Làm cách nào để biết liệu một quy trình có chạy với quyền của quản trị viên không?

Tôi đang sử dụng Windows Vista, với UAC được bật. Tôi đã cài đặt một ứng dụng và trình cài đặt yêu cầu quyền quản trị viên. Trình cài đặt sau đó khởi động ứng dụng. Tôi muốn biết liệu ứng dụng có tiếp tục chạy với quyền quản trị viên hay không.

Tôi đã thử Windows Task Manager và Process Explorer và không xuất hiện để hiển thị thông tin này.

Trong Process Explorer , nhấp đúp vào quy trình để mở thuộc tính của nó. Chuyển đến tab Bảo mật . Trong danh sách nhóm, tìm BUILTIN \ Quản trị viên và xem nội dung trong cột Cờ .

Từ chối = Không nâng cao (không phải quản trị viên)

Chủ sở hữu = Nâng cao (là quản trị viên)

Trong Process Explorer, bạn có thể thay đổi các cột được hiển thị và thêm cột "Mức toàn vẹn" từ tab "Hình ảnh quá trình":

Đây rõ ràng là thuật ngữ kỹ thuật cho những gì được thay đổi khi bạn chạy một quy trình với đặc quyền của quản trị viên. Nếu bạn chạy Process Explorer với tư cách Quản trị viên, nó sẽ hiển thị các quy trình thông thường ở mức toàn vẹn 'trung bình' và các quy trình nâng cao là 'cao'.

Lưu ý rằng nếu bạn chạy process explorer như một người dùng thông thường, nó sẽ hiển thị các quy trình có đặc quyền quản trị viên với một mục trống trong cột mức toàn vẹn.

Cập nhật với các HĐH: Resource Monitor, mà tôi tin là có trong Windows 7 và Windows 10 (không chắc chắn về Vista) có một cột 'Nâng cao' tùy chọn trong danh sách các phần xử lý của tab CPU có vẻ khá chính xác.

Nếu bạn thích sử dụng các công cụ dòng lệnh, tiện ích Accesschk từ bộ MS Sysiternals có thể được sử dụng để kiểm tra xem một quy trình có đang chạy với quyền của quản trị viên hay không.

Các cờ sau hữu ích cho mục đích này:

• Các -p(quy trình) lựa chọn chấp nhận hoặc tên hoặc PID của một quá trình chạy.

• Các -v(verbose) tùy chọn in các Windows Integrity Cấp

• Các -q(yên tĩnh) tùy chọn ngăn chặn thông tin phiên bản từ được in.

• Các -f(full) tùy chọn cũng có thể được dùng để cung cấp thông tin nhiều hơn về quá trình (es) (an ninh chi tiết thẻ của người dùng, nhóm và ưu tiên) nhưng mức độ biết thêm chi tiết không cần thiết để kiểm tra các đặc quyền này.

Thí dụ

Liệt kê các đặc quyền của tất cả các cmdquy trình đang chạy :

> accesschk.exe -vqp cmd

[5576] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
[8224] cmd.exe
  Medium Mandatory Level [No-Write-Up, No-Read-Up]
  RW ICS\Anthony
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.

Ở đây, chúng ta có thể thấy rằng có ba cmdquy trình mà tôi đã bắt đầu. Hai cái đầu tiên có Mức bắt buộc trung bình (Tính toàn vẹn) và được hiển thị là đang chạy trong tài khoản miền của tôi, cho biết các quy trình này đã được bắt đầu mà không có đặc quyền của quản trị viên.

Tuy nhiên, quy trình cuối cùng (PID 6636) đã được bắt đầu với các quyền nâng cao để lệnh không đặc quyền của tôi không thể đọc thông tin về quy trình đó. Chạy với quyền nâng cao accesschkvà chỉ định rõ ràng PID của nó in thông tin sau:

> accesschk.exe -vqp 6636

[6636] cmd.exe
  High Mandatory Level [No-Write-Up, No-Read-Up]
  RW BUILTIN\Administrators
        PROCESS_ALL_ACCESS
  RW NT AUTHORITY\SYSTEM
        PROCESS_ALL_ACCESS

Bây giờ chúng ta có thể thấy rằng Mức toàn vẹn là Cao và quá trình này đang chạy Administratorstrong nhóm bảo mật tích hợp.