Sì, viene eseguito con privilegi elevati.
Test semplice:
Puoi testarlo abbastanza facilmente aprendo un prompt dei comandi elevato e uno non elevato. Esegui il comando notepad.exe
in entrambi e prova a salvare un file di testo vuoto C:\Windows
. Uno salverà, uno genererà un errore di autorizzazioni.
Test approfondito:
Se questo non è abbastanza per confermarlo per te (non mi ha davvero soddisfatto) puoi usare AccessChk da SysInternals. Dovrai eseguirlo da un prompt dei comandi con privilegi elevati.
Iniziamo controllando i due processi di Blocco note in esecuzione:
Blocco note: ( accesschk.exe -v -p notepad
)
[11140] notepad.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW DOMAIN\Tannerf
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[11004] notepad.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Uno è in esecuzione con il mio nome utente di dominio, l'altro è in esecuzione nel gruppo predefinito Amministratori. Ha anche un alto livello obbligatorio . Puoi anche correre con la -f
bandiera per una suddivisione dei privilegi e dei token.
File MSIExec e MSI
Pensavo che le cose potessero diventare un po 'più complicate durante la corsa msiexec
. Ho un programma di installazione autonomo di Google Chrome che è stato utile per testare.
msiexec.exe avvia il programma di installazione di Chrome da un prompt elevato:
D:\Users\tannerf>accesschk.exe -p msiexec.exe
[10540] msiexec.exe
RW BUILTIN\Administrators
RW NT AUTHORITY\SYSTEM
chrome_installer.exe generato da MSI:
D:\Users\tannerf>accesschk.exe -p chrome_installer.exe
[5552] chrome_installer.exe
NT AUTHORITY\SYSTEM
OWNER RIGHTS
RW NT SERVICE\msiserver
Non più così tagliato e asciutto! Sembra che un chrome_installer.exe
processo sia stato eseguito attraverso il servizio MSIServer.
Questo mi fa domandare che comportamento potrebbero avere altri installatori, quindi ho eseguito un Evernote.msi che avevo a portata di mano:
Elevato msiexec.exe che avvia un programma di installazione Evernote:
[6916] msiexec.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[4652] msiexec.exe
System Mandatory Level [No-Write-Up, No-Read-Up]
R BUILTIN\Administrators
PROCESS_QUERY_INFORMATION
PROCESS_QUERY_LIMITED_INFORMATION
Interessante; c'è un msiexec.exe che viene eseguito a livello di sistema questa volta. Ho usato Process Monitor per scoprire che l'attuale finestra di installazione che viene visualizzata proviene dal processo msiexec a livello di sistema. Uccidere l'alto livello obbligatorio ha anche ucciso il processo a livello di sistema.
Msiexec.exe non elevato che avvia un programma di installazione Evernote:
[7472] msiexec.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW DOMAIN\Tannerf
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[4404] msiexec.exe
System Mandatory Level [No-Write-Up, No-Read-Up]
R BUILTIN\Administrators
PROCESS_QUERY_INFORMATION
PROCESS_QUERY_LIMITED_INFORMATION
Sembra che Evernote otterrà l'accesso a livello di sistema in entrambi i modi. Facendo doppio clic sul programma di installazione si ottiene lo stesso risultato.
Conclusione:
Penso che sia abbastanza ben dimostrato che un processo erediterà le autorizzazioni se non diversamente specificato. Ciò non garantisce l' msiexec SomeProgram.msi
esecuzione con un livello obbligatorio elevato in tutti i processi; potrebbe funzionare a livello di sistema o sotto MSIServer. Il tuo chilometraggio può variare e non sarei sorpreso di vedere molti casi in cui queste regole sembrano "infrante".