Komut satırı araçlarını kullanmayı tercih ederseniz , MS Sysinternals paketindeki Accesschk yardımcı programı, bir işlemin yönetici izinleriyle çalıştığını kontrol etmek için kullanılabilir.
Aşağıdaki bayraklar bu amaç için kullanışlıdır:
-p
(Süreç) opsiyon adı veya çalışan sürecin PID ya kabul eder.
-v
(Ayrıntılı) seçeneği yazdırır , Windows Bütünlüğü Seviyesini
-q
Dan (sessiz) seçeneği önler sürümü bilgilerini basılıyor.
-f
(Tam) seçeneği de işlem (ler) (kullanıcılar, gruplar ve ayrıcalıkların güvenlik belirteci detaylar) üzerinde daha da fazla bilgi sağlamak için kullanılabilir, ancak ek ayrıntılar bu seviye yükseltilmiş ayrıcalıklarla denetlemek için gerekli değildir.
Örnek
Çalışan tüm cmd
işlemlerin ayrıcalıklarını listeleyin :
> accesschk.exe -vqp cmd
[5576] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
[8224] cmd.exe
Medium Mandatory Level [No-Write-Up, No-Read-Up]
RW ICS\Anthony
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Error opening [6636] cmd.exe:
Access is denied.
Burada cmd
başladığım üç işlem olduğunu görüyoruz. İlk ikisinin Orta Zorunlu (Bütünlük) Seviyesi var ve bu işlemlerin yönetici ayrıcalıkları olmadan başlatıldığını gösteren etki alanı hesabım altında çalışıyor olarak gösteriliyor.
Ancak, son süreç (PID 6636) yüksek izinlerle başlatıldı, bu yüzden ayrıcalıklı olmayan komutum bu süreçle ilgili bilgileri okuyamıyor. Yükseltilmiş izinlerle çalıştırma accesschk
ve açıkça onun PID değerini belirleme aşağıdaki bilgileri yazdırır:
> accesschk.exe -vqp 6636
[6636] cmd.exe
High Mandatory Level [No-Write-Up, No-Read-Up]
RW BUILTIN\Administrators
PROCESS_ALL_ACCESS
RW NT AUTHORITY\SYSTEM
PROCESS_ALL_ACCESS
Artık Bütünlük Düzeyi'nin Yüksek olduğunu ve bu işlemin Administrators
yerleşik güvenlik grubu altında çalıştığını görebiliyoruz .