發現了VSS裡有個要命的選項,勾選後可以不管VSS帳號密碼,直接以Windows當下的登入帳號對應到VSS使用者。也就是說,只要使用者用Administrator登入Wndows後,就可以直接升等成VSS裡的Administrator! 有沒有這麼扯呀? 一開始,我不相信VSS的安全控制可以兩光到這般田地。不過做了個簡單的實驗,挑個VSS裡的使用者名稱(例如: 1234)開了個本機帳號,用1234登入Windows,開啟VSS Client,VSS登入帳號輸入1234,不敲密碼也能登入(驚),再Check-Out個檔案試試,記錄上就顯示簽出者是1234。感覺上好像拿了根馬桶刷就搶了銀行,還不會被抓...