Se si preferisce utilizzare gli strumenti da riga di comando, è possibile utilizzare l' utilità Accesschk della suite MS Sysinternals per verificare se un processo è in esecuzione con autorizzazioni di amministratore.
I seguenti flag sono utili a questo scopo:
L' -p
opzione (processo) accetta il nome o il PID di un processo in esecuzione.
L' -v
opzione (dettagliata) stampa il livello di integrità di Windows
L' -q
opzione (silenzioso) impedisce la stampa delle informazioni sulla versione.
L' -f
opzione (completa) può anche essere utilizzata per fornire ulteriori informazioni sui processi (dettagli del token di sicurezza di utenti, gruppi e privilegi) ma questo livello di dettagli aggiuntivi non è richiesto per verificare la presenza di privilegi elevati.
Esempio
Elencare i privilegi di tutti i cmd
processi in esecuzione :
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.
Qui, possiamo vedere che ci sono tre cmd
processi che ho iniziato. I primi due hanno un livello medio obbligatorio (integrità) e sono mostrati in esecuzione con il mio account di dominio, indicando che questi processi sono stati avviati senza privilegi di amministratore.
Tuttavia, l'ultimo processo (PID 6636) è stato avviato con autorizzazioni elevate, pertanto il mio comando non privilegiato non è in grado di leggere informazioni su tale processo. L'esecuzione con autorizzazioni elevate accesschk
e la specifica esplicita del suo PID stampa le seguenti informazioni:
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Ora possiamo vedere che il livello di integrità è elevato e che questo processo è in esecuzione Administrators
nel gruppo di sicurezza integrato.