Я ищу ответы на все вопросы, так что, если это означает, что копаться в SDDL (или что-то ...Я хочу ВИДЕТЬ "жетон"), я в порядке с этим.

Параметры политики контроля учетных записей имеют два варианта поведения согласия:

Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей

Как я могу сказать (при входе в систему как пользователь), если учетной записи пользователя в настоящее время назначен токен администратора, чтобы он не считался стандартной учетной записью пользователя или если он не находится в режиме одобрения администратором?

|источник

1 ответ1

0

Лучшее решение, которое я смог найти, - это сочетание вещей:

  • Whoami / все

    1. ищите членство в группе встроенных \ администраторов

  • проверьте журнал событий безопасности на наличие событий 4688 и 4689

    1. Обязательно включите локальное отслеживание процессов аудита : параметры безопасности secpol.msc -> локальные политики -> политика аудита
    2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
    3. Ищите тип повышения токена в сообщении этих событий:
  • "%% 1936" Тип 1 - это полный токен без удаленных привилегий или групп. Полный токен используется только в том случае, если контроль учетных записей отключен или если пользователь является встроенной учетной записью администратора или служебной учетной записью.
  • "%% 1937" Тип 2 - это маркер с повышенными правами, без привилегий и групп. Токен с повышенными правами используется, когда включен контроль учетных записей, и пользователь выбирает запуск программы с помощью Запуск от имени администратора. Токен с повышенными правами также используется, когда приложение настроено так, что оно всегда требует административных привилегий или всегда требует максимальных привилегий, а пользователь является членом группы «Администраторы».
  • «%% 1938» Тип 3 - это ограниченный токен с удаленными административными привилегиями и отключенными административными группами. Токен ограниченного доступа используется, когда включен контроль учетных записей, приложение не требует прав администратора и пользователь не хочет запускать программу с помощью Запуск от имени администратора.

Благодаря вышеупомянутым комментариям @Clijsters и автору записи в блоге здесь:https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief -резюме/

Обратите внимание на сценарий powershell в блоге: ее сценарий не будет работать, если вы скопируете и вставите его. Вам нужно будет сделать некоторые свои собственные настройки.

Примечание по версиям ОС Windows: Что касается Windows Vista и 7, я нахожу различную информацию относительно записей журнала событий. Приведенные выше результаты основаны на моем тестировании на Windows 10. При поиске в Интернете, в Windows 7 и Vista, записи в журнале событий выглядят более простыми в отношении данных о типе рельефа токена, как описано в разделе «Как выполнить аудит рельефа?"раздел этой статьи: http://programming4.us/security/646.aspx Вместо того, чтобы запутывать тип токена, Win7/Vista, очевидно, дает его вам как 1, 2 или 3. YMMV

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .