如何判断我的用户帐户是否是特权帐户？

Question

到目前为止我能找到的最佳解决方案是以下几点的结合：

whoami/全部
1. 寻找内置\管理员组成员身份
检查安全事件日志中的事件 ID 4688 和 4689
1. 确保打开审计流程跟踪本地：secpol.msc 安全设置->本地策略->审核策略
2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
3. 在这些事件的消息中查找令牌提升类型：
“%%1936” 类型 1 是完整令牌，没有删除任何特权或禁用任何组。仅当禁用用户帐户控制或用户是内置管理员帐户或服务帐户时，才会使用完整令牌。
“%%1937” 类型 2 是未删除任何特权或禁用任何组的提升令牌。当启用用户帐户控制并且用户选择使用以管理员身份运行来启动程序时，将使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最大特权，并且用户是管理员组的成员时，也会使用提升令牌。
“%%1938” 类型 3 是受限令牌，其中删除了管理权限并禁用了管理组。当启用用户帐户控制、应用程序不需要管理权限且用户未选择使用以管理员身份运行来启动程序时，将使用受限令牌。

感谢上面的@Clijsters 评论，以及此处博客文章的作者： https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief-summary/

注意博客中的 powershell 脚本：如果您复制并粘贴该脚本，它将不起作用。您需要自己进行一些调整。

关于 Windows 操作系统版本的说明：关于 Windows Vista 和 7，我发现有关事件日志条目的信息有所不同。上述发现基于我在 Windows 10 上的测试。在互联网上搜索后发现，在 Windows 7 和 Vista 中，事件日志条目似乎更直接地说明了令牌提升类型数据，如本文“如何审核提升？”部分所述： http://programming4.us/security/646.aspx Win7/Vista 不会混淆令牌类型，而是直接将其显示为 1、2 或 3。YMMV

Answer 1

到目前为止我能找到的最佳解决方案是以下几点的结合：

whoami/全部
1. 寻找内置\管理员组成员身份
检查安全事件日志中的事件 ID 4688 和 4689
1. 确保打开审计流程跟踪本地：secpol.msc 安全设置->本地策略->审核策略
2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
3. 在这些事件的消息中查找令牌提升类型：
“%%1936” 类型 1 是完整令牌，没有删除任何特权或禁用任何组。仅当禁用用户帐户控制或用户是内置管理员帐户或服务帐户时，才会使用完整令牌。
“%%1937” 类型 2 是未删除任何特权或禁用任何组的提升令牌。当启用用户帐户控制并且用户选择使用以管理员身份运行来启动程序时，将使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最大特权，并且用户是管理员组的成员时，也会使用提升令牌。
“%%1938” 类型 3 是受限令牌，其中删除了管理权限并禁用了管理组。当启用用户帐户控制、应用程序不需要管理权限且用户未选择使用以管理员身份运行来启动程序时，将使用受限令牌。

感谢上面的@Clijsters 评论，以及此处博客文章的作者： https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief-summary/

注意博客中的 powershell 脚本：如果您复制并粘贴该脚本，它将不起作用。您需要自己进行一些调整。

关于 Windows 操作系统版本的说明：关于 Windows Vista 和 7，我发现有关事件日志条目的信息有所不同。上述发现基于我在 Windows 10 上的测试。在互联网上搜索后发现，在 Windows 7 和 Vista 中，事件日志条目似乎更直接地说明了令牌提升类型数据，如本文“如何审核提升？”部分所述： http://programming4.us/security/646.aspx Win7/Vista 不会混淆令牌类型，而是直接将其显示为 1、2 或 3。YMMV

如何判断我的用户帐户是否是特权帐户？

答案1

相关内容