国产98在线 | 传媒麻豆,久久―日本道色综合久久,久久久精品久久久久久久久久久,国产成人精品免费久久久久,五月综合色婷婷影院在线观看,久久久亚洲精品视频

  • 虎科技 - 領(lǐng)先的互聯(lián)網(wǎng)科技媒體

Win10/Win11存在25年組策略漏洞,微軟竟決定不修復(fù)?

   時(shí)間:2025-06-03 10:18 來(lái)源:ITBEAR作者:沈如風(fēng)

近日,知名科技媒體borncity披露了一項(xiàng)令人震驚的安全發(fā)現(xiàn):在Windows 10與Windows 11操作系統(tǒng)中,存在一個(gè)歷史超過(guò)25年的安全漏洞。然而,令人意外的是,微軟安全響應(yīng)中心(MSRC)對(duì)此表示,將不會(huì)對(duì)這一漏洞進(jìn)行修復(fù)。

Windows系統(tǒng)的用戶組策略是管理用戶權(quán)限的關(guān)鍵機(jī)制,這些策略的值被存儲(chǔ)在注冊(cè)表中,并由“自主訪問(wèn)控制列表”(DACL)嚴(yán)密保護(hù)。通常,只有管理員組(Administrators)和系統(tǒng)組(SYSTEM)才有權(quán)限修改這些關(guān)鍵的注冊(cè)表項(xiàng),以確保系統(tǒng)的安全性。

德國(guó)安全專家Stefan Kanthak經(jīng)過(guò)深入研究,揭示了Windows在用戶配置文件和注冊(cè)表權(quán)限處理上的設(shè)計(jì)差異。他發(fā)現(xiàn),普通用戶可以通過(guò)一系列特定操作,繞過(guò)原本嚴(yán)格的權(quán)限限制。這一漏洞的根源在于系統(tǒng)對(duì)用戶配置文件文件夾的權(quán)限分配,用戶對(duì)自己的個(gè)人文件擁有完全的訪問(wèn)權(quán)限。

Windows系統(tǒng)支持一種名為“強(qiáng)制用戶配置文件”的特殊設(shè)置,允許管理員通過(guò)重命名注冊(cè)表文件(例如將ntuser.dat改為ntuser.man)來(lái)預(yù)設(shè)用戶環(huán)境。然而,Kanthak發(fā)現(xiàn),普通用戶可以在其配置文件目錄中創(chuàng)建ntuser.man文件,這個(gè)文件會(huì)優(yōu)先于ntuser.dat加載,從而覆蓋管理員預(yù)設(shè)的組策略設(shè)置。

更為嚴(yán)重的是,借助Windows自帶的“Offline Registry Library”(Offreg.dll),用戶甚至可以在沒(méi)有管理員權(quán)限的情況下,修改離線注冊(cè)表結(jié)構(gòu),進(jìn)一步繞過(guò)組策略的相關(guān)設(shè)置。這意味著,普通用戶可以通過(guò)簡(jiǎn)單的操作,清除組策略的限制,如禁用命令提示符或注冊(cè)表編輯器的限制。

Kanthak在2025年5月與測(cè)試者合作,在Windows 10(IoT)系統(tǒng)上成功驗(yàn)證了這一漏洞。測(cè)試結(jié)果顯示,惡意軟件可以利用“Living Off The Land”(LOTL)技術(shù),通過(guò)系統(tǒng)的合法文件執(zhí)行攻擊。更令人擔(dān)憂的是,這一漏洞還可能破壞Office的安全加固設(shè)置,使得原本被禁用宏的舊格式文件(如.xls)能夠重新運(yùn)行,從而給系統(tǒng)帶來(lái)極大的安全風(fēng)險(xiǎn)。

盡管Kanthak向微軟安全響應(yīng)中心(MSRC)報(bào)告了這一問(wèn)題,并提供了詳細(xì)的測(cè)試案例(案件編號(hào):MSRC Case 98092),但微軟方面認(rèn)為,用戶對(duì)自身注冊(cè)表(HKCU)的寫入權(quán)限并不構(gòu)成安全邊界的違反,因此決定不對(duì)這一漏洞進(jìn)行修復(fù)。

面對(duì)這一長(zhǎng)期未被發(fā)現(xiàn)的安全漏洞,業(yè)內(nèi)專家表示震驚,并認(rèn)為其影響深遠(yuǎn)。為了緩解這一漏洞帶來(lái)的風(fēng)險(xiǎn),Kanthak提出了兩項(xiàng)措施:一是通過(guò)NTFS權(quán)限設(shè)置限制用戶對(duì)配置文件目錄的寫入;二是防止對(duì)ntuser.dat文件的修改。然而,這些緩解措施的實(shí)施難度和效果仍有待觀察。

這一安全漏洞的發(fā)現(xiàn),再次提醒了用戶和企業(yè)在使用Windows系統(tǒng)時(shí),需要時(shí)刻保持警惕,加強(qiáng)安全防護(hù)措施,以應(yīng)對(duì)潛在的安全風(fēng)險(xiǎn)。

 
 
更多>同類內(nèi)容
推薦圖文
推薦內(nèi)容
點(diǎn)擊排行
 
智快科技微信賬號(hào)
ITBear微信賬號(hào)

微信掃一掃
加微信拉群
電動(dòng)汽車群
科技數(shù)碼群

主站蜘蛛池模板: 亚洲国产成人精品久久 | 久久久精品免费视频 | 亚洲成人app | 亚洲精品免费网站 | 五月花激情 | 在线观看羞羞视频 | 在线观看国产一区亚洲bd | 一区免费| 激情五月婷婷基地 | 四虎免费影院ww4164h | 国产免费黄色网址 | 99在线在线视频免费视频观看 | 亚洲国产欧美日韩 | 欧美精品自拍 | 在线观看激情 | 比基尼派对电影完整版在线观看 | 欧美成人黑人xx视频免费观看 | 婷婷四房综合激情五月在线 | 正在播放国产一区 | 在线免费观看亚洲视频 | 亚洲欧美一区二区三区四区 | 丁香色婷婷 | 一级电影在线免费观看 | 欧美日韩亚洲一区二区 | 亚洲精品成人网久久久久久 | 男人的天堂在线免费观看 | 久久精品天堂 | 亚洲国产欧美日韩 | 欧美成在线 | 伊人久久婷婷丁香六月综合基地 | 三妻四妾完整版免费观看韩国电影 | 色婷婷中文网 | 亚洲最大福利网站 | 亚洲作爱视频 | 伊人婷婷色香五月综合缴激情 | 亚洲成熟xxxxx电影 | 色婷婷在线影院 | 亚洲国产精品久久婷婷 | 日韩精品免费在线视频 | 丁香婷婷色综合 | 四虎影院的网址 |