¿Por qué mi cmd.exe en Windows 7 se abre con privilegios administrativos? (No diré Ejecutar "como administrador" porque soy consciente de que la opción "Ejecutar como administrador" de Win7 la ejecuta con privilegios administrativos en lugar de como administrador, y eso es lo que está sucediendo aquí, aunque automáticamente)
Entro a Windows haciendo clic en mi nombre de usuario.
Ahora digamos que inicio cmd.exe y lo haré de la manera más clara para mostrar que no estoy haciendo clic en un acceso directo.
Entonces voy a c:\windows\system32 y definitivamente estoy ejecutando cmd.exe desde allí.
Pero surge como esto
Y si piensas que tal vez haya iniciado sesión con la cuenta de administrador, no lo estoy.
Y el cmd.exe que abrí desde system32, directamente, también muestra que mientras se ejecuta con privilegios administrativos por algún motivo. Se ejecuta desde una cuenta de usuario.
agregado
En respuesta a algunas consultas del comentarista "scott". Obviamente tengo una cuenta llamada "usuario", eso debería quedar claro.
El comentarista 'scott' sugiere el comando-
C:\Users\User>net user %username% | find "Group"
Local Group Memberships *Administrators *HomeUsers
Global Group memberships *None
C:\Users\User>
(sí, la cuenta de usuario es miembro del grupo de administradores, aunque eso no causaría ese comportamiento).
El comentarista "scott" sugiere que ejecute este comando que muestra el resultado.
C:\Users\User>whoami /priv | find "Enabled"
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeImpersonatePrivilege Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege Create global objects Enabled
C:\Users\User>
Nada inusual allí. Si ejecuta el indicador cmd con privilegios administrativos en una instalación nueva, muestra lo mismo. Obviamente en mi caso está sucediendo automáticamente. Entonces, ¿quizás el comentarista Scott pueda decir qué podría haber estado buscando allí?
Si ejecuta ese whoami /priv | find "Enabled"comando desde un símbolo de cmd iniciado con privilegios administrativos, en una instalación nueva, también muestra esos mismos tres elementos (de la política de seguridad local... derechos de usuario habilitados), habilitados.
Entonces esos comandos no muestran nada inusual más allá de lo que ya he dicho/mostrado.
(y en cuanto a las otras preguntas del comentarista Scott, no estoy en modo seguro y no es una instalación nueva, no es que ninguna de esas cosas cause este comportamiento de todos modos. Y en cuanto a la pregunta del comentarista sobre cuándo comenzó. No sé cuándo comenzó este comportamiento).
También hubo algunos comentarios antes que ahora han desaparecido. Uno sugirió una instalación de reparación, aunque estoy interesado en qué configuración podría causar esto.
El comentarista Scott pregunta "¿Qué sucede cuando ejecuta netplwiz?" Bueno, lo mismo que si hicieras la tecla Windows + R (para obtener el cuadro de diálogo de ejecución anterior) y escribieras control userpasswords2<ENTER>. Muestra esa pantalla donde configura si el usuario debe ingresar una contraseña para iniciar sesión y qué usuario puede iniciar sesión automáticamente.
Aunque todo esto es irrelevante. Tengo la cuenta de Administrador no oculta, pero no inicio sesión como Administrador. Como mostré con, echo %username% he iniciado sesión como 'usuario'.
El comentarista "HelpingHand" dice "agregue las columnas, "Elevado" y "Virtualización UAC". ¿Qué es el estado elevado de Explorer, el proceso principal del cmd? ¿Es "Elevado=No", "Virtualización UAC deshabilitada"? Quizás se centre en el proceso principal en lugar del secundario. También iniciaría cmd.exe con Process Monitor ejecutándose. Confirmar. En la vista de árbol, es el proceso secundario del proceso Explorer.exe marcado anteriormente y verificar la operación CreateProcess mediante Explorer.exe. para iniciar cmd. Específicamente la pila que llama a CreateProcess. Sería bueno verificar que no haya módulos de terceros. Tal vez pegue una captura de pantalla.
¡Windows 7 no tiene una columna "elevada"! La columna Elevada es específica de Windows 10 (y tal vez de Win8, pero a quién le importa con respecto a Win8). En Win10, las columnas son específicas de cada pestaña y están asociadas con la pestaña de detalles de Win10. En Win7, las columnas no son específicas de pestañas y no hay una columna "elevada".
También mencionas Process Monitor, un gran programa, pero creo que cuando te refieres a un árbol, te refieres a Process Explorer. El monitor de procesos no mostrará un árbol de procesos. El explorador de procesos lo hará. Ambos programas son excelentes programas de sysinternals/Mark Russinovich, ahora disponibles en MS. Cuando mencionas una operación (como filtrar por operación), te refieres a Process Monitor. No hay un CreateProcess que pueda ver aunque hay un ThreadCreate
Mirando un sistema Windows 7 normal y bastante nuevo que no tiene el problema. El explorador de procesos muestra que el proceso cmd.exe es hijo del proceso explorer.exe que se muestra en "Explorador" y, al hacer doble clic en él, dice que el padre es la instancia de explorer.exe. Al observar varios procesos, algunos tienen la virtualización UAC configurada como Permitida y otros como Desactivada. Explorer lo tiene configurado como Desactivado. cmd lo tiene configurado como Deshabilitado.
Mirando el sistema Windows 7 en cuestión, mirando el explorador de procesos, veo dos procesos del explorador. cmd no se muestra debajo de ninguno de ellos. Pero si hago doble clic en cmd, dice explorer.exe es el proceso principal. Al observar el Administrador de tareas, ningún proceso tiene UAC configurado como deshabilitado. Explorer lo tiene configurado en "No permitido" y cmd lo tiene configurado en "No permitido". De los dos procesos del explorador, uno tiene una línea de comando con "/factory...", el otro es simplemente una llamada normal a explorer.exe. Process Explorer muestra el PPID (ID de proceso principal/PPID) de cmd.exe y coincide con la instancia de explorer.exe que se acaba de llamar normalmente.
En cuanto a la información del monitor de proceso que analiza la operación ThreadCreate y la pestaña de la pila, aquí hay un pegado.
Mencionas considerar si hay un módulo de terceros allí. No veo ningún módulo/dll o exe de terceros allí.
Respuesta1
Parece que toda la pregunta se basa en la premisa incorrecta de que el prefijo "Administrador:" indica el nombre de la cuenta con la que se ejecuta el proceso. No es así.
Aunque todo esto es irrelevante. Tengo la cuenta de Administrador no oculta, pero no inicio sesión como Administrador. Como mostré con el eco %nombre de usuario%, inicié sesión como 'usuario'.
Aunque todo esto es irrelevante. El prefijo "Administrador:" en realidad no indicaelCuenta de administrador: indica privilegios deunadministrador, es decir, el programa se ejecuta con todos los privilegios de ser miembro de los Administradoresgrupo.
Windows Conhost agrega este prefijo porque normalmente Windows 7 usa UAC y hace que todos los inicios de sesión interactivos se ejecuten con privilegios reducidos a pesar de ser miembro del grupo; solo los procesos "elevados" reciben privilegios completos después de confirmar el mensaje seguro. Por lo tanto, normalmente obtendría este prefijo en la barra de título de Cmd si usara el elemento de menú "Ejecutar como administrador" para ejecutar cmd.exe como elevado.
Pero si el sistema tiene UAC deshabilitado,todoLos procesos ejecutados por su "usuario" tienen un token de seguridad con privilegios completos y los programas siempre se ven a sí mismos como "ejecutados como administrador".
Vea este otro hilo sobre cómo deshabilitar UAC y siga sus instrucciones a la inversa para volver a habilitar UAC:¿Deshabilitar UAC en Windows 7?