Jak mogę sprawdzić, czy proces działa z uprawnieniami administratora?

44

Używam systemu Windows Vista z włączoną funkcją UAC. Zainstalowałem aplikację, a instalator wymagał uprawnień administratora. Następnie instalator uruchomił aplikację. Chciałbym wiedzieć, czy aplikacja nadal działa z uprawnieniami administratora.

Wypróbowałem Menedżera zadań Windows i Process Explorera i żadne z nich nie wyświetla tych informacji.

Tim
źródło
Aby zaktualizować system operacyjny, zobacz to pytanie . Karta Szczegóły Menedżera zadań zawiera opcjonalną kolumnę Podwyższone.
Hans Vonn

Odpowiedzi:

43

W Eksploratorze procesów kliknij dwukrotnie proces, aby otworzyć jego właściwości. Przejdź do zakładki Bezpieczeństwo . Na liście grup znajdź BUILTIN \ Administratorzy i spójrz na to, co napisano w kolumnie Flagi .

Deny = Not Elevated (nie admin)

alternatywny tekst

Właściciel = podwyższony (administrator)

alternatywny tekst

Ryan Bolger
źródło
4
W moim systemie Windows 7 musiałem uruchomić Eksploratora procesów z podwyższonymi uprawnieniami, aby móc zobaczyć pewne szczegóły (takie jak uprawnienia zabezpieczeń) procesów działających z uprawnieniami administratora. Podczas uruchamiania Eksploratora procesów jako zwykłego użytkownika zawartość karty Zabezpieczenia była pusta.
Anthony G - sprawiedliwość dla Moniki
Nic takiego nie istnieje w Win10; użyj sysinternals (@Tim), dodaj „poziom integralności” do kolumn procesów.
user15507
1
Win8 i wyższe zawsze miały opcjonalną kolumnę w Menedżerze zadań o nazwie Podwyższone, która wyświetla tak lub nie. Jest to oczywiście w zakładce Szczegóły.
Adam Caviness
39

W Process Explorer możesz zmienić wyświetlane kolumny i dodać kolumnę „Poziom integralności” z zakładki „Process Image”:

wprowadź opis zdjęcia tutaj

Jest to najwyraźniej termin techniczny, który zmienia się po uruchomieniu procesu z uprawnieniami administratora. Jeśli uruchomisz Process Explorer jako Administrator, pokaże zwykłe procesy jako „średni” poziom integralności, a procesy podwyższone jako „wysoki”.

Pamiętaj, że jeśli uruchomisz eksplorator procesów jako zwykły użytkownik, wyświetli procesy z uprawnieniami administratora z pustym wpisem w kolumnie poziomu integralności.

Tim
źródło
Również podczas uruchamiania określonego programu jako administrator i eksploratora procesów jako zwykłego użytkownika, eksplorator procesów nie wyświetli prawdziwej ikony procesu, ale pustą ikonę.
Nikos
+ 1 za odpowiedź
BattleTested
3

Aktualizacja za pomocą systemów operacyjnych: Monitor zasobów, który moim zdaniem jest dołączony do systemu Windows 7 i Windows 10 (nie jestem pewien co do systemu Vista), ma opcjonalną kolumnę „Podwyższone” w sekcji listy procesów na karcie Procesor, która wydaje się dość dokładna.

stackuser83
źródło
0

Jeśli wolisz korzystać z narzędzi wiersza polecenia, narzędzie Accesschk z pakietu MS Sysinternals może być użyte do sprawdzenia, czy proces działa z uprawnieniami administratora.

W tym celu przydatne są następujące flagi:

  • Opcja -p(proces) akceptuje nazwę lub identyfikator PID uruchomionego procesu.

  • Opcja -v(pełna) drukuje poziom integralności systemu Windows

  • Opcja -q(cicha) zapobiega drukowaniu informacji o wersji.

  • -f(Pełne) Opcja ta może być również wykorzystane w celu zapewnienia jeszcze większej ilości informacji na temat procesu (ES) (Security Token dane użytkowników, grup i przywilejów), ale ten poziom dodatkowych informacji nie jest wymagane w celu sprawdzenia podwyższonymi uprawnieniami.

Przykład

Wymień uprawnienia wszystkich uruchomionych cmdprocesów:

> accesschk.exe -vqp cmd

[5576] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
[8224] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.

Tutaj widzimy, cmdże rozpocząłem trzy procesy. Pierwsze dwa mają średni poziom obowiązkowy (integralności) i są wyświetlane jako uruchomione na moim koncie domeny, co wskazuje, że procesy te zostały uruchomione bez uprawnień administratora.

Jednak ostatni proces (PID 6636) został uruchomiony z podwyższonymi uprawnieniami, więc moje nieuprzywilejowane polecenie nie może odczytać informacji o tym procesie. Uruchomienie z podwyższonymi uprawnieniami accesschki jawne określenie jego PID powoduje wydrukowanie następujących informacji:

> accesschk.exe -vqp 6636

[6636] cmd.exe
  High Mandatory Level [No-Write-Up, No-Read-Up]
  RW BUILTIN\Administrators
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS

Teraz widzimy, że poziom integralności jest wysoki i że proces ten działa w ramach Administratorswbudowanej grupy zabezpieczeń.

Anthony G - sprawiedliwość dla Moniki
źródło