonction de la date et de l'heure auxquelles vous pensez que le programme a été installé et vous obtiendrez également un nom d'utilisateur. Très utile si vous avez besoin de savoir qui installe quoi et quand.
Alternativement, vous pouvez filtrer les Application log pour l'ID de l'événement 11724 si vous avez besoin de voir qui un installé une application.
Informations trouvées par le biais de ce site web .
Grant
Points
16706
0 votes
Autant de personnes ont-elles des droits d'administrateur sur le serveur pour installer des logiciels ?
1 votes
La question à laquelle j'essaie de répondre est de savoir s'il s'agit de l'un de mes collaborateurs ou de l'un des membres du personnel du propriétaire du serveur. Nous n'avons aucune raison d'installer quoi que ce soit lié à Adobe (il s'agit d'un serveur de base de données) au cours de notre processus d'installation. Ils pensent également que nous avons installé un serveur web basé sur linux. Ils se basent sur les timbres de fichiers des répertoires. J'aimerais leur donner un moyen de déterminer qui a fait cela.