经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:
1、关闭DCOM功能
下面列出关闭DCOM步骤win///均适用
打开控制面板->管理工具->组件服务
展开组件服务-计算机,右击我的电脑 选择属性
点击默认属性选项卡,取消勾选“在此计算机上启用分布式COM”的,再确定即可
建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f进行关闭。
2、如果在使用iis,建议删除IIS中的IIS6管理兼容
服务器管理-管理-删除角色和功能
取消iis6管理兼容的所有勾选
提权案例:记一次HW实战笔记 | 艰难的提权爬坑 请务必重视做好安全设置
原文链接:Windows系统安全风险-本地NTLM重放提权 -西部数码帮助中心
