Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。
目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)
如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题,应该会导致外弱扫无法通过的窘境。
除了工作人员使用的个人电脑外,在机房中也常见使用 Windows 10 作为跳板机使用,由于 Windows 的跳板机,有可能配置给不同人员权限,也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。
针对这个问题要如何保持合规呢? 安律信息为你提供以下建议:
- 先依据官方的暂行方案,限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响,则为无法透过ㄧ些备份/还原工具,对系统进行还原。所以这段尚未有修补程式的这段期间,就可先避免进行还原作业。
- 暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机,这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等,所以暂时性限制非主机管理权限的人员,可避免提升权限的攻击。
- 将内部弱点扫描工具的扫描资料库更新到最新版本,并进行扫描,以确认目前使用的工具是否能扫描到这个问题。

[/av_one_third]Bryan Cheng
安律信息技术有限公司 Secure Vectors Information Technologies Inc.
安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。
安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。
- PCI 安全认证: www.securevectors.com
- SecuCollab 合规安全代管服务: www.secucollab.com
- SecuCompliance 合规管理平台: www.secucompliance.com
你可能会喜欢看

科普丨你的个人隐私,谁来守护?——读懂ISO 27701隐私信息管理体系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771498178.webp
324
504
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:142026-06-30 17:48:39科普丨一文读懂体系认证内审员
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
459
1080
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:082026-07-01 13:55:12科普丨一文读懂ISO 27001医疗器材产业信息安全管理
科普丨一文读懂ISO 13485医疗器材质量管理体系
https://www.securevectors.com/wp-content/uploads/2026/04/639.png
225
212
daniel chen
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
daniel chen2026-04-10 17:54:082026-06-18 17:03:45直击EU Cyber ACT 2026:与Applus+ Laboratories专家共探欧洲网络安全认证新未来
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:022026-06-30 17:41:16网络安全丨欧盟CRA新规倒计时:2026年9月起,网络安全事件强制上报!
https://www.securevectors.com/wp-content/uploads/2025/12/how-to-chinese-simplified-chinese-scaled.jpg
1919
2560
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2025-12-16 15:47:142026-02-11 11:13:20如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
🔒 微软释出重大资安更新:修补 130 项漏洞!
https://www.securevectors.com/wp-content/uploads/2024/11/哪一個類型-simplified-scaled.jpg
1919
2560
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2024-11-09 17:11:232026-02-11 11:16:09您适用哪一个 PCI DSS SAQ 类型?
科普丨你的个人隐私,谁来守护?——读懂ISO 27701隐私信息管理体系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771498178.webp
324
504
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:142026-06-30 17:48:39科普丨一文读懂体系认证内审员
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
459
1080
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:082026-07-01 13:55:12科普丨一文读懂ISO 27001医疗器材产业信息安全管理
科普丨一文读懂ISO 13485医疗器材质量管理体系
https://www.securevectors.com/wp-content/uploads/2026/04/639.png
225
212
daniel chen
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
daniel chen2026-04-10 17:54:082026-06-18 17:03:45直击EU Cyber ACT 2026:与Applus+ Laboratories专家共探欧洲网络安全认证新未来
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:022026-06-30 17:41:16网络安全丨欧盟CRA新规倒计时:2026年9月起,网络安全事件强制上报!
https://www.securevectors.com/wp-content/uploads/2025/12/how-to-chinese-simplified-chinese-scaled.jpg
1919
2560
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2025-12-16 15:47:142026-02-11 11:13:20如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
🔒 微软释出重大资安更新:修补 130 项漏洞!
https://www.securevectors.com/wp-content/uploads/2025/01/圖片1.png
2475
3303
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2025-01-23 14:47:042025-03-10 11:07:58PCI DSS v4.0.1 合规培训课程_深圳* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

