プロセスが管理者権限で実行されているかどうかを確認するにはどうすればよいですか?
回答:
ではプロセスエクスプローラ、ダブル、そのプロパティを開くために、プロセスをクリックします。[ セキュリティ ]タブに移動します。グループリストで、BUILTIN \ Administratorsを見つけて、[ フラグ ]列の内容を確認します。
拒否=昇格しない(管理者ではない)
所有者=昇格(管理者)
プロセスエクスプローラーでは、表示される列を変更し、[プロセスイメージ]タブから[整合性レベル]列を追加できます。
これは明らかに、管理者権限でプロセスを実行すると変更されるものの技術用語です。管理者としてProcess Explorerを実行すると、通常のプロセスは「中」の整合性レベルとして表示され、昇格したプロセスは「高」として表示されます。
通常のユーザーとしてプロセスエクスプローラーを実行する場合、整合性レベルの列に空白のエントリがある管理者特権を持つプロセスが表示されることに注意してください。
OSの更新:Windows 7およびWindows 10に含まれていると思われるリソースモニター(Vistaについてはわかりません)には、CPUタブのプロセスリストセクションにオプションの「昇格」列があり、かなり正確であると思われます。
コマンドラインツールを使用する場合は、MS SysinternalsスイートのAccesschkユーティリティを使用して、プロセスが管理者権限で実行されているかどうかを確認できます。
次のフラグは、この目的に役立ちます。
-p(プロセス)のオプションは、実行中のプロセスの名前またはPIDのいずれかを受け入れます。-v(冗長)オプションを表示しますWindowsの整合性レベルを-q(静かな)オプション防止のバージョン情報が印刷されています。-f(フル)オプションは、プロセス(複数可)(ユーザー、グループ、および権限のセキュリティトークン詳細)についても、より多くの情報を提供するために使用することができますが、詳細のこのレベルが上昇権限をチェックするために必要とされていません。
例
実行中のすべてのcmdプロセスの特権をリストします。
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.
ここで、私がcmd開始した3つのプロセスがあることがわかります。最初の2つは中程度の必須(整合性)レベルであり、私のドメインアカウントで実行されているように表示され、これらのプロセスが管理者特権なしで開始されたことを示します。
ただし、最後のプロセス(PID 6636)は昇格されたアクセス許可で開始されたため、非特権コマンドはそのプロセスに関する情報を読み取ることができません。管理者特権で実行しaccesschk、PIDを明示的に指定すると、次の情報が出力されます。
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
これで、整合性レベルが高く、このプロセスがAdministrators組み込みのセキュリティグループで実行されていることがわかります。