Nếu bạn thích sử dụng các công cụ dòng lệnh, tiện ích Accesschk từ bộ MS Sysiternals có thể được sử dụng để kiểm tra xem một quy trình có đang chạy với quyền của quản trị viên hay không.
Các cờ sau hữu ích cho mục đích này:
Các -p
(quy trình) lựa chọn chấp nhận hoặc tên hoặc PID của một quá trình chạy.
Các -v
(verbose) tùy chọn in các Windows Integrity Cấp
Các -q
(yên tĩnh) tùy chọn ngăn chặn thông tin phiên bản từ được in.
Các -f
(full) tùy chọn cũng có thể được dùng để cung cấp thông tin nhiều hơn về quá trình (es) (an ninh chi tiết thẻ của người dùng, nhóm và ưu tiên) nhưng mức độ biết thêm chi tiết không cần thiết để kiểm tra các đặc quyền này.
Thí dụ
Liệt kê các đặc quyền của tất cả các cmd
quy trình đang chạy :
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.
Ở đây, chúng ta có thể thấy rằng có ba cmd
quy trình mà tôi đã bắt đầu. Hai cái đầu tiên có Mức bắt buộc trung bình (Tính toàn vẹn) và được hiển thị là đang chạy trong tài khoản miền của tôi, cho biết các quy trình này đã được bắt đầu mà không có đặc quyền của quản trị viên.
Tuy nhiên, quy trình cuối cùng (PID 6636) đã được bắt đầu với các quyền nâng cao để lệnh không đặc quyền của tôi không thể đọc thông tin về quy trình đó. Chạy với quyền nâng cao accesschk
và chỉ định rõ ràng PID của nó in thông tin sau:
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Bây giờ chúng ta có thể thấy rằng Mức toàn vẹn là Cao và quá trình này đang chạy Administrators
trong nhóm bảo mật tích hợp.