Power Users

7. 變相取得管理員許可權

1. 在C:\WINDOWS\System32下，Power Users可以修改ntoskrnl.exe，從而達到取得許可權的目的。通過這個漏洞，可以利用Windows檢查許可權的函式“SeSinglePrivilegeCheck”，在磁碟映像中修補入口點，以至於一直返回“TRUE”，讓系統誤以為用戶具有許可權，並允許擁有管理員許可權。Power Users組的成員還可以通過編寫替換檔案的簡單程式，將修改後的數據刷新到磁碟，然後在Windows檔案保護（WFP）採取措施之前重新啟動系統來繞過WFP。

2. Power Users可以修改Schedsvc.dll等動態連結資料庫檔案(*.dll)。而這些是被系統服務以SYSTEM許可權運行的。如果劫持了這些檔案，便可以讓他們擁有管理員許可權。對於WFP的干擾，他們仍然可以通過方法一中的方式繞過。

3. Power Users具有對HKLM\Software\Microsoft\Windows\CurrentVersion\Run的寫入許可權，允許他們配置任意執行檔，以便在有人以互動方式登錄時運行。他們還對HKLM\Software的非Windows子鍵具有默認寫入許可權，這意味著在其系統範圍的註冊表項中配置可執行代碼路徑的第三方應用程式可能會打開安全漏洞。

4. Power Users被允許更改大部分服務，而許多就是以SYSTEM運行的，例如DComLauncher服務等，他們可以更改路徑，指定為自己的第三方程式，重啟後便可以享受管理許可權。

對於Windows Vista以及更高版本的Windows沒有必要去執行操作了，因為Microsoft已經禁止了這個組。加入這個組的用戶許可權會與普通用戶相同，只有與Users許可權相當。

對於Windows 2000 或 Windows XP 使用者來說，最好的方法就是禁止使用Power Users。如果有的用戶已經擁有了許多數據，則可以將其降為Users用戶。