– це штатний інструмент розгортання Windows, утиліта, призначена переважно для OEM-виробників та корпоративних IT-Фахівців. Використовується для підготовки брендових та, відповідно, корпоративних збірок Windows. OEM-збирачі та IT-Фахівці на комп'ютері або віртуальній машині готують еталонний образ Віндовс: у встановлену з офіційного дистрибутива систему впроваджують оновлення.
А також корпоративний, брендовий чи партнерський софт, видаляють чи відключають вбудований у систему функціонал, проводять необхідні системні налаштування. Потім вже налаштовану систему відв'язують від комплектуючих комп'ютерного пристрою, на якому проводилася робота, прибирають ідентифікуючі дані. І, нарешті, все це запаковують в образ для розгортання на кінцевих пристроях користувачів або співробітників компанії. Це може бути або настановний ISO-Файл, або резервна копія. У цьому ланцюжку дій грає роль механізму відв'язування від заліза та ідентифікуючих даних. У яких випадках ця утиліта може стати в нагоді звичайному користувачеві, як вона працює, які у неї є обмеження, і як з ними впоратися – про це все нижче.
Що таке Sysprep
Утиліта видаляє драйвери комплектуючих, обнуляє SID, чистить системний журнал подій та папки. "Temp", скидає активацію (До трьох разів) знищує точки відновлення. Загалом дбає про те, щоб при новому запуску ми отримали чисту операційну систему, тільки з певними передустановками.
Області використання
Створення еталонних образів модифікованих збірок Віндовс для розгортання на багатьох клієнтських комп'ютерах – головне завдання . Але утиліту можуть використовувати звичайні користувачі на своїх домашніх пристроях. До її допомоги можна вдатися у разі нестабільної роботи Windows після заміни комплектуючих. А ще краще - застосувати її перед тим, як міняти ці комплектуючі.
– це ще й інструмент, за допомогою якого можна перенести робочу систему на інший комп'ютер із відмінними комплектуючими. Бекап-софт професійного рівня для таких випадків передбачає функції типу Universal Restore , Adaptive Restoreі т.п.Ці функції роблять, по суті, те саме, що й , Тільки на етапі відновлення. Завдяки чому на еталонний образ можна перетворити будь-який старий бекап Windows. Але такі функції рідко коли зустрінеш на борту безкоштовних бекаперів. Наприклад, вони є на борту спочатку платного ПЗ від Acronisі Paragon, а також поставляються лише у платних редакціях ПЗ від AOMEIі EaseUS. Якщо Windows відв'язати від комплектуючих за допомогою , її можна перенести на інший комп'ютер з використанням завантажувальних носіїв безкоштовних бекаперів, наприклад, від тих самих розробників AOMEIі EaseUS.
Запуск утиліти
Запуск найпростіше здійснити за допомогою команди Win+R.
Таким чином, у провіднику отримаємо безпосередній доступ до файлу її запуску.
Відв'язка від комплектуючих
Щоб відв'язати Windows від поточних комплектуючих перед їх заміною або створенням бекапу системи для перенесення на інший пристрій, використовуємо "Перехід у вікно OOBE"і вибираємо завершення роботи.
За такого розкладу утиліта здійснить лише скидання драйверів комплектуючих. Якщо ж виставити галочку опції «Підготовка до використання», буде проведено низку заходів для передачі системи новому користувачеві - чищення системного журналу та тимчасових файлів, видалення точок відновлення, обнулення SID, скидання активації тощо.
Утиліта виконає свою роботу, і комп'ютер вимкнеться. Далі можна приступати до тих чи інших дій – міняти комплектуючі, бекапит систему з завантажувального носія. З новим включенням - як на вихідному пристрої, так і на тому, куди система переносилася за допомогою відновлення з бекапу - спочатку бачитимемо, як встановлюються драйвери на нові комплектуючі, а потім потрапимо у вікно OOBE. Вікно OOBE— це не що інше, як екран вітання системи, який ми зазвичай бачимо на завершальному етапі інсталяції Windows, де потрібно вказати регіональні дані та створити свій обліковий запис.
І оскільки при заміні комплектуючих або відновленні Windows на інших комп'ютерах створення нового облікового запису потреби немає, спокійно можемо скинути цей процес клавішами Ctrl + Shift + F3 . Це клавіші входу до прихованого облікового запису адміністратора. Система спробує підвантажити її, але у доступі відмовить. Тиснемо «Ок».
І після перезапуску побачимо звичний екран блокування з усіма обліковими записами.
Режим аудиту надає можливість отримати доступ до середовища Віндовс без створення облікового запису конкретного користувача в режимі згаданого облікового запису адміністратора.
У цьому режимі, власне, і проводиться OEM-виробниками та IT-Фахівцями підприємств налаштування стандартного образу системи з необхідними драйверами, параметрами і впровадженим софтом. Первинний вхід у режим аудиту виконується на етапі установки Windows - тієї, що згодом повинна стати еталонним чином, і на якій не повинно існувати жодних облікових записів і ідентифікуючих даних. Після етапу підготовки пристроїв потрапимо на завершальний етап установки системи, що починається із завдання регіональних налаштувань. І тут тиснемо клавіші Ctrl+Shift+F3.
Після перезавантаження потрапимо у режим аудиту. Останній завантажується із за замовчуванням запущеним вікном для зручності. Ось, власне, в такому режимі можна приступати до модифікації Windows. Якщо в процесі внесення правок в систему, наприклад, при встановленні певного софта буде потрібно перезавантаження, все, що потрібно зробити, - це закрити вікно утиліти. І здійснити перезавантаження звичним чином. Після перезавантаження система знову запуститься у режимі аудиту. Завершується робота у цьому режимі так, як було розглянуто у попередньому пункті статті – вибором у вікні екрану OOBE. І зазвичай із застосуванням опції підготовки до використання.
Еталонну модифіковану Windows зазвичай роблять із чистої, щойно встановленої системи. Але можливий варіант створення стандарту з урахуванням напрацьованої системи. Для цього всередині робочої Віндовс необхідно запустити та вибрати у її вікні перехід у режим аудиту. Завершальний параметр — .
Увійшовши в режим аудиту, можемо видалити облікові записи тих користувачів, які досі працювали з системою, доналаштувати що потрібно, а потім виконати відв'язку від комплектуючих (і при необхідності від даних, що ідентифікують) з переходом у вікно OOBE .
Ось тільки з кожної робочої системи вдасться створити еталонний образ. Цей механізм має свої обмеження.
Вирішення проблем із запуском Sysprep
На жаль, не спрацює, якщо Windows була не встановлена начисто, а оновлена з попередньої версії, клонована або відновлена з бекапу, створеного на іншому залізі. У таких випадках при запуску утиліти зазвичай отримаємо таке повідомлення.
У такому разі можна щось зробити, щоправда, без гарантованого успіху в усіх 100% випадків.
Створюємо бекап системи або хоча б запасаємося точкою відновлення, оскільки далі працюватимемо із системним реєстром.
Запускаємо його.
Розкриваємо шлях:
HKEY_LOCAL_MACHINE\SYSTEM\Setup
Якщо система оновлювалася з попередньої версії, насамперед у самому каталозі "Setup"видаляємо параметр «Upgrade» .
Потім розкриваємо каталог "Setup", клацаємо підкаталог "Status", тут нам потрібний параметр . Встановлюємо його значення 7 .
Якщо такого параметра немає, ми створюємо його. У контекстному меню вікна реєстру тиснемо "Створити", Потім - "Параметр DWORD (32 біта)".
Даємо ім'я параметру.
Встановлюємо його значення 7 . Після перезавантаження знову пробуємо запустити .
Ця документація переміщена до архіву і не підтримується.
Завантаження Windows у режимі аудиту або запуск при першому увімкненні комп'ютера
У режимі аудиту можна настроїти комп'ютер, додати програми та драйвери пристроїв, а також перевірити роботу комп'ютера в середовищі Windows. Під час завантаження в режимі аудиту для запуску комп'ютера використовується вбудований обліковий запис адміністратора. Windows® автоматично видаляє цей обліковий запис на етапі налаштування. Після налаштування на завантаження в режимі аудиту комп'ютер за замовчуванням завантажуватиметься в цьому режимі доти, доки перед поставкою ви не налаштуєте його на запуск при першому увімкненні комп'ютера.
Якщо під час роботи в режимі аудиту увімкнеться заставка, захищена паролем, повторний вхід до системи буде неможливим. Вбудований обліковий запис адміністратора, який використовується для входу в режим аудиту, вимикається відразу після входу. Щоб вимкнути екранну заставку, або змініть схему керування живленням на панелі керування Windows, або налаштуйте та застосуйте спеціальну схему керування живленням. Щоб отримати додаткові відомості, див.
У цьому розділі
Автоматичне завантаження в режимі аудиту при новій установці
Щоб настроїти завантаження Windows у режимі аудиту, додайте параметр Microsoft-Windows-Deployment Reseal | Mode = auditфайлу відповідей.
Після інсталяції Windows комп'ютер автоматично завантажиться в режимі аудиту і запустить засіб Sysprep. Докладніше про використання засобу Sysprep у режимі аудиту див. у розділі .
Примітка
Параметри у файлі відповідей для етапу налаштування oobeSystemне відображаються у режимі аудиту. Докладніше про те, які параметри файлу відповідей обробляються під час завантаження в режимі аудиту або запуску при першому увімкненні комп'ютера, див. у розділі .
Завантаження в режимі аудиту вручну (при новій або існуючій установці)
Коли з'явиться екран запуску під час першого увімкнення комп'ютера, натисніть клавіші CTRL+SHIFT+F3.
Windows перезавантажить комп'ютер у режимі аудиту та запустить засіб Sysprep ( Sysprep).
Примітка
Поєднання клавіш CTRL+SHIFT+F3не оминає всі частини процесу запуску при першому включенні комп'ютера, такі як виконання сценаріїв та застосування параметрів файлу відповідей на етапі налаштування oobeSystem.
Автоматичний запуск при першому увімкненні комп'ютера під час нової установки
Зміна існуючого образу, налаштованого на запуск при першому увімкненні комп'ютера
Використовуйте клавіші CTRL+SHIFT+F3. Комп'ютер перезавантажиться в режимі аудиту.
При цьому можуть виконатися сценарії, які ви налаштували для режиму запуску під час першого увімкнення комп'ютера.
Підключіть образ, додайте файл відповідей із параметром auditі збережіть його як C:\test\offline\Windows\Panther\Unattend\Unattend.xml. При цьому може знадобитися перезаписати існуючий файл відповідей, розташований цим шляхом.
Наступного разу Windows завантажиться безпосередньо в режимі аудиту.
Якщо Windows налаштовано на завантаження програми, що запускається при першому увімкненні комп'ютера, а вам потрібно виконати додаткові налаштування образу в режимі аудиту, виконайте одну з таких дій.
Автоматичне завантаження в режимі аудиту з існуючого образу
Можна також використовувати образ за допомогою параметрів файлу відповідей, які вказують, наприклад, для встановлення та конфігурації диска, який потрібно встановити на кінцевому комп'ютері. Для отримання додаткових відомостей див . довідник автоматичної установки Windows .
Приклади розгортання
Щоб перенести образ на інший комп'ютер, спочатку необхідно видалити з нього відомості про налаштований комп'ютер, виконавши підготовку образу до використання за допомогою засобу Sysprep. Перед поставкою комп'ютера необхідно підготувати його до використання та налаштувати так, щоб при першому увімкненні користувачем виконувався запуск при першому увімкненні комп'ютера. У наведених нижче прикладах показано, як створити еталонний образ і перенести його на інший комп'ютер, а потім створити образ для конкретної моделі, з яким комп'ютер передається користувачеві.
Етап 1. Перенесення образу на інший комп'ютер
У командному рядку введіть команду Sysprep /generalize/shutdown.
У вікні програми підготовки системи встановіть прапорець Підготовка до використанняв області Дія з очищення системи, в полі Параметри завершення роботиВиберіть Завершення роботита натисніть кнопку ОК.
Встановіть Windows на комп'ютер-зразок.
Після завершення інсталяції завантажте комп'ютер і інсталюйте всі додаткові драйвери пристроїв та програм.
Sysprep:
Sysprepвидаляє дані про конкретну систему з інсталяції Windows. Відомості, що стосуються конкретної системи, включають журнали подій, унікальні ідентифікатори безпеки (SID) та інші дані. Після того як Sysprepвидалить унікальні відомості про систему, комп'ютер завершує роботу.
Після завершення роботи комп'ютера вставте USB-накопичувач передінсталяції Windows або інший завантажувальний носій і завантажте середовище передустановки Windows.
У сеансі середовища встановлення Windows запишіть еталонний образ за допомогою команди Dism/capture-image.
Перейдіть до наступного етапу створення вихідного образу конкретної моделі.
Етап 2. Підготовка комп'ютера для користувача
Встановіть еталонний образ, який ви створили на кроці для користувачів.
Після оновлення інсталяції Windows у командному рядку виконайте команду Sysprep /audit /generalize/shutdown, щоб настроїти Windows для завантаження в режимі аудиту. Потім можна записати цей образ Windows за допомогою середовища попереднього встановлення Windows або завантаження в інший розділ.
Під час інсталяції Windows на новий комп'ютер використовуйте новий вихідний образ для конкретної моделі. Образ Windows застосовується до комп'ютера і завантажується в режимі аудиту.
На вимогу користувача можна встановити додаткові програми та інші оновлення (ця дія не є обов'язковою). Також можна протестувати комп'ютер для перевірки правильної роботи всіх компонентів.
Після оновлення інсталяції Windows запустіть Sysprep /oobe /shutdown command.
У цьому розділі описано, як виконувати завантаження в режимі аудиту, настроїти комп'ютер і підготувати комп'ютер для користувачів.
Існує два способи для завантаження в режимі аудиту:
- Під час відображення екрана Windows® вітання натисніть клавіші SHIFT+CTRL+F3.
- Щоб настроїти комп'ютер для запуску в режимі аудиту, виконайте команду Sysprepз параметром /audit.
- audit
Якщо комп'ютер налаштовано на завантаження в режимі аудиту, він буде завантажуватися в режимі аудиту, доки не буде виконано налаштування запуску, що використовує екран привітання Windows.
Робота в режимі аудиту
Режим аудиту дозволяє додати додаткові драйвери пристроїв, встановити програми та перевірити правильність установки. Перед поставкою комп'ютера користувачеві виробники обладнання (OEM) та організації повинні використовувати режим аудиту для ручного налаштування.
| Увага! | |
|
Зміна параметрів автоматичного встановлення в режимі аудиту
Щоб змінити параметри системи в режимі аудиту, створіть новий автоматичний файл.
Вихід із режиму аудиту та підготовка комп'ютерів для користувачів
Після завершення налаштування та перевірки готовності комп'ютера до продажу можна виконати налаштування системи для користувачів.
Щоб отримати додаткові відомості про налаштування екрана привітання Windows, див. Автоматизація екрана привітання Windows.
Можна задати параметри екрана привітання Windows за допомогою файлу вмісту oobe.xml. Для отримання додаткових відомостей див. Технічний посібник користувача Oobe.xml .
Для перенесення зображення на інший комп'ютер необхідно спочатку видалити відомості, що стосуються тільки цього комп'ютера, з налаштованого комп'ютера. Щоб отримати додаткові відомості, див. Підготовка до створення образу для розгортання (Generalize) .
Підготовка комп'ютера до розгортання
Налаштування комп'ютера на завантаження екрана вітання Windows
- У режимі аудиту виконайте команду Sysprepз параметром /oobe.
- Під час автоматичного встановлення установіть для параметра Microsoft-Windows-Deployment \Reseal\Mode значення oobe. Щоб отримати додаткові відомості про ці параметри, див. Довідник автоматичної установки Windows®.
Комп'ютер буде перезавантажено, і запуститься екран привітання Windows.
Вітаю! Будь ласка, напишіть детальну статтю про створеннясвоєї збірки Windows 7 із встановленим програмним забезпеченням! Зараз на моєму комп'ютері встановлена Windows 10 і чи можна в ній створити налаштовану збірку сьомої вінди? Читав на вашому сайті попередні статті на цю тему, за них окреме спасибі.
Привіт друзі! Зовсім недавно на нашому сайті на цю тему була опублікована стаття мого друга Володимира, в ній ми і хочу сказати, що у випадку з Windows 7 потрібно робити все те ж саме, відмінність найменша, і про нього я вам обов'язково розповім. Ще зауважу, що зовсім неважливо, в якій вінді ви хочете створити свою збірку Windows 7, це може бути сама сімка або Windows 8.1, 10 робити потрібно все те ж саме. Сьогодні ми будемо працювати у Windows 8.1.
На початку статті кілька слів про режим аудиту. Режим аудиту активно використовують виробники комп'ютерних пристроїв, створюючи за допомогою нього налаштований дистрибутив Windows, що містить своє фірмове програмне забезпечення (антивірус, утиліти діагностики, програму відкату до заводських налаштувань і т.д), в Надалі такий дистрибутив використовується для встановлення вінди на комп'ютери та ноутбуки, які ми купуємо в магазинах.Ще режим аудиту використовую пірати для створення своїх.Сам я багато разів створював гвинтові дистрибутиви з встановленим програмним забезпеченням в режимі аудиту і мені здалося, що найпростіший спосіб створення дистрибутива ОС із встановленим програмним забезпеченням, це використовувати віртуальну машину.
У VirtualBox створюємо віртуальну машину Windows 7.
Завантажуємо віртуальну машину з ISO-образу Windows 7 і зазвичай встановлюємо сімку на віртуалку.
У кінцевій фазі установки ОС тиснемо клавіатурне поєднання Ctrl+Shift+F3.
Операційна система перетворюється на режим аудиту.Натисніть на хрестик і закрийте вікно(Після встановлення всіх необхідних програм ми відкриємо його знову). У режимі аудиту ви можете встановлювати та видаляти програми, перезавантажуватись і завершувати роботу комп'ютера, одним словом експериментуйте з Windows як хочете.
Встановлюємо всі програми, які ми хочемо мати в дистрибутиві Win 7.
Запускається утиліта "sysprep",
У вікні з параметрами виставляємо параметри:
Переведення системи до режиму (OOBE).
Зазначаємо пункт - Підготовка до використання.
Завершення роботи
та натискаємо ОК.
Windows 7 готується утилітою "sysprep" кілька хвилин, а потім VirtualBox вимикається.
На даному етапі нам знадобиться.Завантажуємо віртуальну машину із ISO-образу Win 10.У початковому вікні установки Windows 10 тиснемо клавіатурне поєднання Shift + F10,відкривається командний рядок Середовища інсталяції Windows PE.
На цьому етапі підключіть USB-флешку до комп'ютера. Потім підключіть USB-флешку до віртуальної машини. Пристрої->USB виберіть флешку.
у командному рядку вводимо команди:
diskpart
lis vol (даною командою виводимо список розділів жорсткого диска, бачимо, що прихованому розділу (Зарезервовано системою) присвоєно букву (C:), а розділу із встановленою Windows 7 присвоєно букву диска (D:), а USB-флешці букву (F:) .
exit (виходимо з DiskPart)
вводимо наступну команду, яка здійснить захоплення диска (D:) із встановленої Windows 7 у файл-образ формату WIM і збереже його на USB-флешці (літера диска (F:)).
Dism /Capture-Image /ImageFile:F:\install.esd /CaptureDir:D:\ /Name:Windows /compress:max
install.wim: - це назва майбутнього WIM-образу диска (C:) з Windows 7.
F:\- місце збереження ESD-образу.
D :\ - розділ із інстальованою Windows 7.
Вимикаємо віртуальну машину.
Створення дистрибутива Windows 7
В результаті всіх вищенаведених наших дій ми маємо на нашій флешці файл install.wim (розмір 4.08 Гб), що містить файли операційної системи Windows 7 з попередньо встановленим програмним забезпеченням і наступним кроком нам потрібно зібрати на основі його дистрибутив Win 7.
Віртуальну машину ми вимкнули і тепер в основній операційній системі наша флешка має букву диска (K:). На флешці міститься файл install.wim розміром 4.08 Гб.
Збираємо ISO-образ Windows 7 із новим файлом install.wim
Завантажуємо ISO-образ Windows 7,
Потім створюємо папку на флешці (K:) і називаємо її 7.
Вставляємо в неї скопійований вміст ISO-образу Windows 7.
Після копіювання файлів копіюємо файл install.wim на флешці.
та заходимо на диск (K:)
у папку K:\7\sources, клацаємо правою мишею і вибираємо "Вставити".
Вибираємо "Змінити файл у папці призначення".
Оригінальний файл install.wim з дистрибутива Windows 7 замінено нашим файлом install.wim, що містить програмне забезпечення.
Набір засобів для розгортання Windows (Windows ADK)
Нам залишилося перетворити папку 7 з файлами Windows 7 на інсталяційний ISO-дистрибутив із встановленим програмним забезпеченням. Якщо ви досвідчений користувач, то напевно на вашому комп'ютері встановлений комплект засобів для розгортання Windows (Windows ADK), якщо ні, то завантажте його за посиланням і встановіть.
Для Windows 8.1
https://www.microsoft.com/ru-ru/download/details.aspx?id=39982
Іноді трапляються події, які вимагають від нас відповісти на запитання "хто це зробив?"Таке може відбуватися «рідко, але влучно», тож до відповіді питання слід готуватися заздалегідь.
Практично повсюдно існують проектні відділи, бухгалтерія, розробники та інші категорії співробітників, які спільно працюють над групами документів, що зберігаються в загальнодоступній (Shared) папці на файловому сервері або на одній із робочих станцій. Може статися так, що хтось видалить важливий документ чи директорію з цієї папки, внаслідок чого працю цілого колективу може бути втрачена. У такому разі перед системним адміністратором постає кілька питань:
Коли і о котрій виникла проблема?
З якої найближчої до цього часу резервної копії слід відновити дані?
Може, був системний збій, який може повторитися ще раз?
У Windows є система Аудиту,що дозволяє відстежувати та журналювати інформацію про те, коли, ким та за допомогою якої програми були видалені документи. За умовчанням, Аудит не задіяний - стеження саме собою вимагає певний відсоток потужності системи, а якщо записувати все поспіль, то навантаження стане занадто великим. Тим більше, далеко не всі дії користувачів можуть нас цікавити, тому політики Аудиту дозволяють включити відстеження лише тих подій, які для нас справді важливі.
Система Аудиту вбудована у всі операційні системи MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. На жаль, у системах серії Windows Home аудит захований глибоко, і його налаштовувати надто складно.
Що потрібно налаштувати?
Для включення аудиту зайдіть з правами адміністратора до комп'ютера, що надає доступ до загальних документів, та виконайте команду Start→Run→gpedit.msc. У розділі Computer Configuration розкрийте папку Windows Settings→ Security Settings→ Local Policies→ Audit Policies:
Двічі клацніть на політику Audit object access (Аудит доступу до об'єктів)та виберіть галочку Success. Цей параметр включає механізм стеження за успішним доступом до файлів та реєстру. Справді, адже нас цікавлять лише спроби видалення файлів або папок, що вдалися. Увімкніть Аудит тільки на комп'ютерах, безпосередньо на яких зберігаються об'єкти, що відстежуються.
Простого включення політики Аудиту недостатньо, ми також повинні вказати, доступ до яких папок потрібно відстежувати. Зазвичай такими об'єктами є папки загальних документів, що розділяються, і папки з виробничими програмами або базами даних (бухгалтерія, склад і т.п.) - тобто, ресурси, з якими працюють кілька осіб.
Заздалегідь вгадати, хто саме видалить файл, неможливо, тому стеження і за всіма (Everyone). Спроби видалення об'єктів, що відстежуються, будь-яким користувачем будуть заноситися в журнал. Викличте властивості потрібної папки (якщо таких папок кілька, то всіх їх по черзі) та на закладці Security (Безпека) → Advanced (Додатково) → Auditing (Аудит)додайте стеження за суб'єктом Everyone (Всі),його успішними спробами доступу Delete (Видалення)і Delete Subfolders and Files (Видалення підкаталогів та файлів):
Подій може журналуватися досить багато, тому слід також відрегулювати розмір журналу Security(Безпека), в який вони записуватимуться. Для
цього виконайте команду Start→
Run→
eventvwr.
msc.
У вікні викличте властивості журналу Security і вкажіть такі параметри:
Maximum Log Size = 65536 KB(для робочих станцій) або 262144 KB(Для серверів)
Overwrite events as needed.
Насправді, ці цифри не є гарантовано точними, а підбираються досвідченим шляхом для кожного конкретного випадку.
Windows 2003/ XP)?
Натисніть Start→ Run→ eventvwr.msc Security (Безпека). View→ Filter
- Event Source:Security;
- Category: Object Access;
- Event Types: Success Audit;
- Event ID: 560;
Перегляньте список відфільтрованих подій, звертаючи увагу на такі поля всередині кожного запису:
- ObjectName. Назва шуканої папки або файлу;
- ImageFileName. Ім'я програми, за допомогою якої видалили файл;
- Accesses. Набір запитуваних прав.
Програма може вимагати у системи відразу кілька типів доступу - наприклад, Delete+ Synchronizeабо Delete+ Read_ Control. Значимим для нас правом є Delete.
Отже, хто ж видалив документи (Windows 2008/ Vista)?
Натисніть Start→ Run→ eventvwr.mscта відкрийте для перегляду журнал Security (Безпека).Журнал може бути заповнений подіями, які прямого відношення до проблеми не мають. Клацнувши правою кнопкою по журналу Security, виберіть команду View→ Filterта відфільтруйте перегляд за такими критеріями:
- Event Source: Security;
- Category: Object Access;
- Event Types: Success Audit;
- Event ID: 4663;
Не поспішайте інтерпретувати усі видалення як зловмисні. Ця функція часто використовується при звичайній роботі програм - наприклад, виконуючи команду Save(Зберегти),програми пакету MicrosoftOfficeспочатку створюють новий тимчасовий файл, зберігають документ, після чого видаляють попередню версію файлу. Аналогічно, багато програм баз даних при запуску спочатку створюють тимчасовий файл блокувань (. lck), потім видаляють його при виході із програми.
Мені доводилося практично стикатися і зі зловмисними діями користувачів. Наприклад, конфліктний співробітник якоїсь компанії при звільненні з місця роботи вирішив знищити всі результати своєї праці, вилучивши файли та папки, до яких він мав відношення. Події такого роду добре помітні – вони генерують десятки, сотні записів на секунду у журналі безпеки. Звичайно, відновлення документів з ShadowCopies(тіньових копій)або щодобово автоматично створюваного архіву не складає особливих труднощів, але при цьому я міг відповісти на запитання «Хто це зробив?» і «Коли це сталося?».
