如何在 Windows 11 中检查谁安装或删除了软件
-
了解谁在 Windows 计算机上安装或删除了软件有时会很有帮助。也许你正在尝试排除故障、执行安全策略,或者只是好奇。不过,Windows 本身并不提供直接检查谁安装或删除了软件的选项。不过,我们在下文中会简要讨论一些方法。
如何在 Windows 11/10 中检查谁安装或删除了软件
有多种方法可以跟踪谁安装或删除了软件。不过,您需要管理员权限才能完成此任务。
PowerShell 命令
事件查看器
审核日志记录
1、PowerShell 命令
您可以使用 PowerShell 命令。它可让您高效地过滤和搜索日志:
右键单击 Windows 图标并选择 Windows 终端(管理员)。
复制并粘贴以下命令,然后按 Enter:
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=11707,11724} | ForEach-Object { [PSCustomObject]@{ TimeCreated = $_.TimeCreated; EventID = $_.Id; User = $_.UserId.Translate([System.Security.Principal.NTAccount]).Value; Message = $_.Message } }
2、事件查看器
了解软件安装或删除情况的直接方法之一是通过事件查看器,因为它能提供包含用户信息的详细日志。
小米/红米 MIUI手机自带浏览器如何开启简洁模式和关闭广告
按 Windows 键 + R 打开运行。
键入 eventvwr.msc 并按 Enter。
从事件查看器中,转到 Windows 日志 > 安全。
在此处,查找这些事件 ID,例如 11707、11724、1033、1034 和 1035,它们与安装和删除有关。
打开其中任何一个,然后检查事件详细信息中的 Account Name 字段以了解谁执行了作。
3、审核日志记录
如果想知道谁安装或删除了软件,可以在本地安全策略设置中启用审计记录。这将确保捕获未来事件。
打开“运行”并键入 secpol.msc,然后按 Enter。
从“本地策略编辑器”中,转至“高级审核策略配置”>“系统审核策略”>“对象访问”。
在这里,双击 “审核其他对象访问事件”,并启用它们。
以上就是几种检查谁安装或删除了软件的方法。虽然 “事件查看器” 似乎是一个快速的选择,但要知道,事件日志可能会被清除或覆盖。因此,请确保先设置审核,以获得准确的结果。
希望本文能帮到大家,也请大家多多关注电脑志网站。
管理员能否使用组策略跟踪多台计算机上的软件安装/卸载情况?
如果通过 Active Directory 管理网络,可以配置组策略设置来启用审计并从多个系统收集日志。通过组策略启用 “审计进程跟踪 ”和 “审计其他对象访问事件”,并使用日志收集(如 Windows 事件转发或 SIEM),就可以监控整个环境中的安装/卸载活动。
能否找出在特定日期和时间安装或删除了哪些软件?
可以,您可以在事件查看器中检查应用程序日志中的事件 ID 11707(安装)和 11724(卸载),其中包含时间戳。您还可以使用 PowerShell 按日期过滤这些事件,查看特定时间安装或删除了哪些软件。
您需要配备专用图形处理器的笔记本电脑吗?
本文由 King 发布在 电脑志,转载此文请保持文章完整性,并请附上文章来源(电脑志)及本页链接。原文链接:https://www.pcsofter.com/guide/126183.html 如有问题欢迎加入电脑志QQ群讨论,QQ群号:582228047。