Używam systemu Windows Vista z włączoną funkcją UAC. Zainstalowałem aplikację, a instalator wymagał uprawnień administratora. Następnie instalator uruchomił aplikację. Chciałbym wiedzieć, czy aplikacja nadal działa z uprawnieniami administratora.
Wypróbowałem Menedżera zadań Windows i Process Explorera i żadne z nich nie wyświetla tych informacji.
Odpowiedzi:
W Eksploratorze procesów kliknij dwukrotnie proces, aby otworzyć jego właściwości. Przejdź do zakładki Bezpieczeństwo . Na liście grup znajdź BUILTIN \ Administratorzy i spójrz na to, co napisano w kolumnie Flagi .
Deny = Not Elevated (nie admin)
Właściciel = podwyższony (administrator)
źródło
W Process Explorer możesz zmienić wyświetlane kolumny i dodać kolumnę „Poziom integralności” z zakładki „Process Image”:
Jest to najwyraźniej termin techniczny, który zmienia się po uruchomieniu procesu z uprawnieniami administratora. Jeśli uruchomisz Process Explorer jako Administrator, pokaże zwykłe procesy jako „średni” poziom integralności, a procesy podwyższone jako „wysoki”.
Pamiętaj, że jeśli uruchomisz eksplorator procesów jako zwykły użytkownik, wyświetli procesy z uprawnieniami administratora z pustym wpisem w kolumnie poziomu integralności.
źródło
Aktualizacja za pomocą systemów operacyjnych: Monitor zasobów, który moim zdaniem jest dołączony do systemu Windows 7 i Windows 10 (nie jestem pewien co do systemu Vista), ma opcjonalną kolumnę „Podwyższone” w sekcji listy procesów na karcie Procesor, która wydaje się dość dokładna.
źródło
Jeśli wolisz korzystać z narzędzi wiersza polecenia, narzędzie Accesschk z pakietu MS Sysinternals może być użyte do sprawdzenia, czy proces działa z uprawnieniami administratora.
W tym celu przydatne są następujące flagi:
Opcja
-p
(proces) akceptuje nazwę lub identyfikator PID uruchomionego procesu.Opcja
-v
(pełna) drukuje poziom integralności systemu WindowsOpcja
-q
(cicha) zapobiega drukowaniu informacji o wersji.-f
(Pełne) Opcja ta może być również wykorzystane w celu zapewnienia jeszcze większej ilości informacji na temat procesu (ES) (Security Token dane użytkowników, grup i przywilejów), ale ten poziom dodatkowych informacji nie jest wymagane w celu sprawdzenia podwyższonymi uprawnieniami.Przykład
Wymień uprawnienia wszystkich uruchomionych
cmd
procesów:Tutaj widzimy,
cmd
że rozpocząłem trzy procesy. Pierwsze dwa mają średni poziom obowiązkowy (integralności) i są wyświetlane jako uruchomione na moim koncie domeny, co wskazuje, że procesy te zostały uruchomione bez uprawnień administratora.Jednak ostatni proces (PID 6636) został uruchomiony z podwyższonymi uprawnieniami, więc moje nieuprzywilejowane polecenie nie może odczytać informacji o tym procesie. Uruchomienie z podwyższonymi uprawnieniami
accesschk
i jawne określenie jego PID powoduje wydrukowanie następujących informacji:Teraz widzimy, że poziom integralności jest wysoki i że proces ten działa w ramach
Administrators
wbudowanej grupy zabezpieczeń.źródło