サービスのリストと、それらがどのアカウントで実行されているかを抽出するにはどうすればよいでしょうか?

Question 1

マイク:
すべてのサービスの名前とアカウント:
wmic service get name,startname

開始されたサービスのみ:
wmic service where started=true get name, startname

名前に特定のパターンを持つサービス:
wmic service where 'name like "%sql%"' get name, startname

HTML テーブルとして適切にフォーマットされます (その後、ブラウザーで開きます):
(wmic service where 'name like "%sql%"' get name, startname /format:htable >out.html) && out.html

完全な構文は次のとおりです:https://msdn.microsoft.com/en-us/library/aa394531%28v=vs.85%29.aspx

Answer

マイク:
すべてのサービスの名前とアカウント:
wmic service get name,startname

開始されたサービスのみ:
wmic service where started=true get name, startname

名前に特定のパターンを持つサービス:
wmic service where 'name like "%sql%"' get name, startname

HTML テーブルとして適切にフォーマットされます (その後、ブラウザーで開きます):
(wmic service where 'name like "%sql%"' get name, startname /format:htable >out.html) && out.html

完全な構文は次のとおりです:https://msdn.microsoft.com/en-us/library/aa394531%28v=vs.85%29.aspx

Question 2

これは次の 2 つの手順で実行できます。

サービスのリストを取得します:sc \\localhost query | findstr SERVICE_NAME
足りない部分: sc \\localhost qc+ SERVICE_NAME +| findstr SERVICE_START_NAME

次のようなバッチスクリプトをお勧めします。

@echo off
setlocal EnableDelayedExpansion
sc \\localhost query | findstr SERVICE_NAME > services.lst
for /f "tokens=1,2" %%A in (services.lst) do (
    echo %%B
    sc \\localhost qc %%B | findstr SERVICE_START_NAME
)
del services.lst

次のような出力が得られます。ここに画像の説明を入力してください

もちろん、その出力をさらにクリーンアップしたり、任意の方法で CSV ファイルに書き込んだりすることもできます。

Answer

これは次の 2 つの手順で実行できます。

サービスのリストを取得します:sc \\localhost query | findstr SERVICE_NAME
足りない部分: sc \\localhost qc+ SERVICE_NAME +| findstr SERVICE_START_NAME

次のようなバッチスクリプトをお勧めします。

@echo off
setlocal EnableDelayedExpansion
sc \\localhost query | findstr SERVICE_NAME > services.lst
for /f "tokens=1,2" %%A in (services.lst) do (
    echo %%B
    sc \\localhost qc %%B | findstr SERVICE_START_NAME
)
del services.lst

次のような出力が得られます。ここに画像の説明を入力してください

もちろん、その出力をさらにクリーンアップしたり、任意の方法で CSV ファイルに書き込んだりすることもできます。

Question 3

CMD には、ネイティブな方法がありません。SC と NET は Windows に付属する組み込みアプリケーションですが、ネイティブであるという意味ではありません。管理者はいつでもこれらを削除でき、CMD もその対象から外されてしまいます。

sc sdshow を使用するとセキュリティ記述子を取得できますが、SDDL 文字列の読み方がわからない場合は複雑になります。

最も簡単な方法は、ツールパッケージから Sysinternals PsService.exe を取得し、それを psservice security [service] として使用することです。アカウント名を含む SDDL が読み取り可能な形式でリストされます。

Answer

CMD には、ネイティブな方法がありません。SC と NET は Windows に付属する組み込みアプリケーションですが、ネイティブであるという意味ではありません。管理者はいつでもこれらを削除でき、CMD もその対象から外されてしまいます。

sc sdshow を使用するとセキュリティ記述子を取得できますが、SDDL 文字列の読み方がわからない場合は複雑になります。

最も簡単な方法は、ツールパッケージから Sysinternals PsService.exe を取得し、それを psservice security [service] として使用することです。アカウント名を含む SDDL が読み取り可能な形式でリストされます。

Question 4

PowerShell は使用できませんが、VBScript を使用して WMI から情報を取得することは可能です。

すべてのサービスとそれらが起動するアカウントを一覧表示する VBS スクリプトを次に示します。

strComputer = "."

Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service")

For Each objService in colServices 
    wscript.echo objService.Name & ": " & objService.StartName
Next

保存してで実行しますcscript ScriptName.vbs。

objService.Stateサービスの現在の状態が表示されます (フィルター処理を検討しているとおっしゃっていたため)。

詳細情報Win32_Service クラス。

Answer