J'utilise Windows Vista, avec l'UAC activé. J'ai installé une application et le programme d'installation a demandé des privilèges d'administrateur. Le programme d'installation a ensuite démarré l'application. J'aimerais savoir si l'application continue à s'exécuter avec les privilèges d'administrateur.
J'ai essayé le gestionnaire des tâches de Windows et l'explorateur de processus, mais ni l'un ni l'autre ne semble afficher ces informations.
Dans Process Explorer, vous pouvez modifier les colonnes affichées et ajouter la colonne "Niveau d'intégrité" à partir de l'onglet "Image du processus" :
Il s'agit apparemment du terme technique désignant ce qui est modifié lorsque vous exécutez un processus avec des privilèges d'administrateur. Si vous exécutez l'Explorateur de processus en tant qu'administrateur, il indiquera que les processus ordinaires ont un niveau d'intégrité "moyen" et que les processus élevés ont un niveau d'intégrité "élevé".
Notez que si vous exécutez l'explorateur de processus en tant qu'utilisateur ordinaire, il affichera les processus disposant de privilèges d'administrateur avec une entrée vide dans la colonne du niveau d'intégrité.
En Explorateur de processus Double-cliquez sur le processus pour ouvrir ses propriétés. Accédez à la section Sécurité tabulation. Dans la liste des groupes, recherchez BUILTIN \Administrators et regardez ce qui est dit dans le Drapeaux colonne.
Refuser = Non élevé (pas administrateur)
Propriétaire = Élevé (est administrateur)
Si vous préférez utiliser des outils en ligne de commande, l'option Accesschk de l'utilitaire Suite MS Sysinternals peut être utilisé pour vérifier si un processus s'exécute avec des autorisations d'administrateur.
Les drapeaux suivants sont utiles à cette fin :
En -p L'option (processus) accepte le nom ou le PID d'un processus en cours d'exécution.
En -v (verbeux) permet d'imprimer le Niveau d'intégrité des fenêtres
En -q (quiet) empêche l'impression des informations relatives à la version.
En -f L'option (full) peut également être utilisée pour fournir davantage d'informations sur le(s) processus (détails des jetons de sécurité des utilisateurs, des groupes et des privilèges), mais ce niveau de détail supplémentaire n'est pas nécessaire pour vérifier les privilèges élevés.
Liste des privilèges de toutes les personnes en cours d'exécution cmd processus :
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.Ici, nous pouvons voir qu'il y a trois cmd que j'ai entamés. Les deux premiers ont un Moyen Niveau obligatoire (intégrité) et sont affichés comme s'exécutant sous mon compte de domaine, ce qui indique que ces processus ont été lancés sans les privilèges de l'administrateur.
Cependant, le dernier processus (PID 6636) a été lancé avec des autorisations élevées, de sorte que ma commande non privilégiée ne peut pas lire les informations relatives à ce processus. Exécution avec des autorisations élevées accesschk et en spécifiant explicitement son PID, on obtient les informations suivantes :
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESSNous voyons maintenant que le niveau d'intégrité est de Haut et que ce processus s'exécute sous le nom de Administrators groupe de sécurité intégré.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
