프로세스가 관리자 권한으로 실행 중인지 어떻게 알 수 있습니까?
답변:
에서 프로세스 탐색기 , 이중 속성을 엽니 과정을 클릭합니다. 보안 탭으로 이동 하십시오. 그룹 목록에서 BUILTIN \ Administrators 를 찾아 Flags 열 에서 내용을 확인하십시오 .
거부 = 상승하지 않음 (관리자가 아님)
소유자 = 관리자 (관리자 임)
프로세스 탐색기에서 표시된 열을 변경하고 "프로세스 이미지"탭에서 "무결성 레벨"열을 추가 할 수 있습니다.
이것은 관리자 권한으로 프로세스를 실행할 때 변경되는 내용에 대한 기술적 용어입니다. 프로세스 탐색기를 관리자로 실행하면 일반 프로세스는 '중간'무결성 수준으로, 높은 프로세스는 '높음'으로 표시됩니다.
프로세스 탐색기를 일반 사용자로 실행하면 무결성 레벨 열에 빈 항목으로 관리자 권한이있는 프로세스가 표시됩니다.
명령 줄 도구를 사용 하려면 MS Sysinternals 제품군 의 Accesschk 유틸리티를 사용하여 프로세스가 관리자 권한으로 실행 중인지 확인할 수 있습니다.
이 목적에 유용한 플래그는 다음과 같습니다.
-p(공정) 옵션은 이름 또는 실행중인 프로세스의 PID 중 하나를 사용할 수 있습니다.-v(세부 정보 표시) 옵션은 인쇄 윈도우 무결성 수준을-q에서 (자동) 옵션을 방지 버전 정보가 인쇄된다.-f(전체) 옵션은 공정 (들) (사용자, 그룹 및 권한의 보안 토큰 세부 사항)에 더 많은 정보를 제공하기 위해 사용할 수 있지만 추가 세부 사항의 수준이 상승 권한을 검사 할 필요가 없습니다.
예
실행중인 모든 cmd프로세스 의 권한을 나열하십시오 .
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.
여기서 cmd시작한 세 가지 프로세스가 있음을 알 수 있습니다 . 처음 두 개는 중간 필수 (무결성) 수준이며 내 도메인 계정에서 실행중인 것으로 표시되어 이러한 프로세스가 관리자 권한없이 시작되었음을 나타냅니다.
그러나 마지막 프로세스 (PID 6636)는 높은 권한으로 시작되었으므로 권한이없는 명령으로 해당 프로세스에 대한 정보를 읽을 수 없습니다. 높은 권한 accesschk으로 실행 하고 명시 적으로 PID를 지정하면 다음 정보가 인쇄됩니다.
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
이제 무결성 수준이 높고이 프로세스가 Administrators기본 제공 보안 그룹에서 실행되고 있음을 알 수 있습니다 .