Läuft der Task-Manager unter Windows 10 standardmäßig als Administrator?

29

Ich habe versucht, einen nicht reagierenden Prozess zu schließen, und nachdem ich zum ersten Mal auf "Prozess beenden" geklickt habe, ist nichts passiert. Also habe ich es noch einmal gemacht und dieses Mal tauchte ein Fenster mit der Meldung "Zugriff verweigert" auf. Schließlich wurde der Prozess abgeschlossen, aber das brachte mich zum Nachdenken.

Wenn ich den Task-Manager als Administrator ausgeführt hätte, hätte er mir trotzdem die Meldung "Zugriff verweigert" angezeigt? Tatsächlich führt Windows 10 den Task-Manager standardmäßig als Administrator aus (wenn das Benutzerkonto ein Administrator ist). Gibt es darüber hinaus einen Unterschied zwischen der Ausführung als Administrator oder nicht ?

Ausführen als Admin über diese Methode:

Ich sehe keine auffälligen Unterschiede zwischen diesen und nur tun , Ctrl+ Shift+ Escape.

Hinweis: Diese Frage ist speziell für Windows 10 (und möglicherweise 8 / 8.1) und ich verwende Pro. Außerdem hat meine Benutzerkontensteuerung die Option "Niemals benachrichtigen" aktiviert.

Wahnsinnig
quelle
Wenn die Benutzerkontensteuerung deaktiviert ist und Sie ein Administratorkonto verwenden, wird jeder Prozess, den Sie starten, mit Administratorrechten ausgeführt.
Alexey Ivanov
@ AlexeyIvanov Ich glaube nicht, dass das stimmt. Vielleicht einige, aber nicht alle Prozesse und Anwendungen ..
Insane
2
Sie haben Recht: Das hat sich mit Windows 8 geändert: Das Verhalten der Benutzerkontensteuerung für die Einstellung "Nie benachrichtigen" deaktiviert die Benutzerkontensteuerung nicht mehr. Die Einstellung "Niemals benachrichtigen" gibt Ihnen einen geteilten Token und erhöht automatisch die erforderlichen Berechtigungen. Sie können die Benutzerkontensteuerung weiterhin deaktivieren, indem Sie Gruppenrichtlinien verwenden oder den Registrierungsschlüssel manuell festlegen. Quelle: Benutzerkontensteuerung . Wenn Sie die Benutzerkontensteuerung jedoch vollständig deaktivieren, werden alle Prozesse mit Administratorrechten gestartet.
Alexey Ivanov
1
@AlexeyIvanov Und jetzt, da ich die Benutzerkontensteuerung für Gruppenrichtlinien deaktiviert habe, haben Sie Recht! Alles läuft jetzt erhöht.
Insane
Ja. IIRC Windows Metro-Apps müssen jedoch nicht erhöht werden.
Qasdfdsaq

Antworten:

37

Läuft der Task-Manager unter Windows 10 standardmäßig als Administrator?

Nur wenn es von einem Administratorkonto ausgeführt wird. Die Antwort von Ben N unten enthält eine hervorragende Erklärung, wie dies tatsächlich umgesetzt wird.

Wenn ich den Task-Manager als Administrator ausgeführt hätte, hätte er mir trotzdem die Meldung "Zugriff verweigert" angezeigt?

Ja. Es gibt viele Prozesse, die selbst ein Administrator nicht beenden darf. Außerdem wird beim Versuch, eine nicht vorhandene Aufgabe zu beenden, diese Fehlermeldung ausgegeben.

Wenn der Grund, warum Sie die Meldung "Zugriff verweigert" erhalten haben, darin besteht, dass der Task-Manager nicht als Administrator ausgeführt wird, wird die folgende sehr explizite Meldung angezeigt:

Bildbeschreibung hier eingeben

Gibt es darüber hinaus einen Unterschied zwischen der Ausführung als Administrator oder nicht?

Ja, aber Sie müssen es von einem Konto ausführen, das kein Administrator ist, um es anzuzeigen.

Im Übrigen sind alle oben genannten Verhaltensweisen genau so wie in Windows 8 / 8.1

qasdfdsaq
quelle
1
Tatsächlich ist es. Deckt alle Punkte ab, aber ich bin geneigt, 48 Stunden Zeit zu geben, damit andere Antworten eine Chance haben (wie ich mehrfach angeschrien habe, weil ich zu früh zugestimmt habe :)
Insane
Nach meiner Erfahrung geschieht dies normalerweise, wenn ein Prozess nicht mehr reagiert und auf die Fertigstellung einer E / A-Anforderung im Kernelmodus wartet. Weitere
Informationen finden
Es ist jedoch möglich, diese Prozesse zu beenden, wenn Sie taskmgr als SYSTEM starten, indem Sie "psexec -d -i -s taskmgr"
drake7707 20.01.16
1
@ drake7707 Tatsächlich können geschützte Prozesse vom Benutzermodus aus nicht beendet oder gar nicht mehr geschrieben werden, selbst wenn Sie als SYSTEM ausgeführt werden. Ich glaube nicht, dass der Benutzermodus autorisierend mit Prozessen umgehen kann, die auch im Kernelmodus hängen bleiben. Sie müssen alle Punkte schließen ( siehe eine andere meiner Antworten ) und warten, bis alle Kernelmodusanforderungen abgeschlossen sind.
Ben N
@BenN Ganz allgemein, wenn etwas im Kernel hängt; Haben Sie möglicherweise nicht viel schwerwiegendere Probleme als nur eine Anwendung, die auf sichere Weise nicht beendet werden kann?
Dan Neely
18

Die vorhandene Antwort ist sehr gut. Ich werde einige technische Details für diejenigen bereitstellen, die solche Dinge mögen.

Taskmgr.exe(in \Windows\System32) ist das Programm, das ausgeführt wird, wenn Sie den Task-Manager aufrufen. Inspizieren Sie es mit einem Hex - Editor, entdeckte ich , dass seine offensichtlichen Sätze requestedExecutionLevelzu highestAvailable. Wenn Sie also als lokaler Administrator ausgeführt werden, müssen Sie für den Task-Manager eine Erhöhung vornehmen. Sie können dies auf einfache Weise demonstrieren, indem Sie die Benutzerkontensteuerung auf die höchste Ebene einstellen und Strg + Umschalt + Esc drücken, um den Task-Manager zu starten. Dabei wird eine Eingabeaufforderung für die Höhe angezeigt. Wenn sich die Benutzerkontensteuerung nicht auf der höchsten Ebene befindet, kann der Task-Manager eine automatische Erhöhung durchführen, da es sich um eine integrale Windows-Komponente handelt. Kurz gesagt, ja, der Task-Manager wird nach Möglichkeit standardmäßig als Administrator ausgeführt .

highestAvailable(im Gegensatz zu requireAdministrator) erlaubt es Nicht-Administratoren, das Programm auszuführen, ohne aufgefordert zu werden, es zu erhöhen, aber sie sind natürlich nicht in der Lage, etwas Administratives daraus zu machen.

Eine schnelle und fehlerhafte Möglichkeit, um festzustellen, ob ein Programm mit erhöhten Rechten ausgeführt wird, besteht darin, die Spalte UAC-Virtualisierung auf der Registerkarte Details des Task-Managers zu aktivieren . Wenn und nur wenn der Eintrag eines Prozesses in dieser Spalte nicht zulässig ist , wird er erhöht. (Administrative Prozesse können nicht durch Kompatibilität umgeleitet werden.) Sie können auch SeSecurityPrivilegemithilfe von Sysinternals Process Explorer überprüfen, ob sie über die erforderlichen Berechtigungen verfügen (z. B. ) .

Als Antwort auf Ihre Frage , ob der Zugriff auf einige Prozesse weiterhin verweigert wird, hat Windows ein Konzept von geschützten Prozessen , die vom Benutzermodus aus absolut nicht berührt werden können, auch nicht von Prozessen, die als ausgeführt werden SYSTEM. Der Schutz wird vom Kernel erzwungen. Nur wesentliche Systemdienste erhalten diese Art der Absicherung. Ein solcher Prozess ist csrss.

Ben N
quelle
2
Viele Antiviren-Anwendungen (einschließlich der von Microsoft) sind ebenfalls geschützt.
Qasdfdsaq
da es sich um eine integrale Windows-Komponente handelt Klingt nach einer Möglichkeit für Malware, mit Administratorrechten ohne UAC-Eingabeaufforderung gestartet zu werden ... Ich frage mich, wie ein Spiel es schafft, diese Sicherheit durch den Kernel zu erzwingen.
CausingUnderflowsEverywhere
@CausingUnderflowsEverywhere Um die Logik zu manipulieren, die festlegt, was eine "integrale Windows-Komponente" ist, muss Malware bereits als Administrator ausgeführt werden, obwohl verschiedene andere Strategien zur Umgehung der Benutzerkontensteuerung bekannt sind. Ich glaube auch, dass der Anwendungsinformationsdienst (ein Programm im Benutzermodus) für die Bearbeitung von Erhöhungsanforderungen verantwortlich ist.
Ben N
1

Ich habe eine andere mögliche Ursache für diese Fehlermeldung entdeckt, auf die ich bei der Fehlerbehebung bei "Zugriff verweigert" nie hätte prüfen sollen.

Hintergrund

Microsoft hat mit Windows 8 einen neuen Ressourcenverwaltungsmechanismus eingeführt. Wenn die Systemressourcen stark beansprucht werden, wählt Windows möglicherweise einige Prozesse aus, die in den Status "Angehalten" versetzt werden sollen, um ihre Ressourcen für andere Prozesse freizugeben. Ein angehaltener Prozess wird im Wesentlichen eingefroren, bis das System den angehaltenen Prozess aufhebt, was am häufigsten der Fall ist, wenn der Benutzer eine Interaktion mit diesem Prozess initiiert. Aus welchem ​​Grund auch immer, der Task-Manager ist von diesem Mechanismus nicht ausgenommen, und tatsächlich tritt ein besonders unerwartetes Verhalten auf: Wenn Windows taskmgr.exe in den Status "Angehalten" versetzt, wird auch die Einstellung "Aktualisierungsgeschwindigkeit" geändert, je nachdem, was Sie eingestellt haben zu, zu Angehalten. Wenn der Vorgang jedoch nicht angehalten wird, wird die Einstellung "Aktualisierungsgeschwindigkeit" nicht auf den ursprünglichen Wert zurückgesetzt - die Einstellung " Angehalten" wird beibehalten !

Fehler Ursache

Wenn die "Aktualisierungsgeschwindigkeit" des Task-Managers auf " Angehalten " gesetzt ist, können auf der Registerkarte "Details" Prozesse angezeigt werden , die nicht mehr ausgeführt werden. Wenn dies der Fall ist und Sie versuchen, den Prozess für einen solchen nicht vorhandenen Prozess zu beenden, wird der Fehler "Zugriff verweigert" angezeigt. Die (kurzfristige) Lösung * besteht darin, sicherzustellen, dass die "Aktualisierungsgeschwindigkeit" auf einen anderen Wert wie " Normal " eingestellt ist , bevor versucht wird, einen Prozess zu beenden.

 

* Was die langfristige Lösung angeht, die verhindert, dass die Einstellung "Aktualisierungsgeschwindigkeit" an erster Stelle auf " Angehalten" wechselt (was ständig passiert ) ... Ich suche immer noch nach dieser Einstellung !

Dan Henderson
quelle