Windows系統安全風險-本地NTLM重放提權
經我司安全部門研究分析,近期利用NTLM重放機制入侵Windows 系統事件增多,入侵者主要通過Potato程序攻擊擁有SYSTEM權限的端口偽造網絡身份認證過程,利用NTLM重放機制騙取SYSTEM身份令牌,最終取得系統權限,該安全風險微軟并不認為存在漏洞,所以不會進行修復,為了您的服務器安全,我們建議您進行一下安全調整:
1、關閉DCOM功能
下面列出關閉DCOM步驟win2008/2012/2016/2019均適用
打開 控制面板->管理工具->組件服務
展開 組件服務-計算機 ,右擊 我的電腦 選擇 屬性
image.png
點擊 默認屬性選項卡,取消勾選 “在此計算機上啟用分布式COM”的,再確定即可
image.png
建議使用windows的都關閉此項以減小被入侵風險。
您也可以直接在命令行執行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 進行關閉。
2、如果在使用iis,建議刪除IIS中的IIS6管理兼容
服務器管理-管理-刪除角色和功能
image.png
取消iis6管理兼容的所有勾選
image.png
提權案例: https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 請務必重視做好安全設置
來源:西部數碼
Public @ 2017-06-19 16:00:56
