Як я можу визначити, чи працює процес із дозволом адміністратора?

Я використовую Windows Vista з включеним UAC. Я встановив додаток, і інсталятор вимагав права адміністратора. Потім інсталятор запустив програму. Я хотів би дізнатися, чи додаток продовжує працювати з правами адміністратора.

Я спробував диспетчер завдань Windows і провідник процесів, і жодна з них не відображає цю інформацію.

У Провіднику процесів двічі клацніть процес, щоб відкрити його властивості. Перейдіть на вкладку Безпека . У списку груп знайдіть BUILTIN \ Administrators і подивіться, що це написано у стовпці Прапори .

Заборонити = Не підвищено (не адміністратор)

Власник = Підвищений (є адміністратором)

У Провіднику процесів ви можете змінити відображені стовпці та додати стовпчик "Рівень цілісності" на вкладці "Образ зображення":

Це, мабуть, технічний термін, що змінюється під час запуску процесу з правами адміністратора. Якщо ви запустите Process Explorer як адміністратор, він покаже звичайні процеси як "середній" рівень цілісності, а підвищені процеси - як "високий".

Зауважте, що якщо ви запускаєте Провідник процесів як звичайний користувач, він відображатиме процеси, які мають права адміністратора, із порожнім записом у стовпці рівня цілісності.

Оновлення за допомогою ОС: Монітор ресурсів, який, на мою думку, включений до ОС Windows 7 та Windows 10 (не впевнений у Vista), у розділі процесів, що здається досить точним, стовпчик "Підвищений".

Якщо ви віддаєте перевагу використанню інструментів командного рядка, утиліта Accesschk з набору MS Sysinternals може бути використана для перевірки, чи працює процес з правами адміністратора.

Для цього корисні такі прапори:

• Параметр -p(process) приймає або ім'я, або PID запущеного процесу.

• Параметр -v(багатослівний) друкує рівень цілісності Windows

• Параметр -q(тихо) запобігає друку інформації про версію.

• Параметр -f(повний) також може бути використаний для надання ще більше інформації про процес (и) (відомості про маркер безпеки користувачів, груп та привілеїв), але цей рівень додаткових деталей не вимагається для перевірки на підвищені привілеї.

Приклад

Перерахуйте привілеї всіх запущених cmdпроцесів:

> accesschk.exe -vqp cmd

[5576] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
[8224] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.

Тут ми можемо побачити, cmdщо я розпочав три процеси. Перші два мають середній обов'язковий (цілісний) рівень і відображаються як запущені під моїм обліковим записом домену, що вказує на те, що ці процеси були запущені без прав адміністратора.

Однак останній процес (PID 6636) був запущений з підвищеними дозволами, тому моя непривілейована команда не може читати інформацію про цей процес. Запуск із підвищеними дозволами accesschkта чітко вказавши його PID друкує таку інформацію:

> accesschk.exe -vqp 6636

[6636] cmd.exe
  High Mandatory Level [No-Write-Up, No-Read-Up]
  RW BUILTIN\Administrators
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS

Тепер ми бачимо, що рівень доброчесності високий і цей процес працює під Administratorsвбудованою групою безпеки.