|
13 / 13 / 0 Регистрация: 26.01.2010 Сообщений: 96 |
|
|
1 |
|
|
.NET 4.x Как узнать имя пользователя который изменил файл последним?20.06.2012, 12:15. Показов 21885. Ответов 4
Как узнать имя пользователя который изменил файл последним? Собственно сабж.
__________________
0 |
|
16931 / 12508 / 3286 Регистрация: 17.09.2011 Сообщений: 20,745 |
|
|
20.06.2012, 12:21 |
2 |
|
Насколько мне известно — никак, так как ОС не сохраняет имя пользователя, изменившего файл, — только время изменения.
0 |
|
13 / 13 / 0 Регистрация: 26.01.2010 Сообщений: 96 |
|
|
20.06.2012, 12:24 [ТС] |
3 |
|
Ну или хотя бы имя пользователя который просто изменял файл. Добавлено через 3 минуты
0 |
|
16931 / 12508 / 3286 Регистрация: 17.09.2011 Сообщений: 20,745 |
|
|
20.06.2012, 12:34 |
4 |
|
для отслеживания данного момента, есть какие-нибудь костылики-решения? Можно подключить аудит на определенную папку, тогда все доступы к файлам вместе с пользователями будут записываться в лог безопасности.
1 |
|
0 / 0 / 0 Регистрация: 12.06.2016 Сообщений: 1 |
|
|
08.04.2019, 14:40 |
5 |
|
В колонтитулы вставить поле LastSavedBy. Форматирование текста сделать белым шрифтом. Запретить изменение колонтитулов.
0 |
Как найти историю изменений папки?
Папки. Чтобы отобразить историю изменений папки, щелкните значок папки и выберите «История папок». На вкладке «История» отображается история изменений папки. Чтобы сравнить две ревизии папки, щелкните и перетащите одну ревизию на другую.
Как найти недавно отредактированные документы?
Проводник имеет удобный способ поиска недавно измененных файлов, встроенный прямо во вкладку «Поиск» на ленте. Перейдите на вкладку «Поиск», нажмите кнопку «Дата изменения» и выберите диапазон. Если вы не видите вкладку «Поиск», щелкните один раз в поле поиска, и оно должно появиться.
Как узнать, кто изменил имя папки?
Перейдите на вкладку Аудит файлов и в разделе Отчеты аудита файлов перейдите к отчету об изменениях прав доступа к папкам. Сведения, которые вы можете найти в этом отчете, включают: Имя файла / папки и его расположение на сервере. Имя пользователя, изменившего разрешение.
Как я могу узнать, когда в последний раз была изменена Active Directory?
Чтобы узнать, кто последним изменил объект AD, необходимо включить аудит доступа к объектам и установить списки управления доступом для объектов, которые нужно проверять. AD не записывает, кто изменил объект, только отметку времени последнего изменения.
Как я могу узнать, кто переместил файл?
Откройте средство просмотра событий → Найдите в журналах безопасности Windows событие с идентификатором 4663 с категорией задач «Файловый сервер» или «Съемное хранилище» и строкой «Доступ: WRITE_OWNER». «Subject Security ID» покажет вам, кто сменил владельца файла или папки.
Как найти историю файла?
История файлов в Windows
- Проведите пальцем от правого края экрана, а затем нажмите «Поиск». …
- Введите параметры истории файлов в поле поиска, а затем выберите параметры истории файлов.
- Выберите Выбрать диск и выберите сетевой или внешний диск, который вы хотите использовать.
- Включите историю файлов.
2 ответа. По умолчанию ни одна из версий Windows не создает журнал файлов, которые были скопированы на / с USB-накопителей или где-либо еще. … Например, Symantec Endpoint Protection можно настроить для ограничения доступа пользователей к флэш-накопителям USB или внешним жестким дискам.
Как узнать, какая программа создала файл?
Вы можете нажать и выберите Файлы, нажмите для поиска имени файла, затем нажмите «копать» (что покажет вам результат, аналогичный приведенной выше команде). После этого вы можете использовать тот же подход для поиска информации о процессе, который фактически создал файл.
Как найти недавно открытые документы в Windows 10?
Нажмите Windows Key + E. В Проводнике выберите Быстрый доступ. Теперь вы найдете раздел Последние файлы, в котором будут отображаться все недавно просмотренные файлы / документы.
Как узнать, кто создал папку?
Щелкните папку правой кнопкой мыши — выберите «Свойства». Щелкните Дополнительно, а затем щелкните вкладку Владелец.
Как я могу узнать, получил ли кто-то доступ к папке на моем компьютере?
Чтобы узнать, кто читает файл, откройте «Средство просмотра событий Windows» и перейдите в «Журналы Windows» → «Безопасность». На правой панели есть опция «Фильтровать текущий журнал», чтобы найти соответствующие события. Если кто-нибудь откроет файл, будут зарегистрированы события с идентификаторами 4656 и 4663.
Какие из перечисленных разрешений позволяют нам стать владельцем файлов?
Администратор. По умолчанию группе администраторов предоставляется право владения файлами или другими объектами. Кто угодно или любая группа, у которой есть право стать владельцем объекта.
Вы можете увидеть, кто последний раз редактировал файл?
Перейдите в проводнике Windows к файлу, который нужно отслеживать. Щелкните правой кнопкой мыши целевую папку / файл и выберите «Свойства». Безопасность → Дополнительно. Выберите вкладку аудита.
Как узнать, кто последним изменил файл в Linux?
- используйте команду stat (например: stat, см. это)
- Найдите время изменения.
- Используйте последнюю команду, чтобы просмотреть журнал в истории (см. Это)
- Сравните время входа / выхода с отметкой времени изменения файла.
3 центов 2015 г.
Как узнать, кто последний сохранял файл?
- Откройте проводник Windows.
- На левой панели перейдите к родительской папке файла или папки, для которой вы хотите включить аудит. …
- На правой панели щелкните правой кнопкой мыши целевой файл или папку и выберите «Свойства».
- Перейдите на вкладку «Безопасность».
- Нажмите кнопку Дополнительно.
- Выберите вкладку Auditing.
- Нажмите кнопку Добавить.
Asked
7 years, 5 months ago
Viewed
98k times
I am wondering if its possible to list who all modified the file with course of time. I am aware that stat or ls -lrt will give the last user who modified the file. But I want to find out if it is possible to find the N-1 user who modified the file.
Note: I think chances are very slim to find such user. Just want to confirm with experts before declaring its a dead end.
Example:
At 1:00 AM ABC modified the file
At 2:00 AM XYZ modified the same file.
I am aware that XYZ has modified the file, How to find who modified the file before XYZ (In this case ABC)?
Jens
68.1k15 gold badges119 silver badges176 bronze badges
asked Sep 2, 2015 at 9:08
3
I am aware that stat or ls -lrt will give the last user who modified the file.
No. Modifying a file does not change its owner.
In general filesystems do not keep track of modification histories. If this information is crucial, the way to go is
- For complete file hierarchies: a VCS (Version Control System) like Git, Subversion, Mercurial, CVS, …
- For single files, RCS or SCCS, …
answered Sep 2, 2015 at 9:17
JensJens
68.1k15 gold badges119 silver badges176 bronze badges
0
One hack that can be used is (This will only work for the recent modification) you can check the last modified time for the file, and cross check with the log-in times of the users. You might be able to narrow the list down.
- use
statcommand (ex: stat , See this) - Find the
Modifytime - Use
lastcommand to see the log in history (see this) - Compare the log-in/log-out times with the file’s
Modifytimestamp
This will not work all the time, but you can narrow the results down.
answered Nov 25, 2019 at 17:17
primeprime
13.9k13 gold badges92 silver badges127 bronze badges
It is not possible to track user details like username who modify the file by a particular command. Only we can check the assigned username to file by ls -l.
answered Aug 6, 2019 at 9:54
Asked
7 years, 5 months ago
Viewed
98k times
I am wondering if its possible to list who all modified the file with course of time. I am aware that stat or ls -lrt will give the last user who modified the file. But I want to find out if it is possible to find the N-1 user who modified the file.
Note: I think chances are very slim to find such user. Just want to confirm with experts before declaring its a dead end.
Example:
At 1:00 AM ABC modified the file
At 2:00 AM XYZ modified the same file.
I am aware that XYZ has modified the file, How to find who modified the file before XYZ (In this case ABC)?
Jens
68.1k15 gold badges119 silver badges176 bronze badges
asked Sep 2, 2015 at 9:08
3
I am aware that stat or ls -lrt will give the last user who modified the file.
No. Modifying a file does not change its owner.
In general filesystems do not keep track of modification histories. If this information is crucial, the way to go is
- For complete file hierarchies: a VCS (Version Control System) like Git, Subversion, Mercurial, CVS, …
- For single files, RCS or SCCS, …
answered Sep 2, 2015 at 9:17
JensJens
68.1k15 gold badges119 silver badges176 bronze badges
0
One hack that can be used is (This will only work for the recent modification) you can check the last modified time for the file, and cross check with the log-in times of the users. You might be able to narrow the list down.
- use
statcommand (ex: stat , See this) - Find the
Modifytime - Use
lastcommand to see the log in history (see this) - Compare the log-in/log-out times with the file’s
Modifytimestamp
This will not work all the time, but you can narrow the results down.
answered Nov 25, 2019 at 17:17
primeprime
13.9k13 gold badges92 silver badges127 bronze badges
It is not possible to track user details like username who modify the file by a particular command. Only we can check the assigned username to file by ls -l.
answered Aug 6, 2019 at 9:54
В этом руководстве вы узнаете, как узнать, кто редактировал файлы в Linux.
Linux предоставляет пользовательские инструменты для аудита безопасности под названием auditd (Audit daemon). auditd отслеживает все изменения, происходящие в системе, и генерирует журналы, которые можно проанализировать, чтобы получить представление о состоянии безопасности системы.
Содержание
- Как найти пользователя, который редактировал файлы в Linux
- Установка пакетов auditd на Linux
- Инструменты пакета Audit
- Узнаем, кто отредактировал файлы в Linux с помощью Auditd
- Настройка правил аудита файловой системы
- Настройка правил аудита файловой системы
- Заключение
Как найти пользователя, который редактировал файлы в Linux
Не существует простого способа узнать, кто и какие файлы изменил на Linux.
Однако auditd делает этот процесс простым.
Итак, как узнать, кто редактировал файлы в Linux?
Установка пакетов auditd на Linux
В этом руководстве мы будем использовать две системы, на базе Debian и RHEL, чтобы показать, как пакет Audit может быть использован для выяснения того, кто редактировал файлы в Linux.
Как отследить, кто удаляет файл в CentOS / RHEL, используя Auditd
Для начала установите пакеты auditd на Linux.
В дистрибутиве на базе RHEL:
yum install audit -y
В дистрибутивах на базе Debian;
apt install auditd -y
Инструменты пакета Audit
Пакет Audit поставляется с несколькими инструментами с различными функциональными возможностями.
К ним относятся:
- auditd – компонент пользовательского пространства, который отвечает за запись записей аудита на диск.
- ausearch – пользовательский компонент для запроса логов демона аудита.
- aureport – пользовательский компонент, создающий сводные отчеты по логам аудита.
- auditctl – программа, используемая для настройки параметров ядра, связанных с аудитом, просмотра состояния конфигурации и загрузки дискреционных правил аудита. При загрузке системы auditctl считывает правила в файле /etc/audit/audit.rules и загружает их в ядро.
Чтобы проверить состояние;
systemctl status auditd
● auditd.service - Security Auditing Service
Loaded: loaded (/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-08 17:52:49 EAT; 25min ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Process: 1336 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Process: 1340 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
Main PID: 1337 (auditd)
Tasks: 2 (limit: 5902)
Memory: 616.0K
CPU: 25ms
CGroup: /system.slice/auditd.service
└─1337 /sbin/auditd
Dec 08 17:52:49 debian11 augenrules[1350]: enabled 1
Dec 08 17:52:49 debian11 augenrules[1350]: failure 1
Dec 08 17:52:49 debian11 augenrules[1350]: pid 1337
Dec 08 17:52:49 debian11 augenrules[1350]: rate_limit 0
Dec 08 17:52:49 debian11 augenrules[1350]: backlog_limit 8192
Dec 08 17:52:49 debian11 augenrules[1350]: lost 0
Dec 08 17:52:49 debian11 augenrules[1350]: backlog 0
Dec 08 17:52:49 debian11 augenrules[1350]: backlog_wait_time 60000
Dec 08 17:52:49 debian11 augenrules[1350]: backlog_wait_time_actual 0
Dec 08 17:52:49 debian11 systemd[1]: Started Security Auditing Service.
Узнаем, кто отредактировал файлы в Linux с помощью Auditd
Для того чтобы узнать, кто редактировал файлы в Linux с помощью Auditd, необходимо настроить правила аудита файловой системы.
Обратите внимание, что существуют различные правила аудита, которые определяют, как отслеживать изменения в системе. К ним относятся:
Control rules: Позволяют изменять поведение системы аудита и некоторые ее конфигурации.
File system rules:позволяют проводить аудит доступа к определенному файлу или каталогу. Они также известны как “файловые часы”.
System call rules: Позволяют вести журнал системных вызовов, которые выполняет любая указанная программа.
Нас интересуют только file system rules, поскольку они позволяют нам узнать, кто редактировал файлы в Linux.
Как было сказано выше, утилита auditctl может быть использована для настройки правил аудита.
Настройка правил аудита файловой системы
Вы можете настроить правила аудита файловой системы в командной строке с помощью команды auditctl.
Синтаксис команды следующий;
auditctl -w path_to_file -p access_permissions -k filter_key
Используются следующие опции:
- -w path_to_file: определяет путь к объекту файловой системы, за которым ведется наблюдение.
- -p access_permissions: (-p [r|w|x|a]) Описывает тип разрешения доступа, на который будет срабатывать наблюдение за файловой системой. r=чтение, w=запись, x=выполнение, a=изменение атрибутов. Обратите внимание, что это не стандартные разрешения файлов, а скорее системный вызов, который будет выполнять подобные действия.
- -k filter_key: определяет произвольную строку текста, длина которой может достигать 31 байта. Она может однозначно идентифицировать записи аудита, созданные правилом.
Например, мы хотим следить за изменениями чтения/записи и атрибутов файла /etc/ssh/sshd_config, тогда мы определим правило следующим образом;
auditctl -w /etc/ssh/sshd_config -p wax -k monitor_sshd_conf
Образец вывода;
-a always,exit -F arch=b64 -S execve -F path=/bin/systemctl -F key=systemctl -F key=medium -a always,exit -F arch=b64 -S execve -F path=/sbin/service -F key=service -F key=medium
Чтобы проверить это правило, попробуйте изменить файл /etc/ssh/sshd_config.
От имени пользователя (не root) выполните команду следующим образом;
echo "AllowUsers itsecforu root" | sudo tee -a /etc/ssh/sshd_config
Если вы хотите прекратить мониторинг файла с помощью auditctl;
auditctl -W /etc/ssh/sshd_config -p wax -k monitor_sshd_conf
Настройка правил аудита файловой системы
Чтобы настроить постоянные правила, сохраняющиеся при перезагрузке системы, вы можете разместить правила в каталоге /etc/audit/audit.rules или в каталоге /etc/audit/rules.d/.
Правила в файле /etc/audit/audit.rules создаются на основе правил, определенных в каталоге /etc/audit/rules.d/.
Если правила размещены в каталоге /etc/audit/rules.d/, их необходимо загрузить с помощью утилиты augenrules.
Например:
echo "-w /etc/ssh/sshd_config -p wxa -k monitor_sshd_conf" > /etc/audit/rules.d/sshd.rules
Проверьте, обнаружены ли изменения;
augenrules --check
Загрузите правила;
augenrules --load
Это должно обновить файл /etc/audit/audit.rules.
Перезапустите службу auditd;
systemctl restart auditd
Проверьте правила;
auditctl -l
Существуют различные способы, с помощью которых можно просматривать записи логов аудита.
Чтение файла логов аудита, /var/log/audit/audit.log.
grep --color monitor_sshd_conf /var/log/audit/audit.log
type=CONFIG_CHANGE msg=audit(1638984278.290:13): auid=1000 ses=3 subj==unconfined op=add_rule key="monitor_sshd_conf" list=4 res=1AUID="itsecforu " type=SYSCALL msg=audit(1638984357.760:38): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7fffe54487de a2=441 a3=1b6 items=2 ppid=987 pid=988 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=5 comm="tee" exe="/usr/bin/tee" subj==unconfined key="monitor_sshd_conf"ARCH=x86_64 SYSCALL=openat AUID="itsecforu" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"
Создание отчета с помощью aureport (подробнее читайте в man aureport)
aureport -i -k
Key Report =============================================== # date time key success exe auid event =============================================== 1. 12/08/2021 20:24:38 monitor_sshd_conf yes ? itsecforu 13 2. 12/08/2021 20:25:57 monitor_sshd_conf yes /usr/bin/tee itsecforu 38
Выполним поиск в логах с помощью команды ausearch (подробнее читайте в man ausearch).
ausearch -i -k monitor_sshd_conf
---- type=CONFIG_CHANGE msg=audit(12/08/2021 20:24:38.290:13) : auid=itsecforu ses=3 subj==unconfined op=add_rule key=monitor_sshd_conf list=exit res=yes ---- type=PROCTITLE msg=audit(12/08/2021 20:25:57.760:38) : proctitle=tee -a /etc/ssh/sshd_config type=PATH msg=audit(12/08/2021 20:25:57.760:38) : item=1 name=/etc/ssh/sshd_config inode=526305 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 type=PATH msg=audit(12/08/2021 20:25:57.760:38) : item=0 name=/etc/ssh/ inode=523877 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 type=CWD msg=audit(12/08/2021 20:25:57.760:38) : cwd=/home/itsecforu type=SYSCALL msg=audit(12/08/2021 20:25:57.760:38) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7fffe54487de a2=O_WRONLY|O_CREAT|O_APPEND a3=0x1b6 items=2 ppid=987 pid=988 auid=kifarunix uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=5 comm=tee exe=/usr/bin/tee subj==unconfined key=monitor_sshd_conf
Из вывода отчета ausearch попробуем интерпретировать поля записей.
- type=PROCTITLE: Тип записи, который дает полную командную строку, вызвавшую это событие аудита.
- msg=audit(12/08/2021 20:24:38.290:13): Определяет метку времени и уникальный ID записи в форме audit(time_stamp:ID). Время обычно отображается в EPOCH, если вы не используете опцию -i.
Если время в EPOCH, например, 1638984357.760, то преобразуйте его с помощью команды date;
date -d @1638984357.760
Wed 08 Dec 2021 08:25:57 PM EAT
- proctitle=tee -a /etc/ssh/sshd_config: В поле записывается полная строка команды, которая была использована для вызова анализируемого процесса. Без опции -i она была бы отображена в шестнадцатеричном виде.
- type=PATH: тип записи PATH записывает путь, который передается системному вызову в качестве аргумента, в данном случае путь – /etc/ssh/sshd_config.
- item=1: поле item указывает, какой элемент из общего числа элементов, на которые ссылается запись типа SYSCALL, является текущим. значение 1 означает, что это второй элемент.
- name=/etc/ssh/sshd_config: Записывает путь к файлу или каталогу, который был передан системному вызову в качестве аргумента. В данном случае это был файл /etc/ssh/sshd_config.
- inode=526305: поле inode содержит номер inode, связанный с файлом или каталогом, записанным в этом событии. Следующая команда отображает файл или каталог, связанный с номером inode 526305:
find / -inum 526305 -print
/etc/ssh/sshd_config
- dev=08:01: Поле определяет минорный и мажорный идентификатор устройства, которое содержит файл или каталог, записанный в этом событии.
- mode=file,644: Поле mode записывает разрешения на файл или каталог, 644 означает -rw-r-r- для файла /etc/ssh/sshd_config.
- ouid=root: В поле ouid записывается идентификатор пользователя/имя пользователя владельца объекта.
- ogid=root: В поле ogid записывается идентификатор группы/имя пользователя владельца объекта.
- rdev=00:00: Поле rdev содержит записанный идентификатор устройства только для специальных файлов. В данном случае оно не используется, так как записанный файл является обычным файлом.
- nametype=NORMAL: записывает намерение операции каждой записи пути в контексте данного системного вызова.
- cap_fp=none: Поле cap_fp записывает данные, связанные с установкой разрешенной возможности объекта файла или каталога на основе файловой системы.
- cap_fi=none: В поле cap_fi записываются данные, связанные с установкой унаследованной возможности файловой системы объекта файла или каталога.
- cap_fe=0: В поле cap_fe записывается установка эффективного бита возможности объекта файла или каталога на основе файловой системы.
- cap_fver=0: В поле cap_fver записывается версия возможности объекта файла или каталога на основе файловой системы.
- type=CWD: записывает рабочий каталог, из которого выполнялся процесс, вызвавший системный вызов.
- cwd=/home/kifarunix: указывает каталог, в котором был вызван системный вызов.
- type=SYSCALL: указывает, что запись была вызвана системным вызовом ядра.
- arch=x86_64: Поле содержит информацию об архитектуре процессора системы. Если опция -i не используется с auseardh, значение отображается в шестнадцатеричной системе счисления.
- syscall=openat: В поле syscall записывается тип системного вызова, который был послан ядру. Если с ausearch используется опция -i, значения интерпретируются, в противном случае показываются числовые значения. Используйте команду ausyscall –dump, чтобы вывести список всех системных вызовов вместе с их номерами. Для получения дополнительной информации см. man ausyscall.
- success=yes: В поле success записывается, был ли системный вызов, записанный в данном событии, успешным или неудачным. В данном случае вызов прошел успешно.
- exit=3: Поле содержит значение, определяющее код завершения, возвращенный системным вызовом. Для разных системных вызовов это значение различно.
- a0=0xffffff9c a1=0x7fffe54487de a2=O_WRONLY|O_CREAT|O_APPEND a3=0x1b6: Поля a0 – a3 записывают первые четыре аргумента, закодированные в шестнадцатеричной системе счисления, системного вызова в данном событии. Эти аргументы зависят от используемого системного вызова.
- items=2: Поле items содержит количество вспомогательных записей PATH, которые следуют за записью системного вызова.
- ppid=987: В поле ppid записывается идентификатор родительского процесса (PPID).
- pid=988: В поле pid записывается идентификатор процесса (PID).
- auid=itsecforu: В поле auid записывается идентификатор пользователя аудита, то есть loginuid. Этот идентификатор присваивается пользователю при входе в систему и наследуется каждым процессом, даже если личность пользователя меняется, например, при смене учетной записи.
- uid=root: В поле uid записывается идентификатор пользователя, который запустил анализируемый процесс. Идентификатор пользователя может быть интерпретирован в имена пользователей при использовании опции -i с ausearch. Вы также можете интерпретировать с помощью следующей команды: ausearch -i -uid UID.
- gid=root: В поле gid записывается идентификатор группы пользователя, который запустил анализируемый процесс.
- euid=root: В поле euid записывается эффективный идентификатор пользователя, запустившего анализируемый процесс.
- suid=root: В поле suid записывается установленный идентификатор пользователя, запустившего анализируемый процесс.
- fsuid=root: В поле fsuid записывается идентификатор пользователя файловой системы пользователя, запустившего анализируемый процесс.
- egid=root: В поле egid записывается идентификатор эффективной группы пользователя, запустившего анализируемый процесс.
- sgid=root: В поле sgid записывается идентификатор установленной группы пользователя, запустившего анализируемый процесс.
- fsgid=root: В поле fsgid записывается идентификатор группы файловой системы пользователя, запустившего анализируемый процесс.
- tty=pts1: В поле tty записывается терминал, с которого был вызван анализируемый процесс.
- ses=5: В поле ses записывается идентификатор сессии, из которой был вызван анализируемый процесс.
- comm=tee: В поле comm записывается имя командной строки команды, которая была использована для вызова анализируемого процесса.
- exe=/usr/bin/tee: В поле exe записывается путь к исполняемому файлу, который был использован для вызова анализируемого процесса.
- subj=unconfined: В поле subj записывается контекст SELinux, которым был помечен анализируемый процесс во время выполнения.
- key=monitor_sshd_conf: В поле key записывается определяемая администратором строка, связанная с правилом, которое породило это событие в логах аудита.
---- type=CONFIG_CHANGE msg=audit(12/08/2021 20:24:38.290:13) : auid=kifarunix ses=3 subj==unconfined op=add_rule key=monitor_sshd_conf list=exit res=yes ---- type=PROCTITLE msg=audit(12/08/2021 20:25:57.760:38) : proctitle=tee -a /etc/ssh/sshd_config type=PATH msg=audit(12/08/2021 20:25:57.760:38) : item=1 name=/etc/ssh/sshd_config inode=526305 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 type=PATH msg=audit(12/08/2021 20:25:57.760:38) : item=0 name=/etc/ssh/ inode=523877 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0 type=CWD msg=audit(12/08/2021 20:25:57.760:38) : cwd=/home/itsecforu type=SYSCALL msg=audit(12/08/2021 20:25:57.760:38) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7fffe54487de a2=O_WRONLY|O_CREAT|O_APPEND a3=0x1b6 items=2 ppid=987 pid=988 auid=itsecforu uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=5 comm=tee exe=/usr/bin/tee subj==unconfined key=monitor_sshd_conf
Видно, что:
- файл конфигурации SSH-сервера, /etc/ssh/sshd_config, был обновлен с помощью команды tee.
- Команда была выполнена из каталога /home/itsecforu.
- Изменения были внесены пользователем itsecforu от пользователя root (с помощью sudo).
Заключение
Вот и все о том, как узнать, кто редактировал файлы в Linux. Конечно, вы можете настроить больше правил по своему усмотрению.
- Аудит Linux
- Как сделать исключения в auditd – аудит Linux
- 🐧 Как узнать причину перезагрузки Linux?
- 🐧 Как найти процессы с наиболее высокой загрузкой на процессор в Linux
- 👨⚕️️ Поиск угроз с помощью Graylog | Разбор инцидента
В некоторых случаях администратору нужно определить какой процесс (программа) или пользователь изменил NTFS права доступа на папку или файл на файловом сервере Windows. В этой статье мы покажем, как отслеживать изменения NTFS разрешений на объектах файловой систем с помощью полит аудита, скриптов PowerShell и утилиты ProcMon.
Чтобы отслеживать изменения NTFS разрешений на объекты файловой системы Windows, вам нужно настроить политику аудита.
- Откройте редактор групповых политик. Если вы хотите настроить аудит доступа на одном конкретном сервере, запустите консоль редактора локальной групповой политики (
gpedit.msc
). Если нужно настроить аудит на нескольких устройствах в домене (например, на всех файловых серверах), нужно создать отдельную GPO с помощью консоли Group Policy Management (
gpmc.msc
); - Перейдите в раздел GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access;
- Включите параметр Audit File System и выберите Success;
- Теперь нужно включить аудит в свойствах каталога, в котором нужно отслеживать изменения. Откройте свойства папки -> вкладка Security -> Advanced -> вкладка Auditing -> Continue -> нажмите кнопку Add и добавьте группу (select a principal), чьи действия вы хотите отслеживать. Мы указали здесь Everyone;
- Выберите Type=Success и в разделе Advanced Permissions включите опции Change Permissions и Take Ownership;
- Обновите настройки групповых политик на хосте:
gpupdate /force
Если кто-то изменил NTFS права на объекты в указанной папке, в журнале Security появится событий с EventID 4670.
Откройте консоль Event Viewer (
eventvwr.msc
) -> Windows Logs -> Security. Включите фильтр по событию с ID 4670 (
Permissions on an object were changed
). Откройте последнее событие.
В описании события видно имя пользователя, которые изменил разрешения (Account Name:) и имя процесса (
C:Windowsexplorer.exe
). В описании события видна информация о предыдущих разрешениях (Original Security Descriptor) и новый список доступа (New Security Descriptor).
Обратите внимание что разрешения указаны в формате DACL, и сложны для понимания.Для преобразования строки в формате Security Descriptor Definition Language в объект PSCustomObject нужно использовать встроенный PowerShell командлет ConvertFrom-SddlString.
Чтобы увидеть, какие группы доступа были изменение в NTFS разрешениях на объект, нужно сравнить старый и новый дескрипторы безопасности (скопируйте код SDDL из события 4670):
$oldperm=ConvertFrom-SddlString "D:PAI(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-1774357850-3643260196-2143367957-1125)(A;OICI;0x1301bf;;;S-1-5-21-1774357850-3643260196-2143367957-1124)"
$newperm=ConvertFrom-SddlString "D:PARAI(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1301bf;;;S-1-5-21-1774357850-3643260196-2143367957-1124)(A;OICI;0x1200a9;;;S-1-5-21-1774357850-3643260196-2143367957-1125)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)"
Compare-Object -ReferenceObject $oldperm.DiscretionaryAcl -DifferenceObject $newperm.DiscretionaryAcl|FL
В данном примере видно, что в новом ACL были добавлены права чтения для группы
BuiltinUsers
.
Для поиска в журнале событий Windows можно использовать PowerShell командлет Get-WinEvent. Чтобы найти событий с Event ID 4670 и получить значения OldSd и NewSD из кода скрипта, можно использовать такой код:
$event=Get-WinEvent -FilterHashtable @{logname='Security';id=4670} -MaxEvents 1
[xml]$xmlevent = $event.ToXml()
$eventobj = New-Object System.Management.Automation.PSObject
$eventobj | Add-Member Noteproperty -Name $xmlevent.Event.EventData.Data[1].name -Value $xmlevent.Event.EventData.Data[1].'#text'
$eventobj | Add-Member Noteproperty -Name $xmlevent.Event.EventData.Data[8].name -Value $xmlevent.Event.EventData.Data[8].'#text'
$eventobj | Add-Member Noteproperty -Name $xmlevent.Event.EventData.Data[9].name -Value $xmlevent.Event.EventData.Data[9].'#text'
$eventobj|format-list
Если вам нужно только понять, какой процесс и пользователь меняют NTFS разрешения на папку, можно воспользоваться утилитой Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon). Она позволит в реальном времени найти источник изменений.
- Скачайте и запустите
procmon64.exe
; - Настройте следующие фильтры Filter-> Filter (
CTRL+S
)Path -> begin with -> укажите путь к папке ->IncludeOperation -> is -> SetSecurityFile -> Include - Теперь, если кто-то изменит NTFS права на любой объект в этой папке, в окне ProcMon появится новое событие. В нем видно процесс (explorer.exe) и имя пользователя, который изменил разрешения.
Содержание статьи
- Включить отслеживание изменений
- Используйте Google Диск
- Изменение разрешений системы Mac
- Как проводить изменения с пользой
- Дополнительные часто задаваемые вопросы
- Можно ли изменить среду только одного человека?
- Как принять или отклонить изменения в Word?
- Работает ли отслеживание изменений в документах только для чтения?
- Все вместе
Сначала было непонятно, кто вносил изменения в документ Word. Однако с момента введения отслеживания изменений любой, у кого есть документ, может определить, кто редактировал файл, а выяснение того, кто внес какие изменения, может улучшить совместную работу и производительность. Однако не все умеют искать эту информацию.
Работать с Microsoft Word несложно, но иногда это может сбить с толку, особенно новичков. Читайте дальше, чтобы узнать, как проверить эту информацию.
Включить отслеживание изменений
Если вы используете Microsoft Word на своем ПК, вы можете открыть любой документ и включить отслеживание изменений. Эта функция сразу начинает записывать, кто какие изменения внес. Изменения отображаются в другом формате и цвете, чем текущая версия текста.
Вот как это делается:
- Откройте документ Word.
- Перейдите на вкладку «Обзор».
- Щелкните значок над словами «Отслеживание изменений».
- Теперь вы можете отправить документ кому-нибудь другому.
- Когда вы вернете документ, вы увидите новые изменения, выделенные другим цветом.
К сожалению, этот метод не показывает, кто и что делал до включения отслеживания изменений, поскольку этот параметр не включен по умолчанию.
К сожалению, если третья сторона получает документ и не включает отслеживание изменений, их действия могут испортить историю изменений. Поэтому этот метод лучше использовать только автору и редактору.
Вы можете настроить способ отображения изменений.
- Нажмите на вкладку «Обзор».
- Перейдите к значку «Отслеживание изменений».
- Вместо этого щелкните раскрывающееся меню.
- Выберите один из четырех вариантов.
Четыре варианта:
- Все награды
При выборе этого параметра будет отображаться большая часть информации со всеми комментариями и изменениями, отображаемыми после включения отслеживания изменений.
- Простая разметка
Вы не получите слишком много информации с простой разметкой, потому что изменения отражаются в виде примечаний на полях, а не видимого цветового форматирования во всей разметке.
- Без маркировки
Все изменения и комментарии скрыты, но сами изменения сохраняются и видны.
- оригинальный
Вы видите документ таким, каким он был до включения отслеживания изменений. Этот выбор помогает сделать сравнения.
В области «Показать разметку» вы также можете выбрать, какие изменения должны быть видны. Это содержит:
- Примечания
- Вставки и удаления
- форматирование
- шарики
- Определенные люди
Используйте Google Диск
Совместную работу над одним документом Word лучше всего выполнять на Google Диске для ПК, поскольку он обеспечивает присутствие в режиме реального времени. Хорошей новостью является то, что этот параметр автоматически включен по умолчанию. Во всех файлах Word, Excel и PowerPoint эта функция включена при их создании. Таким образом, вам не нужно беспокоиться об организации документов и задаваться вопросом, кто что сделал.
Обратите внимание, что вам нужен Office 2010 и выше. Пользователям Mac также необходимо изменить некоторые системные разрешения.
Выполните следующие действия, чтобы проверить, кто редактирует файл.
- Запустите Drive для ПК на своем компьютере.
- Откройте документ Word, который вы хотите просмотреть.
- Проверьте, находится ли статус «Безопасно для редактирования» или «Ожидание редактирования».
- Нажмите на человека в списке участников и посмотрите, кто его редактирует или просматривает.
- Повторяйте по мере необходимости.
Используя Google Диск для компьютеров, пользователи могут сохранять новые версии файлов. В этом случае вы получите уведомление. Также возможно объединить оба документа.
- В приложении нажмите «Сравнить версии».
- Скопируйте все изменения слева в последний документ справа.
- Когда вы закончите, выберите Сохранить.
- После этого ваша старая версия файла будет удалена.
Изменение разрешений системы Mac
Пользователи Mac должны сначала изменить свои системные разрешения, прежде чем использовать Google Диск для рабочего стола. В противном случае совместная работа в режиме реального времени для них не подойдет.
- Перейдите в Системные настройки на вашем Mac.
- Перейдите в раздел «Безопасность и конфиденциальность».
- Выберите «Конфиденциальность», а затем «Доступность».
- Прокрутите вниз и нажмите на замок.
- Убедитесь, что флажок Google Диск установлен.
Как только вы это сделаете, у вас будет доступ к совместной работе в режиме реального времени.
Как проводить изменения с пользой
При проверке того, кто редактировал документ без этой функции, новые добавления и удаления видны не сразу. Вам придется просмотреть весь документ, чтобы найти некоторые изменения, и вы, вероятно, пропустите некоторые из них. С другой стороны, использование Track Changes — удобный способ сэкономить часы на утомительных проектах.
Изменения отражаются немедленно, и любой, кто просматривает документ, может видеть, кто внес какие изменения. Вместо того, чтобы тратить больше времени на поиск изменений, процесс проверки может быть завершен за считанные минуты.
Наведите указатель мыши на изменение, чтобы увидеть, кто что сделал и когда. Эта информация помогает определить, что команда сделала в последнем выпуске.
Имейте в виду, что когда вы хотите включить «Показать разметку», форматирование и цвет зачеркнутого текста, то лябы вы можете распечатать их, если только, но большинству людей это не нужно.
Лидеры проекта принимают темы, которые решают, какие изменения принять. На панели можно увидеть, где она находится. В той мере, в какой она оформлена и написана Word, ее можно использовать в книге столько, сколько она написана.
От&тление зз&ункцион м рж&работа к м&мж&мункоминг, пц&ыйнкоминг. После внесения изменений пользователи могут добавлять комментарии в любое место документа. Эти коробки по существу, кто их сделал, держатели всех в курсе.
В Google Диска для ПК другая механика, но она также показывает, кто что сделал. С Microsoft Word эта программа по большей части будет работать, положение позволит по большей части в реестре. Выяснение автора каждой инструкции поможет с точностью и точностью.
эта функция автоматически включается для каждого переключателя Word, вам, вероятно, не придется думать о том, что вы теряете прогресс. Если это так, то его можно запрограммировать и сделать самому.
Дополнительные часто задаваемые вопросы
Можно ли изменить среду только одного человека?
Да, вы можете настроить меню «Показать разметку» для отображения изменений, сделанных для людей. Все изменения, сделанные всеми опыти, исчезнут, пока вы не вернете настройки обратно, чтобы показать все мени. Этот полезный метод для точного потребления.
Как принять или отклонить изменения в Word?
Вам нужно только перейти на вкладку «Обзор» и найти кнопки «Принять» и «Отклонить». Если вы нажмете на него, вы увидите его, в котором это написано.
Работает ли отслеживание изменений в документах только для чтения?
Да, вы по-прежнему можете видеть, кто внес изменения в документы, доступные только для чтения. Изменения блокировки всего, у кого есть файл.
Все вместе
Также есть возможность поработать над одним из документов, посмотреть шар быстрой программы. найти частную отправку копий другу другу не требуется, рабочий процесс становится более эффективным. Отслеживание изменений сэкономило большое количество команд эксклюзивное время и увеличило производительность проекта.
Вы включаете отслеживание изменений, когда заканчиваете работу над документом? Как вы относитесь к использованию функции «Отслеживание изменений» на Диске Google для компьютеров? Даты в комментариях ниже.
- Remove From My Forums

Отслеживание кто и когда открыл/изменил/удалил файл в сети, пытается получить доступ туда, куда нельзя и т.п.
-
Вопрос
-
Как я понял, всё это настраивается с помощью аудита. Прочитал несколько статеё и получилась каша в голове.
Задача:
Следить за всеми пользователями в едином лесу и едином домене. Следить неоходимо за объектами(файлы и папки) для того, чтобы в случае кражи информации выявить кто и когда это сделал.
Мне вот что не понятно. На КД захожу в «Управление групповой политикой». Например, создаю политику с названием «Аудит» и привязываю её ко всему домену. При редактировании политики выбираю пункт «Конфигурация компьютера — Политики — Конфигурация
Windows — Параметры безопасности — Локальные политики — Политика аудита». Включаю какой-либо параметр и всё. А что дальше не понимаю, то есть не понимаю где отслеживать события на каждом компьютере или ценрализованно на контроллере домена в событиях?Чувствую, что я вообще не правильно подхожу к этой задаче, поэтому прошу подсказать её решение.
Ответы
-
Помимо аудита в групповых политиках необходимо настроить аудит папки в параметрах безопасности. Отслеживать доступ/удаление к папкам и файлам надо на сервере где они расшарены в журнале Security
-
Предложено в качестве ответа
6 сентября 2010 г. 12:12
-
Помечено в качестве ответа
Vinokurov Yuriy
8 сентября 2010 г. 5:09
-
Предложено в качестве ответа
Совет. Видео не на вашем языке? Попробуйте выбрать Скрытые субтитры 
Проверьте, как это работает!
Включите функцию «Исправления», чтобы отобразить все изменения в документе, а также — функцию «Показать исправления», чтобы увидеть все интересующие типы исправлений.
Отслеживание исправлений
Чтобы отслеживать изменения, на вкладке Рецензирование нажмите кнопку Исправления.
Внесите в документ необходимые правки, и они будут записаны в Word.
Чтобы перестать отслеживать изменения, на вкладке Рецензирование нажмите кнопку Исправления.
Новые изменения перестанут фиксироваться в Word, а уже внесенные останутся отмеченными в документе.
Показать исправления
На вкладке Рецензирование щелкните в раскрывающемся списке «Исправления» стрелку вниз Отобразить для проверки.
Выберите подходящий вариант.
Исправления: в этом режиме строки, в которых были внесены изменения, обозначаются красными линиями на полях.
Все исправления: в этом режиме каждое исправление в тексте выделяется другим цветом и подчеркиванием.
Без исправлений: в этом режиме обозначения исправлений скрыты и документ отображается после принятия всех изменений.
Оригинал: в этом режиме документ отображается в исходном виде.
В раскрывающемся списке Показать исправления выберите интересующие типы исправлений.
Как просмотреть и восстановить предыдущие версии документа Word
В Microsoft Word невероятно легко отслеживать изменения, внесенные в любой документ, и восстанавливать предыдущие версии. Мы собираемся показать вам, как просматривать и восстанавливать предыдущие версии документа Word.
Чтобы использовать этот метод, вам понадобится активная подписка на Microsoft 365. Это требование, потому что Microsoft Word включает журнал версий только при сохранении файлов в OneDrive. К счастью, вы получаете 1 ТБ хранилища OneDrive вместе с подпиской на Microsoft 365.
Вам также необходимо сохранить документ в OneDrive, что обеспечит его автоматическое сохранение. Как только это будет сделано, вы можете продолжить работу с документом, а Microsoft Word сохранит различные версии вашего документа.
Просмотр предыдущих версий документов Word
Первый шаг — просмотреть предыдущие версии документов Word. Самый быстрый способ сделать это — щелкнуть имя файла на верхней панели Microsoft Word.
Здесь вам нужно выбрать «История версий».
Кроме того, вы можете нажать кнопку «Файл» в верхней строке меню.
Теперь выберите «Информация».
Нажмите кнопку «История версий».
Это откроет панель истории версий справа. Самая последняя версия вашего документа будет указана вверху. Word также помогает сортировать изменения по дате, что значительно упрощает отслеживание более старых версий больших документов.
Чтобы просмотреть любую версию документа, нажмите «Открыть версию». Это откроет эту версию файла. Вы можете подтвердить, что это более старая версия, проверив метку «Предыдущая версия» над документом.
В той же строке вы можете нажать кнопку «Сравнить», чтобы увидеть, что было изменено. Это скопирует старую версию файла в новый документ и выделит внесенные изменения по сравнению с предыдущими версиями документа.
Мы собираемся показать вам, как найти именно то, что здесь было изменено. Сначала щелкните значок стрелки вверх под надписью «Редакции».
Это покажет вам, какие именно изменения были внесены в документ и сколько всего исправлений было сделано в этой версии.
Чтобы более подробно ознакомиться с внесенными изменениями, прокрутите вниз на левой панели. Это подчеркивает все модификации.
Справа вы увидите вертикальную красную линию рядом с некоторыми абзацами. Это простой способ показать, что в этой версии документа были внесены изменения. Также есть способ увидеть более подробные изменения.
Перейдите в меню «Обзор».
В разделе «Отслеживание» нажмите стрелку вниз рядом с надписью «Простая разметка».
Теперь выберите «Вся разметка». Это раскроет детали, которые мы искали. Удаленные части выделены красным шрифтом и зачеркиванием. Дополнения окрашены в красный цвет и также имеют подчеркивание.
После того, как вы закончите просмотр этих изменений, не стесняйтесь сохранить документ, если вам нужно.
Восстановить предыдущие версии документов Word
Сейчас мы закроем этот документ и вернемся к предыдущему, где мы впервые увидели возможность сравнить старую версию. Здесь вы можете нажать кнопку «Восстановить», чтобы сделать эту версию документа Word самой последней.
Если вы не хотите этого делать, вы всегда можете перейти на панель «История версий» и восстановить более старые версии тем же способом.
Как узнать кто редактировал файл Word?
Чтобы просмотреть свойство «Автор» для документа или книги, щелкните файл > сведения, а затем найдите автора в разделе связанные пользователи справа.
Как посмотреть кто изменял файл Word?
- Чтобы узнать, кто изменил документ, нажмите кнопку Просмотр _гт_ исправления, чтобы включить отслеживание изменений.
- Чтобы отключить исправления, нажмите кнопку Исправления еще раз.
Как посмотреть историю работы в ворде?
Откройте вкладку Файл. Выберите пункт Открыть, чтобы просмотреть список последних использованных файлов. (на правой стороне списка файлов).
Как восстановить предыдущую версию документа в Ворд?
Восстановление предыдущих версий файла Office
- Откройте файл, с которым вы работали.
- Перейдите в раздел файл > сведения.
- В разделе Управление книгой или Управление презентациейвыберите файл с меткой (при закрытии без сохранения).
- На панели в верхней части файла выберите команду восстановить , чтобы перезаписать сохраненные ранее версии.
Как определить создателя файла?
В окне свойств перейдите на вкладку Безопасность и щелкните на кнопке Дополнительно. В диалоговом окне Дополнительные параметры безопасности перейдите на вкладку Владелец, в которой расположено поле Текущий владелец этого элемента. Именно в этом поле Вы найдете информацию о владельце файла.
Как убрать имя автора в ворде?
Чтобы удалить автора из сведений о документе, кликните по имени автора правой кнопкой мыши и в появившемся меню выберите Удалить пользователя (Remove Person).
Можно ли посмотреть историю изменений в Excel?
Просмотр листа истории
На вкладке «Рецензистановка»нажмите кнопку «Отслеживатьизменения» и выберите «Выделить изменения». Примечание: Если изменения отслеживаются во время редактирования. При этом ваша книга также будет работать в этом случае. не будет выбран, Excel не зафиксировали журнал изменений для книги.
Как посмотреть историю изменения файла?
Откройте на компьютере документ, таблицу или презентацию Google.
- В верхней части экрана нажмите Файл История версий Смотреть историю версий.
- Выберите версию на панели справа. …
- Чтобы присвоить версии название, нажмите на значок «Другие действия» Указать название версии.
Как увидеть изменения в ворде?
Чтобы отслеживать изменения, на вкладке Рецензирование нажмите кнопку Исправления. Внесите в документ необходимые правки, и они будут записаны в Word. Чтобы перестать отслеживать изменения, на вкладке Рецензирование нажмите кнопку Исправления.
Где хранятся последние документы Word?
Как найти папку со временными файлами
- Откройте Word и перейдите в меню «Файл».
- Выберите раздел «Параметры».
- В окне, которое перед вами откроется, выберите пункт «Сохранение».
- Как раз в этом окне и будут отображаться все стандартные пути для сохранения.
Как найти последний файл в ворде?
Метод 2: Поиск резервных копий файлов Word
- Нажмите кнопку Пуск и нажмите кнопку Найти.
- В левом нижнем углу панели Поиска Windows щелкните использовать поиск.
- В Открывшейся панели выберите все файлы и папки.
- В поле полное или частичное имя файла: скопируйте и вставьте (или введите) следующий текст:
Как посмотреть последние действия на Windows 10?
Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management). Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели.
Можно ли восстановить предыдущую версию файла?
Откройте папку «Компьютер». Перейдите в папку, содержащую файл или папку, щелкните правой кнопкой мыши и выберите Восстановить предыдущие версии. … Дважды щелкните предыдущую версию папки, содержащей файл или папку, следует восстановить. (Например, если файл удален сегодня, выберите вчерашнюю версию, содержащую файл).
Как вернуть Несохраненный документ в ворде?
Как восстановить несохраненный документ Word
- Выберите меню «Файл». Далее «Информация». …
- В выпадающем списке выберите «Восстановить несохраненные документы».
- Далее вы увидите окно «Открыть», которое отображает список несохраненных документов Word. …
- Нажмите на «Сохранить как» и сохраните документ Word.
Как восстановить файл в ворде 2007?
в Office 2003-2007 если не предложит само восстановить документ, делаем это принудительно: Word 2007: нажмаем Кнопку Microsoft Office => Открыть, выберите документ Word, нажимаем стрелку вниз на кнопке Открыть в нижнем правом углу экрана “Открытие” => выбираем “Открыть и восстановить”.










































