Jak sprawdzić, czy moje konto użytkownika jest kontem uprzywilejowanym?

0

Szukam odpowiedzi na to pytanie, więc jeśli to oznacza przekopanie się do SDDL (lub cokolwiek ... Chcę ZOBACZYĆ „token”), nie mam nic przeciwko.

Ustawienia zasad kontroli konta użytkownika mają dwie opcje zachowania zgody:

Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników

Jak mogę powiedzieć (będąc zalogowanym jako użytkownik), czy konto użytkownika jest obecnie przypisane do tokena administratora, aby nie był traktowany jako standardowe konto użytkownika lub czy jest administratorem nie w trybie zatwierdzania przez administratora?

windows  windows-10  user-accounts  administrator  uac 
lightwing
źródło
Znalazłem komendę whoami / all, ale nie sądzę, żeby to pomagało. Chyba że mogę użyć SeImpersonatePrivilege, aby mi to powiedzieć. Nie jestem pewien, czy posiadanie tego przywileju jest związane z byciem administratorem w trybie zatwierdzania przez administratora, czy nie. Widziałem to podczas uruchamiania polecenia w wierszu polecenia, który został wykonany jako administrator i przy użyciu konta domeny z prawami administratora lokalnego. To samo konto nie ma tego uprawnienia podczas uruchamiania okna poleceń tylko jako ten użytkownik.
lightwing
Po prostu sprawdź, w której grupie użytkowników są.
Ramhound
Ale to nie mówi mi, czy aktualnie ma pełny token administratora w przypadku, gdy konto jest adminem, a UAC jest włączone. Myślę, że właśnie znalazłem odpowiedź ... blogs.msdn.microsoft.com/sqlupdates/2015/05/20/…
lightwing
@ lightwing Miło by było zobaczyć twoją odpowiedź opublikowaną tutaj.
Clijsters
@Clijsters wkrótce, jak mam jeden. Są pewne rzeczy, które znalazłem na temat niektórych wpisów dziennika zdarzeń bezpieczeństwa, ale nie mogę ich znaleźć na moich urządzeniach (eventid 4688 i 4689), pomimo wyraźnego wprowadzenia moich kredytów, aby uzyskać podwyższony token. Łącze, które udostępniłem powyżej, poprawiłem skrypt powershell, aby działał, ale nie zwraca żadnych danych. Myślę, że odpowiedź leży gdzieś w dzienniku zdarzeń, po prostu jeszcze go nie znalazłem.
lightwing

Odpowiedzi:

0

Najlepszym rozwiązaniem, jakie do tej pory znalazłem, jest połączenie różnych rzeczy:

  • whoami / all

    1. szukaj wbudowanego członkostwa grupy administratorów

  • sprawdź dziennik zdarzeń bezpieczeństwa dla eventids 4688 i 4689

    1. Pamiętaj, aby włączyć śledzenie procesu audytu lokalnie: ustawienia zabezpieczeń secpol.msc - & gt; lokalne zasady - & gt; polityka audytu
    2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
    3. Poszukaj typu podniesienia tokena w komunikacie tych wydarzeń:
  • „%% 1936” Typ 1 jest pełnym tokenem bez usuniętych uprawnień lub grup wyłączonych. Pełny token jest używany tylko wtedy, gdy Kontrola konta użytkownika jest wyłączona lub jeśli użytkownik jest wbudowanym kontem administratora lub kontem usługi.
  • „%% 1937” Typ 2 jest podwyższonym tokenem bez usuniętych uprawnień lub grup wyłączonych. Podwyższony token jest używany, gdy Kontrola konta użytkownika jest włączona, a użytkownik wybiera uruchomienie programu za pomocą opcji Uruchom jako administrator. Podwyższony token jest również używany, gdy aplikacja jest skonfigurowana tak, aby zawsze wymagała uprawnień administratora lub zawsze wymagała maksymalnych uprawnień, a użytkownik jest członkiem grupy Administratorzy.
  • „%% 1938” Typ 3 jest ograniczonym tokenem z usuniętymi uprawnieniami administracyjnymi i wyłączonymi grupami administracyjnymi. Ograniczony token jest używany, gdy Kontrola konta użytkownika jest włączona, aplikacja nie wymaga uprawnień administratora, a użytkownik nie wybiera uruchomienia programu za pomocą opcji Uruchom jako administrator.

Dzięki powyższym komentarzom @Clijsters i autorowi wpisu na blogu tutaj: https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief-summary/

Uwaga dotycząca skryptu powershell na blogu: jej skrypt nie działa, jeśli go skopiujesz i wkleisz. Musisz zrobić trochę własnych ulepszeń.

Uwaga na temat wersji systemu operacyjnego Windows: Odnośnie Windows Vista i 7, znajduję różne informacje dotyczące wpisów dziennika zdarzeń. Powyższe ustalenia opierają się na moich testach w systemie Windows 10. Wyszukiwanie w Internecie, w systemach Windows 7 i Vista, wpisy dziennika zdarzeń wydają się bardziej proste w odniesieniu do danych typu Wysokość tokenów, jak opisano w „Jak przeprowadzić kontrolę wysokości? „ sekcja tego artykułu: http://programming4.us/security/646.aspx Zamiast zaciemniania typu tokena, Win7 / Vista najwyraźniej daje ci go prosto jako 1, 2 lub 3. YMMV

lightwing
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.