Wie kann ich feststellen, ob mein Benutzerkonto ein privilegiertes Konto ist?

0

Ich bin auf der Suche nach einer Antwort auf diese Frage. Wenn das bedeutet, dass Sie sich in SDDL vertiefen (oder was auch immer ... ich möchte das "Token" SEHEN), bin ich damit einverstanden.

Für UAC-Richtlinieneinstellungen gibt es zwei Optionen für das Zustimmungsverhalten:

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Administratoren im Administratorgenehmigungsmodus Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Standardbenutzer

Wie kann ich feststellen (während ich als Benutzer angemeldet bin), ob einem Benutzerkonto derzeit ein Administrator-Token zugewiesen ist, sodass es nicht als Standardbenutzerkonto betrachtet wird, oder ob es sich um einen Administrator handelt, der sich nicht im Administrator-Genehmigungsmodus befindet?

windows windows-10 user-accounts administrator uac Lightwing
quelle
Ich habe den Befehl whoami / all gefunden, aber ich glaube nicht, dass das hilft. Es sei denn, ich kann das SeImpersonatePrivilege verwenden, um mir dies mitzuteilen. Ich bin mir nicht sicher, ob dieses Privileg damit zusammenhängt, ein Administrator im Administrator-Genehmigungsmodus zu sein oder nicht. Ich sah dies, als ich den Befehl unter einer Eingabeaufforderung ausführte, die als Administrator ausgeführt wurde und ein Domänenkonto mit lokalen Administratorrechten verwendete. Das gleiche Konto hat dieses Recht nicht, wenn ein Befehlsfenster nur als dieser Benutzer gestartet wird.
Lightwing
Überprüfen Sie einfach, in welcher Benutzergruppe sie sich befinden.
Ramhound
Das sagt mir aber nicht, ob es derzeit das vollständige Administrator-Token für den Fall hat, dass das Konto ein Administrator ist und die Benutzerkontensteuerung aktiviert ist. Ich glaube, ich habe gerade meine Antwort gefunden ... blogs.msdn.microsoft.com/sqlupdates/2015/05/20/…
lightwing
@lightwing Es wäre schön, wenn Ihre Antwort hier veröffentlicht würde.
Clijsters
@Clijsters sobald ich eins habe. Es gibt einige Dinge, die ich über bestimmte Einträge im Sicherheitsereignisprotokoll gefunden habe, aber ich kann sie auf meinen Geräten (eventid 4688 und 4689) nicht finden, obwohl ich meine creds eindeutig eingegeben habe, um das erhöhte Token zu erhalten. Über den oben angegebenen Link habe ich das Powershell-Skript optimiert, damit es funktioniert, aber es gibt keine Daten zurück. Ich denke, die Antwort liegt irgendwo im Ereignisprotokoll, habe sie aber noch nicht gefunden.
Lightwing

Antworten:

0

Die beste Lösung, die ich bisher finden konnte, ist eine Kombination von Dingen:

  • whoami / all

    1. Suchen Sie nach der Gruppenzugehörigkeit builtin \ administrators

  • Überprüfen Sie das Sicherheitsereignisprotokoll auf die Ereignis-IDs 4688 und 4689

    1. Stellen Sie sicher, dass die Überwachung des Überwachungsprozesses lokal aktiviert ist: Sicherheitseinstellungen von secpol.msc -> lokale Richtlinien -> Überwachungsrichtlinie
    2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
    3. Suchen Sie in der Meldung der folgenden Ereignisse nach dem Typ der Tokenerhöhung:
  • "%% 1936" Typ 1 ist ein vollständiges Token ohne entfernte Berechtigungen oder deaktivierte Gruppen. Ein vollständiges Token wird nur verwendet, wenn die Benutzerkontensteuerung deaktiviert ist oder wenn der Benutzer das integrierte Administratorkonto oder ein Dienstkonto ist.
  • "%% 1937" Typ 2 ist ein Token mit erhöhten Rechten, ohne dass Berechtigungen entfernt oder Gruppen deaktiviert wurden. Ein Token mit erhöhten Rechten wird verwendet, wenn die Benutzerkontensteuerung aktiviert ist und der Benutzer das Programm mit Als Administrator ausführen startet. Ein Token mit erhöhten Rechten wird auch verwendet, wenn eine Anwendung so konfiguriert ist, dass immer Administratorrechte oder maximale Berechtigungen erforderlich sind und der Benutzer Mitglied der Gruppe Administratoren ist.
  • "%% 1938" Typ 3 ist ein eingeschränktes Token mit entfernten Administratorrechten und deaktivierten Administratorgruppen. Das eingeschränkte Token wird verwendet, wenn die Benutzerkontensteuerung aktiviert ist, die Anwendung keine Administratorrechte erfordert und der Benutzer das Programm nicht mit Als Administrator ausführen startet.

Vielen Dank an @Clijsters Kommentare oben und an den Autor des Blogeintrags hier: https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief -Zusammenfassung/

Hinweis zum Powershell-Skript im Blog: Ihr Skript funktioniert nicht, wenn Sie es kopieren und einfügen. Sie müssen selbst einige Anpassungen vornehmen.

Hinweis zu Windows-Betriebssystemversionen: Unter Windows Vista und 7 werden unterschiedliche Informationen zu den Ereignisprotokolleinträgen angezeigt. Die obigen Ergebnisse basieren auf meinen Tests unter Windows 10. Bei der Suche im Internet unter Windows 7 und Vista scheinen die Ereignisprotokolleinträge in Bezug auf die Daten des Tokentyps für die Höhe einfacher zu sein, wie unter "Wie überprüfe ich die Höhe?" Beschrieben. " Abschnitt dieses Artikels: http://programming4.us/security/646.aspx Anstatt den Tokentyp zu verschleiern, gibt Win7 / Vista ihn anscheinend direkt als 1, 2 oder 3 an. YMMV

Lightwing
quelle